La sentenza Schrems II, con l’ invalidazione del Privacy Shield, ha portato le aziende a effettuare una valutazione di dettaglio per verificare la congruità del regime giuridico degli Stati nei quali trasferiscono i dati personali trattati, rispetto alle garanzie offerte dal GDPR.
Tale posizione è stata prima affermata dalla CGUE e poi confermata dallo European Data Protection Board. Si tratta di una valutazione giuridicamente e tecnicamente complessa, ma necessaria, che poche – virtuose – aziende hanno iniziato ad effettuare. Nel frattempo sono partiti i primi controlli da parte dei Garanti: interessante, considerato questo contesto, chiedersi quante aziende si faranno trovare pronte.
Sentenza Schrems II, gli impatti per Governi e imprese: ecco cosa è cambiato
Gli impatti della sentenza Schrems II
La sentenza Schrems II della Corte di giustizia dell’Unione europea (CGUE), emanata il 16 luglio 2020, ha invalidato il Privacy Shield UE-USA il trattato internazionale che copriva il trasferimento di dati dall’Unione Europea verso gli Stati Uniti, e ha creato nuovi obblighi, in particolare per le imprese che trasferiscono dati personali in base a clausole contrattuali standard (SCC). Il 10 novembre 2020, il Comitato europeo per la protezione dei dati (EDPB) ha pubblicato delle raccomandazioni sulle misure che le imprese possono adottare per integrare gli strumenti di trasferimento, come le SCC, al fine di garantire il rispetto della normativa UE sulla protezione dei dati. Tali raccomandazioni hanno stabilito criteri rigorosi per l’utilizzo delle clausole contrattuali standard come meccanismo alternativo di trasferimento dei dati al di fuori dello Spazio economico europeo, obbligando le aziende a compiere una valutazione caso per caso circa l’adeguatezza di detto trasferimento.
Perché le nuove clausole contrattuali standard non saranno sufficienti
Il 12 novembre 2020, la Commissione europea ha pubblicato un progetto di decisione di attuazione sulle clausole contrattuali standard per il trasferimento di dati personali a paesi terzi ai sensi del GDPR, rendendo pubblica la bozza del set delle nuove clausole contrattuali standard (le “SCC”). Il progetto di clausole contrattuali standard regolerà i trasferimenti di dati personali al di fuori dello Spazio Economico Europeo (SEE) per sostituire le attuali SCC, tenendo conto dei cambiamenti introdotti non solo attraverso il GDPR ma anche dalla sentenza Schrems II, e per riflettere meglio l’uso diffuso di nuove e più complesse operazioni di trattamento che spesso coinvolgono più importatori ed esportatori di dati.
Successivamente, nel gennaio 2021 il Comitato europeo per la protezione dei dati (EDPB) e il Garante europeo della protezione dei dati (EDPS) hanno pubblicato un parere congiunto sulle nuove clausole contrattuali standard. EDPB ed EDPS hanno accolto con favore le nuove SCC, ma hanno chiesto di adottare diverse modifiche. A quanto pare, le modifiche richieste sono numerose e riguardano, tra l’altro, la cosiddetta “docking clause” che consente alle parti ulteriori di aderire alle SCC e agli obblighi dei responsabili del trattamento. Inoltre, l’ EDPB e l’ EDPS suggeriscono che gli allegati alle SCC chiariscano il più possibile i ruoli e le responsabilità di ciascuna parte per quanto riguarda ogni attività di trattamento, perché qualsiasi ambiguità renderebbe più difficile per i titolari o i responsabili del trattamento adempiere ai loro obblighi in base al principio di responsabilità.
Le nuove SCC non risolvono le questioni relative ai trasferimenti di dati al di fuori dello SEE generate dalla sentenza Schrems II. Infatti, sia l’EDPB che lo EDPS indicano che, per quanto riguarda specifici trasferimenti di dati personali verso paesi terzi, potrebbero essere necessarie le misure aggiuntive delineate nelle raccomandazioni dell’ EDPB. Questa presa di posizione mostra come rimanga essenziale eseguire una valutazione dell’impatto del trasferimento in relazione a qualsiasi trasferimento di dati personali al di fuori del SEE.
I controlli da parte dei Garanti privacy
L’autorità svedese per la protezione dei dati ha emesso una sanzione ai sensi del GDPR per la mancanza di protezione adeguata dei dati sensibili archiviati in una piattaforma cloud statunitense dopo la sentenza Schrems II. In particolare l’autorità ha ritenuto che l’Università di Umeå avesse trattato categorie particolari di dati personali riguardanti la vita sessuale e la salute attraverso, tra l’altro, l’archiviazione in un servizio cloud di un provider americano, senza proteggere sufficientemente i dati in questione.
La decisione è rilevante in quanto l’autorità svedese fa riferimento alla sentenza Schrems II, sostenendo che un trasferimento di dati negli Stati Uniti è di per sé in grado di innescare un rischio elevato per i dati personali in quanto gli interessati sono soggetti a garanzie limitate rispetto alla protezione dei propri dati personali e all’ esercizio dei loro diritti privacy. Più di recente, l’Autorità per la protezione dei dati personali di Amburgo ha inviato un questionario alle organizzazioni tedesche con riferimento ai trasferimenti di dati personali durante l’utilizzo di Microsoft Office 365. In particolare l’autorità sta chiedendo alle aziende di divulgare i dettagli circa la gestione dei trasferimenti di dati alla luce della decisione Schrems II, con specifico riferimento anche alla base giuridica per i trasferimenti e all’uso di clausole contrattuali standard.
Nel frattempo, per stimolare l’intervento delle Autorità di controllo, il fiato sul collo dell’associazione di Max Schrems NOYB non tarda a farsi sentire: dopo le 101 segnalazioni presentate nell’estate del 2020 in 30 stati europei per trasferimenti fuori dallo SEE da parte di società operanti in Europa, nel Gennaio del 2021 NOYB ha presentato una nuova segnalazione all’EDPS contro il Parlamento europeo a nome di sei eurodeputati, per aver utilizzato un provider che effettuava – secondo NOYB – un trasferimento illegale di dati negli Stati Uniti.
E in Italia
A livello Italiano, la sentenza ha destato forte attenzione da parte degli interessati e dei clienti, che sempre più spesso chiedono chiarimenti da parte dei propri fornitori circa l’eventuale trasferimento dei propri dati, le valutazioni effettuate e le misure di salvaguardia approntate. Appare chiaro che con larga probabilità anche il Garante italiano comincerà presto (se non ha già iniziato) a chiedere prova delle valutazioni sulla adeguatezza dei trasferimenti effettuate ai sensi della sentenza Schrems II e delle Raccomandazioni dello European Data Protection Board. Le aziende italiane si faranno trovare pronte?