La Corte di Giustizia dell’Unione europea (“CGUE”), con la sentenza del 16 luglio 2020, ha invalidato la decisione 2016/1250 della Commissione UE, la quale considerava “adeguato” il livello di protezione assicurato dal Privacy Shield, meccanismo utilizzato dalle aziende statunitensi e volto a certificare il rispetto di specifici standard nel trattamento dei dati ricevuti dall’Unione europea (“UE”).

A seguito di tale pronuncia, quindi, il trasferimento di dati personali dall’UE verso gli Stati Uniti (“USA”) per fini commerciali non può più verificarsi sulla base del Privacy Shield. Le motivazioni poste alla base di detta sentenza sono individuate (i) nell’esistenza di programmi di sorveglianza di massa che consentono al Governo americano di utilizzare i dati personali per scopi di sicurezza e difesa nazionale senza che venga rispettato il principio di proporzionalità e (ii) nell’assenza di un effettivo strumento di tutela per gli interessati.

Al contempo, la CGUE ha ritenuto valida la decisione 2010/87 della Commissione UE, la quale legittima il trasferimento dei dati personali di cittadini europei verso gli USA sulla base di clausole contrattuali tipo (cd. Standard Contractual Clauses).

La vicenda Schrems

La vicenda Schrems trae origine dalle rilevazioni di Edward Snowden – ex collaboratore della National Security Agency (NSA) – in merito all’esistenza di un programma di sorveglianza di massa utilizzato dal Governo americano e denominato “PRISM”. Secondo le rivelazioni del whistleblower, il social network Facebook aveva un ruolo fondamentale all’interno di questo programma.

A seguito di tali rivelazioni, il Sig. Maximiliam Schrems – cittadino austriaco, iscritto a Facebook dal 2008 e attivista nel campo della Data Protection – denunciava al Data Protection Commissioner irlandese (“Garante irlandese”) il trattamento illecito dei suoi dati personali, in quanto, essendo quest’ultimi oggetto di trasferimento da Facebook Ireland Ltd. (con sede legale in Irlanda e dunque all’interno dell’UE) a Facebook Inc. (con sede negli Stati Uniti), ricadevano tra i trattamenti effettuati nell’ambito del predetto programma PRISM.

La questione sollevata dal Sig. Schrems si traduceva in una complessa vicenda giudiziaria, conclusasi con una sentenza C-362/14 della CGUE (cd. Sentenza Schrems I), la quale dichiarava invalida la decisione 2000/520 della Commissione UE sull’adeguatezza della protezione offerta dal Safe Harbor – meccanismo che, all’epoca dei fatti, permetteva alle società americane di importare dati personali dall’UE) – (“Decisione Safe Harbor”), giudicando insufficienti, rispetto agli standard europei, le garanzie riconosciute dalla normativa statunitense ai cittadini europei in tema di accesso ai loro dati personali e considerando sproporzionata la sorveglianza indiscriminata esercitata dalle Autorità statunitensi sui comportamenti tenuti dagli utenti durante l’utilizzo dei social network.

Dichiarata l’invalidità della predetta Decisione, il Garante irlandese invitata il Sig. Schrems a riformulare la propria domanda e nella nuova denuncia, l’attore sosteneva che gli USA non offrissero una protezione sufficiente ai dati trasferiti dall’UE verso gli USA, in quanto ora effettuati, come dichiarato da Facebook Ireland Ltd., sulla base delle Standard Contractual Clauses (“SCC”) contenute nell’allegato della decisione 2010/87 della Commissione EU (“Decisione 2010/87”). Per tale ragione, Schrems chiedeva che venissero sospesi o vietati, per il futuro, i trasferimenti dei suoi dati personali verso gli USA.

Occorre premettere che, a seguito dell’invalidazione della Decisione Safe Harbor, gli USA e l’UE avevano avviato le trattative per un nuovo accordo relativo al trasferimento dei dati tra i due Paesi. Tale accordo veniva infatti raggiunto nel 2016, il cd. Privacy Shield, approvato dalla Commissione UE con la decisione 2016/1250 (“Decisione Privacy Shield”), il quale imponeva alle imprese americane obblighi più stringenti di tutela dei dati personali dei cittadini europei importati negli USA. Nello specifico, il Privacy Shield consisteva in un meccanismo di autocertificazione per le società statunitensi che intendevano importare dati personali dall’UE, attraverso il quale le sottoscrittrici  si impegnavano a rispettare i principi ivi contenuti e a fornire agli interessati adeguati strumenti di tutela, pena l’eliminazione delle stesse dalla lista delle società certificate (cd. Privacy Shield List) e possibili sanzioni.

