Con sentenza del 16 luglio 2020, la Corte di Giustizia dell’Unione Europea (CGUE) ha invalidato la Decisione 2016/1250 con cui la Commissione europea aveva certificato l’adeguatezza del “Privacy Shield” a proteggere i dati personali dei cittadini europei trasferiti negli USA.
Alla luce della fitta rete di relazioni commerciali fra Unione Europea e Stati Uniti, la recente sentenza induce a interrogarsi su quali possano essere le strade percorribili, in particolar modo sotto il profilo della gestione del rischio, da parte delle aziende impattate dalla citata pronuncia.
A tal fine è opportuno chiarire, preliminarmente, quali siano i meccanismi che, alla luce della normativa privacy europea, legittimano il trasferimento di dati personali verso Paesi terzi (extra UE), nonché le tappe che hanno condotto la CGUE alla Decisione in esame.
Indice degli argomenti
Trasferimento dei dati personali ai sensi della normativa privacy europea
Ai sensi del Regolamento UE 2016/679, noto anche come “GDPR”, i trasferimenti di dati personali dall’UE verso un Paese terzo possono realizzarsi laddove quest’ultimo garantisca un livello di protezione per i dati personali almeno equivalente a quello previsto nel territorio dell’Unione. Il meccanismo cardine per il trasferimento previsto dal GDPR ex art. 45 (oltre che dalla precedente Direttiva 95/46/CE, poi sostituita dal GDPR) consiste nelle c.d. “Decisioni di adeguatezza” assunte dalla Commissione Europea, mediante le quali quest’ultima statuisce che un determinato Paese terzo garantisce un livello di protezione adeguato in relazione ai dati personali oggetto di trasferimento. In altri termini, le Decisioni di adeguatezza della Commissione Europea costituiscono una valida base giuridica per il trasferimento dei dati fra UE e un dato Paese terzo.
Con riguardo ai trasferimenti dall’UE verso gli Stati Uniti, si ricorda la Decisione di adeguatezza del 26 luglio del 2000 con cui la Commissione Europea riconobbe che i c.d. “Safe Harbour Privacy Principles”, emanati dal Dipartimento USA del Commercio, garantivano un’adeguata protezione ai dati personali in caso di trasferimento dall’UE.
Invalidata nel 2015 dalla CGUE, la Decisione di adeguatezza relativa al c.d. “Safe Harbor” è stata sostituita dalla Decisione di adeguatezza del 2016/1250 relativa al “Privacy Shield”, anch’essa, a sua volta, invalidata dal recente intervento della CGUE. Il “Privacy Shield” costituisce un meccanismo di autocertificazione, previsto per le aziende stabilite negli USA che intendano ricevere dati personali dall’UE, in base al quale le aziende stesse si impegnano a rispettare una serie di principi relativi al trattamento dei dati e a fornire ai soggetti interessati (ovvero ai soggetti i cui dati personali trasferiti si riferiscono) adeguati strumenti di tutela, pena l’eliminazione dalla lista delle aziende certificate (c.d. “Privacy Shield List”) da parte del Dipartimento del Commercio statunitense e possibili sanzioni da parte della Federal Trade Commission (Commissione federale per il commercio).
In mancanza di una decisione di adeguatezza, la normativa privacy europea prevede la possibilità di utilizzare le c.d. clausole contrattuale standard (SCC) ovvero clausole tipo di protezione dei dati personali adottate dalla Commissione Europea e volte a vincolare contrattualmente l’importatore dei dati personali all’adozione di tutele adeguate sui dati personali trasmessi. Proprio alle SCC si è fatto ricorso, ai fini dei trasferimenti di dati personali dall’UE verso gli USA, nel periodo a cavallo fra la dichiarazione dell’invalidità della Decisione di adeguatezza relativa al “Save Harbor” e l’assunzione della Decisione relativa al “Privacy Shield”.
