Secondo la Corte di Giustizia UE, l’invalidazione del Privacy Shield a seguito della sentenza Schrmes II non crea un vuoto giuridico perché le imprese possono fare affidamento sulle deroghe ai sensi dell’articolo 49 del GDPR. In realtà, aumentando gli standard di protezione dei dati personali trasferiti ai sensi delle Standard Contractual Clauses (SCC), la decisione della CGUE rende difficile utilizzare le SCC nella pratica e crea incertezza giuridica per le imprese: la loro valutazione può essere messa in discussione in qualsiasi momento e non vi è alcuna garanzia che i dati personali possono essere validamente trasferiti ai sensi delle SCC, nonostante tutte le misure aggiuntive che le parti potrebbero mettere in atto.
Le aziende devono pertanto affrontare, ora, la notevole sfida di conciliare gli aspetti teorici del giudizio della CGUE con la realtà aziendale in un momento in cui mancano di risorse a causa dell’attuale crisi sanitaria.
Standard Contractual Clauses: perché non sono una semplice formalità
La decisione della CGUE ricorda che l’attuazione della SCC non può più essere una semplice formalità. Gli esportatori di dati e gli importatori di dati hanno dei precisi obblighi ai sensi della SCC e devono verificare che tali obblighi possano essere rispettati nella pratica. A livello teorico, la decisione della CGUE appare coerente con il GDPR e con i maggiori obblighi di conformità che richiede. La verifica o la valutazione richiesta dalla CGUE fa parte degli obblighi dei Titolari e dei Responsabili del trattamento ai sensi del GDPR e, come tale, deve essere documentata dell’esportatore.
In pratica, tuttavia, la CGUE richiede alle parti di effettuare una valutazione simile alla valutazione effettuata dalla Commissione ai fini dell’adozione di una decisione di adeguatezza ai sensi dell’articolo 45 del GDPR: l’esportatore di dati e l’importatore di dati che utilizzano le SCC devono valutare la legge dell’importatore di dati (o paese di destinazione) “per quanto riguarda l’accesso delle autorità pubbliche di tale paese terzo ai dati personali trasferiti” al fine di verificare se tale paese garantisce un livello adeguato di protezione, tenendo conto dei fattori presi in considerazione dalla Commissione durante lo svolgimento della propria valutazione di adeguatezza. Oltre al fatto che la Commissione ha finora riconosciuto solo 12 paesi quali fornitori una protezione adeguata (al di fuori degli Stati Uniti tramite Safe Harbor e Privacy Shield), la valutazione della Commissione si è rivelata sbagliata due volte per quanto riguarda gli Stati Uniti per entrambi i meccanismi di cui sopra, rendendo poco chiaro come le aziende potrebbero fare un lavoro migliore. Detto questo, poiché le DPA dell’UE (all’interno dell’European Data Protection Board (EDPB) si sono rifiutate di concedere un periodo di grazia per adeguarsi alla decisione della CGUE, le aziende devono necessariamente intraprendere azioni di riparazione nell’immediato, nel se desiderano continuare a trasferire i dati personali al di fuori dell’UE.
Per le aziende che hanno stabilimenti nell’UE e facevano affidamento sul Privacy Shield per trasferire dati personali negli Stati Uniti prima della decisione della CGUE, ad avviso di chi scrive le SCC saranno l’unico meccanismo di trasferimento dei dati immediatamente disponibile, in aggiunta a garanzie supplementari.
Deroghe e Binding Corporate Rules
Riguardo le deroghe ai sensi dell’articolo 49 del GDPR, quelle più rilevanti a disposizione delle imprese tipicamente sono: a) il consenso esplicito dell’individuo e, b) la deroga “contrattuale”. Dato il fatto che tale consenso può essere revocato in qualsiasi momento, questa non sarà una soluzione facilmente praticabile. La stessa conclusione vale per la deroga “contrattuale”: tale deroga può essere utilizzata solo per trasferimenti di dati occasionali e quando il trasferimento è oggettivamente necessario per l’esecuzione di un contratto con la persona fisica (cioè in casi molto limitati).
Nemmeno le Binding Corporate Rules (“BCR”), l’unico altro meccanismo contrattuale attualmente utilizzato per trasferire i dati, possono essere una soluzione immediata. L’approvazione e l’attuazione delle BCR possono richiedere anni. Inoltre, l’EDPB ha confermato che la decisione della CGUE si applica anche nel contesto delle BCR, il che significa che le società che si affidano alle BCR devono anche valutare la legge del paese di destinazione per determinare se le garanzie fornite dalle BCR possono essere rispettate nella pratica.