Nello stesso anno, veniva altresì pubblicato il Regolamento UE 2016/679 (“GDPR” o il “Regolamento”), nuova normativa europea attualmente applicabile in materia di protezione dei dati personali.

In particolare, il Regolamento prevede una specifica disciplina per i trasferimenti di dati personali verso Paesi terzi, ritenuti legittimi solo nel caso in cui il titolare del trattamento rispetti almeno uno dei presupposti di liceità del trasferimento di cui agli artt. 44, 45, 46, 47 e 49 del GDPR, ovvero:

  • presenza di una decisione di adeguatezza da parte della Commissione UE;
  • presenza di garanzie di adeguatezza, quali le clausole contrattuali standard, le norme vincolanti d’impresa (Binding Corporate Rules “BCR”), l’adesione a codici di condotta, l’adesione a meccanismi di certificazione. Tutto ciò, a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi;
  • ulteriori condizioni (in caso di mancanza di una decisione di adeguatezza o di garanzie adeguate), quali: consenso informato dell’interessato, necessità per esecuzione di adempimenti pre-contrattuali e contrattuali, importanti motivi di interesse pubblico, diritto di difesa, interessi vitali, dati tratti da registro pubblico, interessi legittimi del titolare.

Alla luce di quanto sopra e a seguito di una articolata vicenda giudiziaria, la questione presentata dal Sig. Schrems veniva deferita dall’High Court irlandese alla CGUE, chiamata a pronunciarsi su diverse tematiche tra cui:

  • l’applicabilità del GDPRai trasferimenti di dati personali basati sulle SCC di cui alla Decisione 2010/87;
  • il livello di protezione richiesto dal GDPR nel quadro dei trasferimenti verso Paesi terzi dei dati personali;
  • gli obblighidelle Data Protection Authorities (“DPA”) nell’ambito dei trasferimenti verso Paesi terzi  basati sulle SCC; nonché
  • la validitàsia della Decisione 2010/87 sia della Decisione Privacy Shield.

Con la sentenza C-311/18 del 16 luglio 2020 (“Schrems II”), la CGUE, da un lato, ha dichiarato invalida la Decisione Privacy Shield, dall’altro ha invece ritenuto valida la Decisione 2010/87 relativa al trasferimento  di dati personali basato sulle SCC.

*** *** ****

Di seguito, si esamineranno le questioni pregiudiziali sottoposte alla CGUE dalla High Court irlandese.

  • Applicabilità del GDPR ai trasferimenti di dati personali basati sulle SCC

Come sottolineato dalla CGUE, il GDPR trova applicazione nel caso di trasferimento di dati personali effettuato a fini commerciali da un operatore economico stabilito in uno Stato membro dell’UE verso un operatore economico stabilito in un Paese terzo anche se, durante o dopo detto trasferimento, i dati possono essere soggetti a trattamento per finalità di sicurezza pubblica, di difesa e di sicurezza dello Stato ad opera delle autorità del Paese terzo considerato. Pertanto, il trattamento dei dati personali ad opera di un’Autorità di un Paese terzo non può escludere un trasferimento basato sulle SCC dall’ambito di applicazione del GDPR.

Alla luce di quanto sopra, la CGUE ritiene che la validità della Decisione 2010/87 non può essere messa in dubbio per il solo fatto che le SCC previste da tale Decisione non siano vincolanti per le Autorità del Paese terzo verso cui i dati possono essere trasferiti, avendo le stesse natura contrattuale.

  • Livello di protezione dei dati personali richiesto dal GDPR nel quadro dei trasferimenti verso Paesi terzi

Con specifico riferimento al livello di protezione richiesto nell’ambito di un trasferimento basato sulle SCC, la CGUE dichiara che i requisiti previsti dal GDPR in materia di garanzie adeguate, diritti opponibili e mezzi di ricorso effettivi devono essere interpretati nel senso che i soggetti interessati i cui dati personali sono trasferiti verso un Paese terzo sulla base delle SCC, devono godere di un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’UE dal GDPR, letto alla luce della Carta dei Diritti Fondamentali dell’UE (“Carta”).

Pertanto, la valutazione del predetto livello di protezione deve prendere in considerazione sia quanto stipulato contrattualmente tra l’esportatore dei dati europeo e il destinatario del trasferimento stabilito nel Paese terzo, sia – per quel che riguarda un eventuale accesso da parte delle pubbliche Autorità di tale Paese terzo ai dati trasferiti – gli elementi pertinenti del sistema giuridico del Paese di destinazione.

