È ormai nota la vicenda che il 16 luglio scorso ha visto la Corte di giustizia europea, con la sentenza Schrems II, invalidare la decisione di adeguatezza del Privacy Shield, precedentemente ritenuto idoneo strumento per il trasferimento di dati dall’Europa all’America, ed è noto anche il conseguente ordine preliminare dell’Autorità irlandese per la protezione della privacy, che sospende i trasferimenti dei dati di utenti europei ai server statunitensi.
La validità della sentenza Schrems II non è limitata ai rapporti tra Europa e USA, pertanto, dal momento in cui essa produce i suoi effetti anche nei confronti di paesi terzi che non sono diretti destinatari della sentenza, è necessario capire come cambia lo scenario attuale a seguito del processo di applicazione della stessa, iniziato a settembre, e quali sono i potenziali strumenti sui quali si punterà per colmare l’attuale vuoto normativo.
Indice degli argomenti
Sentenza Schrems II: clausole contrattuali standard tra utilizzabilità e precisazioni
Come stabilito dall’art. 46 GDPR, il trasferimento di dati oltreoceano può trovare il suo fondamento anche su garanzie adeguate di protezione e tutela per il trasferimento stesso, pertanto sembrerebbe plausibile credere di poter continuare legittimamente ad avvalersi delle SCC (Standard Contractual Clauses, clausole contrattuali standard) sulla base di questa previsione normativa.
A ben vedere, la Corte di Giustizia Europea con la sentenza Schrems II non ha solamente invalidato il Privacy Shield, ma si è pronunciata anche sull’idoneità delle clausole standard di protezione dei dati a regolare e legittimare il trasferimento di dati fuori dallo spazio economico europeo, vincolando il loro utilizzo ad efficaci meccanismi che garantiscano livelli di protezione equivalenti a quelli predisposti dal GDPR.
Adesso, pertanto, l’“esportatore” dei dati avrà l’obbligo di verificare se il livello di protezione richiesto dal GDPR viene rispettato dal paese terzo, destinatario dei dati, imponendo anche la previsione di misure supplementari a quelle offerte dalle clausole, qualora queste non siano sufficienti a garantire standard di protezione adeguati. Senza questi presupposti minimi, l’esportazione dei dati deve essere sospesa o terminare.
A chi si domanda se può continuare a trasferire dati al di fuori del territorio UE utilizzando SCC con un “importatore” di dati statunitense, l’European Data Protection Board risponde che, poiché la legge statunitense non garantisce un livello di protezione equivalente a quello richiesto dal GDPR, ciò dipenderà dal risultato delle valutazioni dell’”esportatore” stesso, il quale dovrà considerare le circostanze dei trasferimenti e delle misure supplementari che potrebbe mettere in atto.
Solamente un’analisi caso per caso delle circostanze garantirebbe la possibilità per gli “esportatori” di dati di utilizzare le SCC senza esporsi a rischi sanzionatori.
Tuttavia, l’interpretazione in tal senso non è univoca, e lo dimostra il fatto che diverse Autorità di controllo di più Paesi europei hanno preferito interrompere il trasferimento di dati verso gli USA, almeno fino al momento in cui l’EDPB non individui esplicitamente soluzioni adeguate.
Le altre “garanzie adeguate” dell’art. 46 GDPR
Anche per quanto riguarda gli ulteriori strumenti di trasferimento di dati predisposti dall’art. 46 GDPR, diversi dalle SCC, è necessario rifarsi allo standard di “equivalenza essenziale” con il GDPR sancito dalla sentenza.
I codici di condotta, le certificazioni e gli altri espedienti dell’articolo in oggetto saranno anch’essi soggetti allo sforzo interpretativo richiesto dalla Corte da parte delle organizzazioni europee, al fine di garantire l’individuazione dello strumento giuridico più idoneo al trasferimento dei dati al di fuori dell’UE, nel rispetto del livello di protezione delle persone fisiche richiesto dal regolamento.
Le deroghe
È possibile trovare fondamento giuridico al trasferimento dei dati verso Paesi terzi nell’articolo 49 del GDPR, se ricorre una delle condizioni da questo elencate: che l’interessato abbia prestato esplicitamente il suo consenso specifico e informato, che sia necessario il trasferimento occasionale per l’esecuzione di un contratto tra l’interessato e il titolare del trattamento o tra quest’ultimo e un’altra persona fisica o giuridica, che ricorrano importanti motivi di interesse pubblico, senza guardare alla natura dell’organizzazione, che si abbia necessità di esercitare un diritto in sede giudiziaria o di tutelare gli interessi vitali dell’interessato che sia nell’incapacità fisica o giuridica di prestare il proprio consenso.
Va precisato, tuttavia, che l’articolo in questione si attiva in via residuale e che non è opportuno ricercare di regola in esso uno dei fondamenti giuridici che autorizzi il trasferimento di dati.
Conclusioni
Gli espedienti sopra indicati non possono essere considerati delle soluzioni a tutti gli effetti.
La necessità di individuare nuovi accordi per lo scambio di dati al di fuori dello SEE è legata soprattutto ad aspetti di tipo economico, ma c’è anche dell’altro: l’ex vicepremier britannico, Nick Clegg, afferma che “gli effetti potrebbero toccare altri settori, come la salute e l’educazione: scuole, università e ospedali in tutta Europa usano servizi cloud o piattaforme e-mail con base negli Usa”, evidenziando come “i trasferimenti internazionali di dati sono alla base dell’economia globale e sostengono molti dei servizi fondamentali per la nostra vita quotidiana”.
Sembra plausibile che, nonostante le difficoltà iniziali, dopotutto si possa arrivare ad un accordo che non abbia come esito quello dell’uscita dal mercato europeo dei colossi americani “importatori” di dati.