L’implementazione di un valido meccanismo di trasferimento dei dati (contrattuale) non è più sufficiente, le imprese devono inoltre garantire che la legge del paese di destinazione non impedisca all’importatore di dati di conformarsi a tale meccanismo.
Il trasferimento di dati negli Usa
Per i trasferimenti di dati negli Stati Uniti, l’esportatore di dati e l’importatore di dati dovrebbero prima determinare i tipi chiave di sorveglianza del governo statunitense e meccanismi di raccolta di informazioni a cui è soggetto l’importatore di dati. La CGUE si è concentrata sulla sezione 702 del Foreign Intelligence Surveillance Act degli Stati Uniti del 1978 (“FISA”) che si applica alla raccolta di dati da “fornitori di servizi di comunicazione elettronica”. Tuttavia, ci sono altre leggi e la maggior parte di queste leggi sono redatte in modo ampio per essere applicate alla maggior parte delle aziende negli Stati Uniti. Non è quindi tanto una questione se l’importatore di dati sia soggetto alle leggi sulla sorveglianza degli Stati Uniti, ma se l’importatore di dati abbia ricevuto in passato richieste o richieste dalle autorità governative degli Stati Uniti (come le forze dell’ordine o le agenzie di intelligence) che potrebbero riguardare dati e la probabilità che possano ricevere tali richieste o richieste in futuro.
Un modo per continuare a trasferire dati personali negli Stati Uniti ai sensi della SCC è dimostrare che l’importatore di dati, sebbene soggetto alle leggi sulla sorveglianza degli Stati Uniti in teoria, non abbia ricevuto in passato richieste o richieste dalle autorità governative degli Stati Uniti (come le forze dell’ordine o le agenzie di intelligence) che potrebbero riguardare dati e la probabilità che possano ricevere tali richieste o richieste in futuro.
In pratica, gli esportatori di dati dell’UE dovrebbero inviare questionari di due diligence agli importatori statunitensi per aiutarli a svolgere la valutazione del rischio di cui sopra e le imprese statunitensi dovrebbero essere pronte a rispondere a tali domande. I questionari di due diligence dovrebbero essere inviati anche agli importatori non statunitensi che potrebbero ricevere dati personali ai sensi della SCC e le parti dovrebbero effettuare una valutazione simile.
Tutte le criticità della localizzazione dei dati
Il 17 luglio 2020, l’autorità per la protezione dei dati di Berlino (Berlin Commissioner) ha rilasciato una dichiarazione dove chiedeva che i dati attualmente archiviati negli Stati Uniti fossero trasferiti nell’UE, suggerendo che un modo per conformarsi alla decisione della CGUE è quello di utilizzare i fornitori di servizi dell’UE.
In primo luogo, a questo proposito, la richiesta di localizzazione dei dati ignora totalmente la realtà aziendale. In secondo luogo, la localizzazione dei dati potrebbe essere una soluzione dal punto di vista della protezione dei dati dell’UE solo se i dati personali dovessero essere archiviati nell’UE e se non vi fosse accesso ai dati da paesi terzi (vale a dire nessun trasferimento di dati al di fuori dell’UE). Alcuni fornitori di servizi consentono già ai propri clienti di selezionare data center dell’UE, ma a un costo maggiore. Infine, le pratiche di localizzazione sono contrarie all’obiettivo della Commissione di facilitare ulteriormente i flussi di dati internazionali e promuovere la competitività delle imprese dell’UE.
A seguito della sentenza Schrems II della CGUE, e in aggiunta alle FAQ adottate il 23 luglio, il comitato ha creato una task force specifica con il compito di elaborare raccomandazioni per titolari e responsabili del trattamento nell’individuazione e nell’attuazione di adeguate misure supplementari finalizzate a garantire un’adeguata protezione in caso di trasferimento di dati verso paesi terzi.
Inoltre, il comitato ha creato una task force incaricata di esaminare i reclami presentati a seguito della sentenza Schrems II della CGUE.
Nelle more di poter considerare i risultati del lavoro di dette task force, la CGUE ha però chiarito che nella maggior parte dei casi dovranno essere attuate ulteriori salvaguardie che potrebbero essere attuate oltre a SCC, senza specificare quali potrebbero essere in pratica, siano esse legali, tecniche o organizzative.
In definitiva, a parere di chi scrive, queste salvaguardie aggiuntive dipenderanno dai risultati della valutazione del rischio delle società, o meglio dalla valutazione dell’impatto che il trasferimento verso un paese terzo la cui legislazione in materia di privacy offra meno garanzie per i diritti e le libertà degli interessati abbia sugli interessati stessi.
Le garanzie aggiuntive possono quindi scaturire ed essere giustificate da un Data Protection Impact Assessment (DPIA) dedicato all’insieme di trasferimenti di dati da un esportatore verso uno specifico paese terzo.
