La Corte di Giustizia europea, con una sentenza pubblicata lo scorso 16 luglio, ha invalidato la decisione di esecuzione UE 2016/1250 della Commissione circa l’adeguatezza del Privacy Shield, ovvero l’accordo intervenuto tra Stati Uniti ed Unione Europea che regola il trattamento di dati personali e il trasferimento degli stessi nel territorio americano. In particolare, secondo i giudici l’accordo in questione non garantirebbe un adeguato livello di protezione per i dati dei cittadini europei e non sarebbe quindi adeguato agli standard di sicurezza attualmente richiesti. Questa decisione, apparentemente non rilevante, è invece destinata ad impattare considerevolmente nell’attività di imprese e privati.
La tematica del trasferimento dei dati al di fuori dell’Unione Europea è un argomento alquanto delicato, infatti lo stesso GDPR contiene una precisa regolamentazione che chiarisce quali sono le condizioni in presenza delle quali il trasferimento di dati è ammesso. Peraltro, non bisogna dimenticare che il trasferimento di dati è più frequente di quanto potremmo pensare: infatti si realizza ogniqualvolta un titolare del trattamento utilizzi nell’ambito della sua attività d’impresa un servizio la cui erogazione è collegata a data center stabiliti negli USA.
Il Privacy Shield era stato (fino all’intervento della Corte di Giustizia) ritenuto adeguato dalla Commissione e, in ragione di tale approvazione, i titolari del trattamento europei potevano legittimamente trasferire i dati presso fornitori di servizi americani, senza dover ricorrere ad ulteriori misure di salvaguardia. Al contrario, una volta annullata la decisione di adeguatezza, sarà necessario individuare altri strumenti di garanzia, tra quelli previsti all’interno del GDPR, che legittimino il trasferimento di dati negli Stati Uniti.
Una strada che si potrebbe tentare di percorrere è quella dell’utilizzo di clausole contrattuali standard (la cui adeguatezza è invece stata confermata dalla Corte di Giustizia), le quali metterebbero a disposizione degli interessati strumenti efficaci per tutelare i loro diritti. Tuttavia, qualora il paese destinatario del trasferimento di dati non adottasse degli standard di tutela privacy equivalenti a quelli europei, dovrebbe immediatamente informare il titolare del trattamento circa il fatto che non potrà conformarsi a tali clausole e in tal caso il trasferimento dovrà essere sospeso. Quindi, tale meccanismo non renderebbe sempre e comunque valido il trasferimento di dati, ma lo legittimerebbe solamente qualora, previa verifica di compatibilità della normativa del paese destinatario, la stessa risultasse conforme agli standard europei.
In alternativa, il trasferimento di dati verso paesi terzi potrebbe essere ammesso, anche in assenza di autorizzazione da parte dell’Autorità di controllo, sulla base di norme vincolanti d’impresa (cd. Bindings corporate rules), ovvero regole che possono essere utilizzate nei rapporti infra gruppo, oppure avvalendosi di clausole tipo adottate da autorità di controllo nazionali e approvate dalla Commissione o ancora sulla base di codici di condotta, a cui titolare e responsabile del trattamento si sottopongono, infine potrebbero essere previsti dei meccanismi di certificazione.
Un’altra soluzione utile sarebbe quella di adottare specifiche clausole contrattuali, ma in tal caso sarà necessaria la previa autorizzazione dell’autorità di controllo. In assenza di tali strumenti di salvaguardia il trasferimento è possibile solo in presenza di specifiche deroghe, ad esempio in consenso esplicito dell’interessato che sia stato informato dei possibili rischi, esecuzioni di un contratto per cui sia necessario il trasferimento di dati, importanti motivi di interesse pubblico riconosciuti dalla legislazione dello stato membro.
In conclusione, la sentenza emessa dalla Corte di Giustizia ha determinato un vuoto di tutela e ha creato una situazione di stallo ed incertezza che, auspichiamo, possa concludersi nel più breve tempo possibile grazie ad interventi delle Autorità garanti e dell’EDPB (European Data Protection Board), che siano in grado di dare indicazioni concrete agli operatori economici. Nel frattempo, una prima valutazione che potranno effettuare i titolari del trattamento è quella di verificare quanti, tra i soggetti nominati Responsabili del trattamento, forniscono loro servizi la cui erogazione comporti un trasferimento di dati verso gli Stati Uniti; in tal caso sarà necessario innanzitutto verificare se è possibile selezionare la collocazione geografica dei data center (i grandi operatori di servizi come Amazon o Microsoft consentono già agli utenti di effettuare questa scelta); altra possibilità consiste nell’anonimizzare i dati oggetto di trasferimento. Qualora le soluzioni prospettate non siano concretamente attuabili si consiglia, per il momento, di optare per prestatori di servizi che siano stabiliti nell’Unione Europea e che non effettuino trasferimenti di dati oltreoceano.
Per informazioni contattare il Team Privacy di CNA Forlì-Cesena.