L’art. 46 del GDPR prevede, poi, ulteriori meccanismi volti a legittimare il trasferimento di dati personali in assenza di una decisione della Commissione Europea, quali, a titolo puramente esemplificativo, le norme vincolanti di impresa o l’adesione ai codici di condotta e ai meccanismi di certificazione.
L’ingerenza USA nella privacy dei cittadini europei: il caso Schrems
Il recente intervento della CGUE prende le mosse dalla richiesta avanzata nel 2013 dall’attivista austriaco Maximilian Schrems, il quale si era rivolto all’Autorità Garante irlandese (Data Protection Commission o “DPC”) per ottenere la cessazione e proibizione dei trasferimenti, effettuati sulla base del “Safe Harbor”, di dati personali degli utenti Facebook europei da parte di Facebook Ireland alla società madre statunitense. Alla base dell’azione di Schrems vi era la consapevolezza del rischio che i dati personali degli utenti dell’unione, una volta trasferiti su server americani, finissero alla mercé dell’indiscriminato controllo da parte del governo degli Stati Uniti, finalizzato alla tutela della sicurezza nazionale.
A seguito delle vicende dell’11 settembre 2001, la già esistente tendenza degli Stati Uniti ad attribuire prevalenza alla sicurezza nazionale a discapito del diritto del singolo alla privacy, si è ulteriormente consolidata. In particolare, l’ingerenza dell’amministrazione USA nella privacy dei cittadini non statunitensi, già prefigurata con il Foreign Intelligence Surveillance Act (FISA) del 1978 e con l’Executive Order 12333 del 1982, ha ampliato la sua portata a seguito dell’adozione del “Protect America Act” (PAA). Tale provvedimento ha, infatti, consentito la sorveglianza delle comunicazioni tra due terminali all’estero, laddove le comunicazioni passino attraverso i server collocati negli USA.
Proprio in virtù del PAA, a partire dal 2007, la National Security Agency (NSA) ha attivato il programma di sorveglianza “PRISM” che, di fatto, consente al governo americano di avere accesso alle comunicazioni online di cittadini non statunitensi all’estero, anche grazie alla collaborazione dei maggiori service provider quali, ad esempio, Google, Facebook, Microsoft, Skype o Apple.
Del resto, la tendenza degli USA a preferire la sicurezza nazionale alla riservatezza è confermata anche dal più recente Clarifying Lawful Overseas Use of Data Act (anche detto “Cloud Act”), approvato dal governo nel 2018, che attribuisce ai funzionari delle forze dell’ordine la competenza a richiedere, in relazione ad un’indagine penale, contatti e-mail o altri dati, relativi a soggetti non statunitensi, in possesso delle società soggette alla giurisdizione statunitense.
Le rimostranze di Schrems sui rischi potenziali a cui erano esposti i dati dei cittadini europei trasferiti negli USA, sebbene respinte dall’Autorità Garante irlandese, furono accolte dalla CGUE, la quale, investita di una questione pregiudiziale dall’High Court irlandese a cui Schrems si rivolse per impugnare il provvedimento del DPC, dichiarava l’invalidità della decisione 2000/520/CE con cui la Commissione Europea aveva aderito al programma “Safe Harbor”. Con sentenza del 6 ottobre 2015 (anche detta “sentenza Schrems I”), infatti, la Corte di Giustizia dell’Unione Europea, puntualizzata la propria competenza a dichiarare invalide le decisioni della Commissione, ritenne il “Safe Harbor” inadeguato a proteggere i dati personali come richiesto dalla normativa privacy dell’UE, soprattutto in considerazione del fatto che lo stesso fosse applicabile esclusivamente alle aziende statunitensi che lo avessero sottoscritto e non anche alle autorità pubbliche che, di contro, sfuggivano al campo applicativo dell’accordo.
A seguito della pronuncia del 2015, il caso Schrems è finito nuovamente all’attenzione della CGUE: nel maggio 2018, infatti, la High Court irlandese gli ha deferito di pronunciarsi, anche alla luce del GDPR ormai intervenuto nell’impianto normativo europeo in sostituzione del Direttiva 95/46/CE, in merito alla validità del “Privacy Shield”, successore del “Safe Harbor”, nonché della Decisione 2010/87 relativa alle clausole contrattuali standard, clausole alle quali, immediatamente dopo la sentenza del 2015, Facebook Ireland aveva fatto ricorso per provvedere al trasferimento dei dati degli utenti in USA.
