Il trasferimento di dati dall’Unione europea agli Stati Uniti dopo la sentenza Schrems II

La sentenza nella causa C-311/18 “Schrems II” e il contesto normativo

La Corte di giustizia dell’Unione europea si è espressa, con sentenza nella causa C-311/18, dichiarando l’invalidità della decisione 2016/1250 della Commissione, in ordine all’adeguatezza della protezione offerta dal regime dello scudo Ue-Usa per la privacy e, contestualmente, la validità della decisione 2010/87 relativa, invece, alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi.

Al centro della questione il trasferimento di dati personali effettuato a fini commerciali da un operatore economico stabilito in uno Stato membro verso un operatore economico stabilito in un paese terzo.

In effetti, il trasferimento dei dati personali verso un paese terzo che – come sancito dal GDPR[1] – può avvenire, in linea di principio, solo se il paese terzo garantisce un adeguato livello di protezione dei dati che riceve. In assenza di una decisione di adeguatezza ai sensi dell’art. 45 GDPR, dovrà essere l’esportatore dei dati personali, stabilito nell’Unione, a prevedere un sistema di garanzie adeguate che dovrà risultare da clausole tipo di protezione dei dati adottate dalla Commissione, nonché dall’effettiva possibilità per i soggetti interessati di far valere i propri diritti: si tratta, ex art. 46 GDPR, delle cosiddette Standard Contractual Clause (SCC): clausole contrattuali standard, previamente approvate dalla Commissione Europea, che l’esportatore e l’importatore di dati devono inserire nei contratti tra loro intercorrenti[2].

Nel caso di specie, ad aver trasferito dati personali verso server situati nel territorio degli Stati Uniti è stato, addirittura, Facebook Ireland, senza, tuttavia, garantire condizioni di adeguatezza.

La Corte, dunque, ha deciso sul ricorso presentato da un cittadino austriaco (residente in Austria), il sig. Schrems, vietando il trasferimento, sulla base dell’assunto che diritto e prassi degli Stati Uniti non assicurano ai dati trasferiti verso tale paese una protezione sufficiente contro l’accesso da parte delle pubbliche autorità; in particolare la Corte ha rilevato che, sulla base del Foreign Intelligence Surveillance Act (FISA) del 1978[3] e l’Executive Orders 12333 (E.O. 12333) del 198[4], lo scudo Ue-Usa offre uno spazio d’ingerenza alle agenzie dell’Intelligence statunitensi sui dati personali di cittadini europei in transito da e verso gli Stati Uniti[5].

La decisione della Corte si va ad incuneare, da una parte, in una situazione di relativa freddezza nei rapporti tra l’amministrazione Trump e l’Unione europea; dall’altra, in un contesto di aperto contrasto tra le Istituzioni europee e le grandi multinazionali americane dei settori hi-tech per quanto riguarda la questione della tassazione degli utili: in particolare, pochi giorni prima della sentenza Schrems II, la Corte ha annullato una decisione della Commissione Europea che aveva giudicato essere aiuto di Stato (e quindi passibile di sanzione economica) la tassazione di favore che la Repubblica Irlandese aveva accordato alla società di Cupertino.

Ritornando al tema della sentenza Schrems II e, come anticipato, la Corte non ha dichiarato l’invalidità della Decisione relativa alle SCC ma ha sottoposto l’uso di tali clausole a condizioni piuttosto stringenti: i trasferimenti di dati personali, fondati su tali clausole, siano sospesi o vietati in caso di violazione di tali clausole o di impossibilità di rispettarle. Una circostanza, questa, di cui deve accertarsi, in via preliminare, l’esportatore dei dati. Inoltre, grava sul destinatario extra Ue informare l’esportatore dei dati della sua eventuale impossibilità di conformarsi alle clausole tipo di protezione, con l’onere, in tal caso, per quest’ultimo di sospendere il trasferimento di dati e/o di risolvere il contratto concluso con il primo[6].

Giova evidenziare che il rinvio pregiudiziale consente ai giudici degli Stati membri, nell’ambito di una controversia della quale sono investiti, di interpellare la Corte in merito all’interpretazione del diritto dell’Unione o alla validità di un atto dell’Unione. La Corte non risolve la controversia nazionale. Spetta al giudice nazionale risolvere la causa conformemente alla decisione della Corte. Tale decisione vincola egualmente gli altri giudici nazionali ai quali venga sottoposto un problema simile.

L’impatto giuridico della sentenza nella causa C-311/18 “Schrems II”

È opportuno interrogarsi sugli effetti pratici che la sentenza “Schrems II” produrrà nei meccanismi giuridici che sovrintendono al trasferimento di dati tra Ue e Usa.

Appare, pertanto, utile effettuare un rapidissimo ripasso delle opzioni che il GDPR offre alle organizzazioni per trasferire dati dalla Ue agli Usa, valutandole alla luce dei princìpi pronunciati dalla Corte nella sentenza Schrems II.