  • Obblighi delle DPA nell’ambito dei trasferimenti verso Paesi terzi basati su SCC

Con riferimento agli obblighi imposti alle DPA nell’ambito dei trasferimenti verso Paesi terzi basati sulle SCC, la CGUE prevede che, salvo l’esistenza di una decisione di adeguatezza validamente adottata dalla Commissione UE, le DPA sono tenute, ove l’esportatore non l’abbia fatto, a sospendere o vietare un trasferimento di dati personali verso un Paese terzo qualora, alla luce delle circostanze proprie di tale trasferimento, si ritenga che le SCC non siano o non possano essere rispettate nel Paese di destinazione e che la protezione dei dati trasferiti, prevista e richiesta dal GDPR, non possa essere garantita con altri mezzi.

  • Validità della Decisione 2010/87 e della Decisione Privacy Shield

La CGUE ritiene che la validità della Decisione 2010/87 derivi dalla previsione di meccanismi efficaci che (i) consentano di garantire il rispetto di un livello di protezione sostanzialmente equivalente a quello garantito dal GDPR nell’UE; (ii) prevedano la sospensione o il divieto di trasferimenti di dati personali effettuato sulla base delle SCC in caso di violazione delle clausole stesse o nel caso in cui risulti impossibile garantirne l’osservanza e il rispetto.

Il mero fatto che le SCC, per il loro carattere contrattuale, non vincolino le Autorità del Paese verso il quale i dati sono trasferiti non incide sulla validità della Decisione 2010/87.

La CGUE sottolinea altresì che la predetta Decisione impone l’obbligo, sia per l’esportatore dei dati sia per il destinatario degli stessi, di verificare preliminarmente che il livello di protezione dei dati sia rispettato nel Paese terzo destinatario, imponendo al destinatario stesso di informare l’esportatore dei dati della sua eventuale impossibilità di conformarsi alle SCC, con conseguente onere, nel caso, di sospendere il trasferimento di dati e/o di risolvere il contratto concluso con l’esportatore.

La CGUE si è altresì pronunciata sulla validità della Decisione Privacy Shield, dichiarandone l’invalidità per motivi connessi principalmente alla violazione delle disposizioni della Carta che garantiscono ai cittadini europei (i) il rispetto della vita privata e familiare (art. 7 della Carta), (ii) la protezione dei dati personali (art. 8 della Carta), nonché (iii) il diritto a una tutela giurisdizionale effettiva (art. 47 della Carta).

Si precisa che il Privacy Shield, così come il precedente Safe Harbor, sanciva il primato delle esigenze di sicurezza nazionale, interesse pubblico o amministrazione della giustizia rispetto ai principi relativi alla protezione dei dati previsto dallo stesso Privacy Shield, e, pertanto, rendeva possibili eventuali ingerenze nei diritti fondamentali degli interessati i cui dati personali fossero trasferiti dall’UE verso gli USA.

Nel caso di specie, la Commissione UE, in sede di valutazione del Privacy Shield, aveva considerato positivamente le limitazioni e le garanzie previste dalla normativa statunitense (in particolare, l’art. 702 del Foreign Intelligence Surveillance Act (FISA), l’Executive Order (EO) 12333 e il Presidential Policy Directive (PPD) 28) in materia di accesso e utilizzo, da parte delle Autorità statunitensi, dei dati trasferiti dall’UE verso gli USA, constatando che l’utilizzo e l’accesso a tali dati da parte delle Autorità americane fosse limitato a quanto strettamente necessario per conseguire l’obiettivo di sicurezza nazionale e che fosse riconosciuta agli interessati la possibilità di esercitare, contro tali ingerenze, i propri diritti.