La “sentenza Schrems II”
La CGUE, con sentenza del 16 luglio 2020 (nota anche come “Schrems II”), ha dichiarato invalida la Decisione 2016/1250 della Commissione Europea, smantellando la possibilità di ricorrere al “Privacy Shield” quale base giuridica per i trasferimenti di dati personali dei cittadini europei negli USA.
Di fatto, la Corte ha ritenuto che il “Privacy Shield” non abbia adempiuto all’obiettivo di limitare le ingerenze del governo statunitense sui dati dei cittadini europei.
La Corte ha altresì rilevato l’inadeguatezza della tutela giurisdizionale prevista dal “Privacy Shield”; in particolare, “l’Ombudsperson”, ovvero l’organo a cui è affidata la procedura di mediazione attivabile in caso di lesione della privacy, difetta di poteri decisori vincolanti nei confronti degli organi di intelligence statunitensi e non presenta, rispetto all’amministrazione, un grado di indipendenza tale da garantire l’effettiva tutela dei soggetti interessati.
Parallelamente, la CGUE si è espressa con riguardo alle clausole contrattuali standard, affermandone la validità. Tuttavia la Corte ha subordinato il ricorso a dette clausole ad una previa valutazione, condotta “caso per caso”, che l’esportatore e l’importatore di dati sono chiamati a svolgere prima del trasferimento, tenendo conto delle circostanze relative al trasferimento stesso.
Tale valutazione è finalizzata a verificare che il Paese destinatario del trasferimento fornisca un livello di protezione dei dati personali conforme a quello richiesto dalle clausole stesse e dai principi fondamentali dell’UE, nonché a valutare eventuali rischi in cui possano incorrere i diritti e le libertà dei cittadini europei i cui dati. A seguito della valutazione e tenendo conto del caso specifico, l’esportatore e l’importatore dei dati possono, ove necessario, introdurre misure supplementari (giuridiche, tecniche o organizzative) a quelle previste dalle clausole contrattuali standard che, unitamente a queste ultime, garantiscano che la normativa del Paese importatore non interferisca con il livello di protezione garantito ai dati personali mediante le clausole contrattuali e le misure supplementari stesse. Laddove non sia possibile adottare misure supplementari, risultate necessarie a seguito della valutazione di cui sopra, il trasferimento dei dati personali dovrà essere sospeso o comunque dovrà cessare.
Gestione del rischio a seguito della “sentenza Schrems II”
A fronte della pronuncia di luglio 2020 in merito all’invalidità della Decisione di adeguatezza 2016/1250, il “Privacy Shield” ha cessato, con effetto immediato, di costituire un presupposto per il legittimo trasferimento dei dati personali dall’UE verso gli USA. Ne consegue che, tutte le aziende che si “appoggiavano” a tale meccanismo adesso sono chiamate ad intervenire onde evitare di effettuare trasferimenti di dati personali in assenza di una valida base giuridica alternativa alla Decisione anzidetta e comunque allo scopo di assicurare che i dati, ancorché trasferiti a fronte di una base giuridica astrattamente idonea, siano, di fatto, adeguatamente protetti dal Paese importatore.
