Bandiere UE e USA affiancate

GDPR, TRASFERIMENTO DATI EXTRA UE NEGLI USA E IMPATTO DELLA RIMOZIONE DEL PRIVACY SHIELD

Analizziamo il GDPR relativamente al trasferimento dati extra UE negli USA e ricordiamo l’accordo privacy Shield per capire le cause e gli effetti della sua rimozione, temi molto importanti che meritano un approfondimento.

TRASFERIMENTO DATI EXTRA-UE, IL CASO USA

Il GDPR prevede relativamente al trasferimento dei dati extra-UE una specifica regolamentazione.

Come sappiamo il GDPR è il nuovo regolamento europeo in materia di trattamento dei dati personali fondato sui principi cardine della trasparenza e della responsabilizzazione; l’obiettivo principale è quello di rafforzare la protezione dei dati personali di cittadini europei sia all’interno che all’esterno dei confini dell’UE.

Se i dati dei cittadini UE vengono “esportati” al di fuori dell’Unione Europea si viene a palesare il concetto di “trasferimento” dei dati che, sebbene non perfettamente definito dal GDPR, è comunque trattato in vari punti: a cominciare dal Capo V (art. 44 e ss. GDPR) che contiene le regole cardine per il trasferimento di dati personali extra UE, per poi essere richiamato in relazione a specifici adempimenti come il registro dei trattamenti (art. 30 GDPR) i contenuti dell’informativa (art. 13 GDPR) e la valutazione di impatto (art. 35 GDPR).

Dunque, se nel panorama europeo il diritto alla riservatezza dei dati personali trova riconoscimento e protezione nel GDPR, chi garantisce la Privacy dei cittadini europei oltreoceano, e nello specifico negli USA?

La risposta a questo quesito trova spazio nell’ideazione di un accordo internazionale tra Commissione Europea e Dipartimento del Commercio degli Stati Uniti, il quale garantisce alle organizzazioni partecipanti un’adeguata protezione nel trasferimento dei dati personali, permettendo di conseguenza una facilitazione nel trasferimento degli stessi.

L’ACCORDO PRIVACY SHIELD

Nel 2016, dopo un lungo iter burocratico, Unione Europea e Stati Uniti hanno raggiunto un accordo: lo EU-US Privacy Shield (in italiano, Scudo UE-USA per la Privacy).

L’idea di un accordo “scudo” nasce in seguito all’invalidazione da parte della Corte di Giustizia dell’Unione Europea rispetto alla normativa che regolava il trasferimento di dati personali dall’UE agli USA da parte delle Imprese, il c.d. Safe Harbour (approdo sicuro) nell’ottobre del 2015.

In pratica, il Privacy Shield autorizza le aziende USA di adempire ai principi del General Data Protection Regulation (GDPR), al fine di tutelare la riservatezza dei dati personali dei cittadini europei in caso di trasferimento oltreoceano a scopo commerciale, permettendo quindi di trovare una regolamentazione al trasferimento dei dati extra-UE verso gli USA.

Il regime obbliga le imprese americane a proteggere i dati personali dei cittadini europei e rafforza i poteri di controllo del Dipartimento del Commercio USA e della Federal Trade Commission, aprendo lo spiraglio ad una collaborazione con le autorità europee di protezione dei dati.

Il Privacy Shield introduce sostanzialmente la seguente serie di novità significative:

  • • obblighi di protezione stringenti per le imprese che operano negli Stati Uniti e trattano dati personali di cittadini europei;
  • • vigilanza e controllo da parte del Dipartimento del Commercio USA;
  • • misure di sicurezza in materia di accesso ai dati da parte del Governo degli Stati Uniti; divieto di sorveglianza indiscriminata di massa da parte delle autorità pubbliche sui dati personali trasferiti negli Stati Uniti: per la prima volta, il Privacy Shield introduce forti limitazioni ai poteri di controllo del Governo degli Stati Uniti;
  • • strumenti specifici per la tutela delle persone, possibilità di ricorso per i cittadini europei; le stesse Autorità di protezione dei dati dei singoli Stati Membri potranno presentare una denuncia presso il dipartimento del Commercio e la Federal Trade Commissione;
  • • la revisione annuale congiunta dell’accordo per monitorarne l’attuazione.

Il nuovo accordo UE-USA introduce altresì un Mediatore in caso di denuncia riguardante l’accesso delle autorità nazionali di Intelligence.

RIMOZIONE DELL’ACCORDO PRIVACY SHIELD E IMPATTO SUL TRASFERIMENTO DATI UE-USA

La Corte di giustizia dell’Unione europea (CGUE), con una sentenza pronunciata il 16 luglio 2020 (c.d. “Sentenza Schrems II“) ha invalidato la decisione di esecuzione UE 2016/1250 della Commissione circa l’adeguatezza del Privacy Shield.

In particolare, secondo i giudici l’accordo in questione non garantirebbe un adeguato livello di protezione per i dati dei cittadini europei e non sarebbe quindi adeguato agli standard di sicurezza attualmente richiesti.

Questa decisione, apparentemente non rilevante, è invece destinata ad impattare considerevolmente nell’attività di imprese e privati e sulla tutela relativa al trasferimento dei dati UE-USA.

Nell’immediato risulta estremamente importante individuare altri strumenti di garanzia, tra quelli previsti all’interno del GDPR, che legittimino il trasferimento di dati negli Stati Uniti, come:

  • • l’utilizzo di specifiche clausole contrattuali standard (la cui adeguatezza è invece stata confermata dalla Corte di Giustizia), le quali metterebbero a disposizione degli interessati strumenti efficaci per tutelare i loro diritti;
  • • l’utilizzo delle BCR, norme vincolanti d’impresa (bindings corporate rules), ovvero regole che possono essere utilizzate nei rapporti infragruppo, in modo da consentire il trasferimento di dati verso paesi terzi anche in assenza di autorizzazione da parte dell’Autorità di controllo;
  • • avvalersi di clausole tipo adottate da autorità di controllo nazionali e approvate dalla Commissione;
  • • avvalersi di codici di condotta, a cui titolare e responsabile del trattamento si sottopongono,
  • • introduzione di meccanismi di certificazione a norma dell’articolo 42, unitamente all’impegno vincolante ed esigibile da parte del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati.

In assenza di tali strumenti di salvaguardia il trasferimento è possibile solo in presenza di specifiche deroghe, ad esempio un consenso esplicito dell’interessato che sia stato informato dei possibili rischi, esecuzioni di un contratto per cui sia necessario il trasferimento di dati, importanti motivi di interesse pubblico riconosciuti dalla legislazione dello stato membro.

La sentenza emessa dalla Corte di Giustizia ha determinato un vuoto di tutela e ha creato una situazione di stallo ed incertezza, la quale dovrà essere risolta, nel più breve tempo possibile, grazie agli interventi delle Autorità garanti e dell’EDPB (European Data Protection Board).

A causa dell’annullamento della decisone di adeguatezza dell’accordo, è auspicabile la stipula di un nuovo accordo Europa-USA, anche se difficilmente attuabile viste le contestazioni mosse dalla Corte di Giustizia al “sistema statunitense”, al fine di giungere ad una duratura forma di tutela in materia di trasferimento dei dati extra-UE verso gli USA.