Alla luce di una puntuale analisi della Decisione Privacy Shield effettuata dalla CGUE, quest’ultima ha tuttavia sancito l’invalidità della stessa ritenendo che:

  • le Autorità pubbliche statunitensi hanno una indiscriminata facoltà di utilizzare i dati per scopi di sicurezza e difesa nazionale e, pertanto, i programmi di sorveglianza statunitensi non risultano essere limitati a quanto strettamente necessario e proporzionato come richiesto dal diritto dell’UE, violando così le disposizioni di cui all’art. 52 della Carta;
  • non vi è un effettivo strumento di tutelaper gli interessati, che, sostanzialmente, non hanno la possibilità di adire un giudice al fine di ottenere una sentenza in grado di vincolare le Autorità pubbliche statunitensi. Infatti, il meccanismo di mediazione previsto dal Privacy Shield (cd. Mediatore o Ombudsman) non fornisce agli interessati un mezzo di ricorso dinanzi ad un organo che offra garanzie sostanzialmente equivalenti a quelle richieste nel diritto dell’Unione, tali da assicurare tanto l’indipendenza del Mediatore quanto l’esistenza di norme che consentano allo stesso di adottare decisioni vincolanti nei confronti dei servizi di intelligence

FAQ dell’European Data Protection Board

A seguito della sentenza Schrems II, lo European Data Protection Board (“EDPB”) ha elaborato un primo documento volto a fornire risposte ad alcune delle domande ricevute dalle DPA (le “FAQ”). L’EDPB, data la complessità della situazione, ha comunicato che tale documento sarebbe stato man mano integrato con ulteriori analisi a seguito di una valutazione e di un esame più approfondito della sentenza.

Nelle predette FAQ, l’EDPB ha tuttavia chiarito che, a seguito della dichiarazione di invalidità della Decisione Privacy Shield, non è previsto un periodo di garanzia durante il quale poter continuare a trasferire i dati verso gli USA in quanto – come statuito dalla CGUE – la normativa statunitense non garantisce un livello di protezione ai dati personali sostanzialmente equivalente a quello riconosciuto in Europa. Pertanto, un eventuale trasferimento dei dati personali sulla base del Privacy Shield è, oggi, considerato illegale.

L’EDPB fornisce chiarimenti anche in merito ai trasferimenti verso un Paese terzo effettuati sulla base delle SCC o delle Binding Corporate Rules (“BCR”).

Considerando che la CGUE ha rilevato che la normativa degli USA non garantisce un livello di protezione sostanzialmente equivalente a quello europeo, il trasferimento effettuato sulla base delle SCC dovrà dipendere dall’esito di una specifica valutazione che dovrà tener conto delle circostanze del trasferimento e delle misure supplementari (ad esempio misure giuridiche, tecniche o organizzative) eventualmente messe in atto per lo specifico trasferimento. Queste ultime, unitamente alle SCC, dovrebbero garantire la non interferenza della normativa statunitense con l’adeguato livello di protezione garantito dalle SCC e dalle misure supplementari stesse. È inteso che debba essere condotta un’analisi caso per caso, con la conseguenza che, qualora si ritenesse che non sia garantito un adeguato livello di protezione, occorrerà sospendere o porre fine al trasferimento dei dati personali.

La logica appena descritta si deve ritenere applicabile anche alle BCR.

L’EDPB ha inoltre chiarito che è possibile utilizzare una delle deroghe di cui all’art. 49 del GDPR per trasferire i dati personali negli USA, purché siano soddisfatte le condizioni previste dall’articolo stesso, ed in particolare:

  • qualora il trasferimento sia basato sul consenso dell’interessato, tale consenso deve essere esplicito, specifico con riguardo al particolare trasferimento, ed informato;
  • qualora il trasferimento sia necessario per l’esecuzione di un contratto stipulato tra il titolare del trattamento e l’interessato, bisogna tuttavia tenere in considerazione che i dati personali possono essere trasferiti solo su base occasionale, ritenendosi tale la situazione in cui il trasferimento è oggettivamente necessario all’esecuzione del contratto;
  • qualora il trasferimento sia necessario per motivi di interesse pubblico, l’EDPB ricorda che il requisito essenziale per l’applicabilità di tale deroga è la constatazione della sussistenza di importanti motivi di interesse pubblico, e non già la natura del soggetto coinvolto nel trasferimento, e che, sebbene tale deroga non sia limitata ai trasferimenti di dati aventi natura “occasionale”, ciò non significa che i trasferimenti di dati sulla base della deroga relativa alla sussistenza di importanti motivi di interesse pubblico possano configurarsi su larga scala e in modo sistematico.

L’EDBP sottolinea che le deroghe di cui all’art. 49 del GDPR non devono trasformarsi di fatto in “regole”, essendo necessario limitarne l’applicazione a situazioni specifiche.

Con riferimento alla possibilità di continuare ad utilizzare le SCC e le BCR per trasferimenti verso Paesi terzi diversi dagli USA, l’EDPB chiarisce che è compito dell’esportatore e dell’importatore di dati valutare se il livello di protezione richiesto dal diritto dell’UE sia rispettato nel Paese terzo verso il quale i dati sono trasferiti al fine di determinare se le garanzie fornite dalle SCC o dalle BCR possano essere rispettate nella pratica.