In un’ottica di gestione del rischio, è innanzitutto necessario che le aziende abbiano consapevolezza di eventuali trasferimenti di dati effettuati in Paesi extra UE da parte dei propri fornitori; a tal fine è necessario, in primis, individuare la “filiera del trattamento”, appurando la presenza di sub-fornitori (c.d. sub-responsabili del trattamento) di cui, eventualmente, si avvale il fornitore con cui si è contrattualizzata l’erogazione di un dato servizio. Parallelamente occorre verificare l’eventuale svolgimento, anche a mezzo di sub-fornitori, di trasferimenti di dati personali, nonché individuare quali siano i Paesi terzi destinatari dei dati e la relativa base giuridica. A questo scopo è fondamentale la sottoscrizione dei Data Processing Agreement (DPA) ai sensi dell’art. 28 del GDPR fra le parti coinvolte al fine di regolamentare modalità, condizioni e limiti del trattamento dei dati personali, nonché la predisposizione, la modifica e l’aggiornamento del Registro del trattamento ex art. 30 del GDPR, in modo tale da monitorare costantemente il flusso del trattamento dei dati personali. Del pari, a fronte dell’anzidetta valutazione, occorre predisporre o modificare, in conformità allo stato dei fatti, le informative privacy ex artt. 13 e 14 del GDPR in modo tale da consentire ai soggetti interessati l’effettiva conoscenza degli aspetti rilevanti del trattamento dei dati personali, anche al fine di garantire ai soggetti medesimi adeguata tutela in ipotesi di lesione della privacy.
Laddove venga rintracciata l’esistenza di un trasferimento di dati verso gli USA fondato sul “Privacy Shield”, occorre provvedere all’individuazione di una nuova base giuridica di cui agli artt. 46 e ss del GDPR (come ad esempio le norme vincolanti d’impresa) e aggiornare, di conseguenza, la documentazione aziendale in materia privacy e in particolar modo il contenuto del DPA che includa il “Privacy Shield” quale meccanismo di trasferimento dei dati.
Qualora vi sia l’impossibilità di ricorrere a basi giuridiche alternative alla Decisione di adeguatezza 2016/1250, in sede di selezione (o riselezione) dei fornitori di servizi, è ragionevole decidere di rivolgersi a fornitori dotati di data center localizzati nel territorio dell’UE. Al fine di non incorrere in ipotesi di trasferimenti di dati non legittimamente fondati, è altresì opportuno, proprio in sede di selezione dei fornitori, svolgere un’adeguata “Due Diligence”, ad esempio sottoponendo i potenziali partner a specifiche check-list relative alle politiche aziendali di trasferimento dei dati personali in Paesi terzi.
Inoltre, come specificato dalla CGUE, laddove si proceda a fondare l’eventuale trasferimento dei dati personali sulla base delle clausole contrattuali standard, l’importatore e l’esportatore dei dati sono chiamati a svolgere un’analisi sul Paese terzo destinatario dei dati, nonché sulla normativa ivi vigente al fine di valutare la possibilità di negoziare una serie di misure supplementari finalizzate alla salvaguardia dei dati personali dal rischio di possibili ingerenze da parte del Paese terzo.
Fra le possibili misure applicabili a tal fine si citano, a titolo puramente esemplificativo, l’uso di tecniche di crittografia, la pseudonimizzazione dei dati, la tracciabilità degli accessi, l’utilizzo di clausole che comportino l’obbligo di notifica preventiva e di autorizzazione dell’esportatore in ipotesi di richiesta di disclosure da parte dell’autorità pubblica straniera o il diritto dell’esportatore di bloccare il flusso dei dati personali, non consentendo l’ulteriore trasferimento degli stessi.
Conclusioni
Indipendentemente dalle possibili soluzioni pratiche a cui possono giungere le aziende impattate dalla “caduta del Privacy Shield”, è evidente come la CGUE, supplendo all’inerzia degli organi politici europei, abbia voluto creare un punto di svolta nei rapporti UE-USA in materia di trattamento dei dati personali. Non è chiaro, tuttavia, se alla base della scelta della Corte ci sia l’ambizione di indurre gli Stati Uniti ad adeguare la propria normativa privacy agli standard europei oppure l’intenzione di circoscrivere il flusso dei dati personali all’interno del territorio UE. A questo punto sarà interessante assistere alla reazione degli Stati Uniti chiamati a scegliere tra l’interesse economico delle proprie aziende e la tanto propagandata sicurezza nazionale che, in realtà, cela il tentativo di conservare l’ormai vacillante primato nel panorama globale.
@RIPRODUZIONE RISERVATA