In caso contrario, occorre valutare se sia possibile prevedere misure supplementari per garantire un livello di protezione sostanzialmente equivalente a quello previsto nell’UE e se la legislazione del Paese terzo non consenta ingerenze nei riguardi delle suddette misure supplementari tali da comprometterne di fatto l’efficacia. A tal fine, è possibile rivolgersi all’importatore di dati per individuare la legislazione del rispettivo Paese ed effettuarne una valutazione congiunta. Nel caso in cui l’esportatore o l’importatore dei dati nel Paese terzo rilevi che i dati trasferiti ai sensi delle SCC o delle BCR non godano di un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’UE, occorrerà sospendere immediatamente i trasferimenti. In caso contrario, sarà necessario informarne la DPA competente, la quale avrà dunque un ruolo fondamentale in sede di applicazione del GDPR e nell’adottare ulteriori decisioni in materia di trasferimenti verso Paesi terzi.

Infine, l’EDPB chiarisce la situazione relativa ai trasferimenti effettuati da un responsabile del trattamento designato ai sensi dell’art. 28 del GDPR, rilevando che l’atto di nomina stipulato ai sensi del predetto articolo deve stabilire se i trasferimenti di dati verso Paesi terzi siano o meno autorizzati.

Ove l’atto di nomina del responsabile del trattamento autorizzi trasferimenti verso gli USA, ma non sia possibile né introdurre misure supplementari tali da garantire un livello di protezione sostanzialmente equivalente a quello europeo, né applicare le deroghe di cui all’art. 49 del GDPR, l’unica soluzione percorribile sarà quella di negoziare un emendamento o una clausola aggiuntiva al contratto volta ad  evitare il trasferimento di dati verso gli USA.

Conclusioni

La pronuncia della CGUE ha evidenziato due aspetti molto importanti  in merito ai trasferimenti  dei dati personali negli USA: (i) la mancanza, nell’ambito dei programmi di sorveglianza di massa statunitensi, di proporzionalità e di limiti all’accesso dei dati importati dall’UE da parte delle Autorità statunitensi, e (ii) l’assenza di un effettivo strumento di tutela per gli interessati.

Inoltre, è interessante notare che la sentenza della CGUE non sancisce un principio valido solo ed esclusivamente per gli USA, ma trova applicazione nei confronti di tutti quei Paesi terzi che non siano in grado di rispettare e garantire standard di protezione dei dati personali “sostanzialmente equivalenti” a quelli assicurati dal GDPR.

Pertanto, se si affermasse a livello mondiale il modello europeo per il corretto trattamento dei dati personali, ciò comporterebbe la creazione di vere e proprie “liste nere” di Paesi extraeuropei verso i quali il trasferimento dei dati personali sarebbe vietato per via dell’assenza di un livello di protezione dei dati in linea con gli standard europei.

Tale situazione potrebbe avere dunque forti ripercussioni anche sull’economia dei dati, il cui potenziale economico si manifesta soprattutto attraverso la raccolta, l’utilizzo, la conservazione, lo studio e l’aggregazione degli stessi, considerati il “petrolio del XXI secolo”.

Ad oggi, infatti, i maggiori player del “mercato dei dati” sono fornitori di servizi di cloud computing, big tech e social media, aventi sede per lo più in Paesi extraeuropei (USA, Cina, Corea del Sud, India, etc.) dove il costo delle infrastrutture e della mano d’opera è sicuramente inferiore a quello europeo. Alla luce di ciò, molti si sono interrogati sullo scopo effettivo della sentenza in esame, prospettando come motivo fondante della stessa la volontà di rendere l’UE il Paese sovrano nella gestione e nel trattamento dei dati personali, forzando la conservazione degli stessi all’interno dei confini europei e realizzando dunque una “europeizzazione” del mercato dei dati.

In conclusione, tuttavia, per comprendere quali saranno le effettive conseguenze, anche economiche, della Sentenza Schrems II è opportuno e necessario attendere che ulteriori chiarimenti sulla questione vengano forniti da parte delle autorità competenti. In ogni caso, ciò che risulta pacifico è che la CGUE ha confermato l’importanza e la supremazia del modello di protezione dei dati personali realizzato dall’UE, fondato sull’individuo e sui diritti riconosciutigli.