  1. L’art. 45 GDPR, cioè il trasferimento dei dati sulla base di una decisione di adeguatezza; è, in pratica, il sistema dello scudo che, sulla base della decisione 2016/1250, è stato invalidato (in effetti, la decisione 2016/1250 era stata emanata in base all’art.25, comma 2, dell’abrogata Direttiva 95/46/CE che, mutatis mutandis, è stata trasfusa nell’art. 45 GDPR).
  2. L’art. 46, comma 2, lett. b, in combinato disposto con l’art. 47 GDPR, cioè le norme vincolanti d’impresa; è un meccanismo che può essere utilizzato dalle (grandi) imprese per i trasferimenti intragruppo sottoponendo delle regole di trasferimento, in via preventiva, all’autorità di controllo competente e ottenendo una sorta di autorizzazione preventiva e personale a effettuare i trasferimenti sulla base delle regole approvate.
  3. L’art. 46, comma 2, lett. c, cioè le summenzionate SCC, che tuttavia, dopo la sentenza Schrems II, possono essere utilizzate, solo subordinatamente al fatto che il titolare europeo esportatore dei dati possa garantire che tali clausole siano, e possano, essere rispettate nell’ambito del territorio statunitense dall’importatore dei dati (il quale rimane, comunque, soggetto ai penetranti poteri d’indagine dei servizi d’Intelligence degli Stati Uniti); in altri termini, il ricorso alle SCC per gli Stati Uniti, in seguito alla sentenza Schrems II, appare essere maggiormente rischioso per le società europee esportatrici di dati.
  4. L’art. 49, comma 1, GDPR, infine, offre uno strumento residuale che può essere utilizzato solamente in mancanza di una decisione di adeguatezza ai sensi dell’articolo 45, paragrafo 3, o di garanzie adeguate ai sensi dell’articolo 46, comprese le norme vincolanti d’impresa, se l’interessato abbia espressamente acconsentito al trasferimento dopo essere stato adeguatamente informato dei rischi o se il trasferimento sia necessario per una serie di motivi tra cui l’esecuzione di un contratto, importanti motivi d’interesse pubblico, esercitare un diritto in sede giudiziaria. L’art. 49, tuttavia, come interpretato dall’EPDB, deve essere utilizzato solo in via residuale e non come base normativa ordinaria per effettuare trasferimenti di dati dalla Ue agli Usa[7]

In definitiva, in seguito alla sentenza Schrems II del 16 luglio 2020, le SCC costituiscono probabilmente la soluzione migliore per poter trasferire dati dalla Ue agli Stati Uniti: si tratta, tuttavia, di una soluzione che sottopone l’impresa europea esportatrice di dati, come anche quella statunitense destinataria degli stessi, a diversi rischi in quanto, come visto, non si tratta di un’esenzione “in bianco” ma condizionata a rilevanti assunzioni di responsabilità in ordine all’effettivo rispetto di quanto stabilito nella clausola standard adottata. Pertanto, da un punto di vista giuridico, a seguito della sentenza Schrems II, si apre necessariamente un periodo d’incertezza nella importante questione del trasferimento di dati tra Ue e Usa che non potrà non avere rilevanti effetti da un punto di vista geopolitico. In primis, non si può non rilevare una sorta di crescente isolamento del vecchio continente, in una situazione di piena tensione con l’amministrazione Trump (sebbene in scadenza, con Biden in vantaggio nei sondaggi) e le grandi multinazionali dell’hi-tech (sostanzialmente in posizione di assoluto vantaggio nella fornitura dei servizi di hosting professionale), unitamente a un rapporto altrettanto problematico con la Cina per quanto riguarda la questione del 5G e di Huawei: si noti che, nonostante i roboanti proclami della strategia di Lisbona[8], i paesi della Ue rischiano di rimanere schiacciati in un conflitto tra due imperi (quello americano e quello cinese) basato sul dominio dell’alta tecnologia dalla quale sono sostanzialmente esclusi. La sentenza Schrems II potrebbe anche essere letta, in senso opposto, come una sorta di spinta a creare dei campioni europei nello strategico settore dell’hosting, dopo che la commissaria europea alla concorrenza, Margrethe Vestager, ha bocciato nel 2019 il piano franco-tedesco di fusione tra Alstom e Siemens in quello del trasporto ferroviario. Rimane il fatto che un ecosistema di hosting come quello delle multinazionali americane non si crea in un giorno e la sentenza Schrems II rischia di provocare rilevanti danni alla (già provata) economia europea.

[1] Regolamento (Ue) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.

[2]Ad oggi, la Commissione Europea ha approvato, ex art. 46 GDPR, due SCC per l’esportazione di dati da un titolare Ue (“data controller”) a un titolare extra-Ue e una sola SCC per l’esportazione di dati da un titolare Ue a un responsabile extra-Ue (“data processor”). Le SCC approvate dalla Commissione sono visionabili al seguente link: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.

[3]Visionabile al seguente link: https://www.govinfo.gov/content/pkg/STATUTE-92/pdf/STATUTE-92-Pg1783.pdf#page=1.

[4]Visionabile al seguente link: https://www.archives.gov/federal-register/codification/executive-order/12333.html.

[5]Si veda, in particolare, il paragrafo 178 della citata sentenza nella causa C-311/18: «Nel caso di specie, la constatazione effettuata dalla Commissione nella decisione ‘scudo per la privacy’, secondo la quale gli Stati Uniti garantiscono un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’Unione dal RGPD, letto alla luce degli articoli 7 e 8 della Carta, è stata rimessa in discussione, in particolare, sulla base del rilievo che le ingerenze risultanti dai programmi di sorveglianza fondati sull’articolo 702 del FISA e sull’E.O. 12333 non sarebbero soggette a requisiti che garantiscano, nel rispetto del principio di proporzionalità, un livello di protezione sostanzialmente equivalente a quello garantito dall’articolo 52, paragrafo 1, seconda frase, della Carta. Occorre quindi esaminare se detti programmi di sorveglianza siano attuati nel rispetto di tali requisiti, senza che sia necessario verificare preliminarmente il rispetto, da parte di tale paese terzo, di condizioni sostanzialmente equivalenti a quelle previste dall’articolo 52, paragrafo 1, prima frase, della Carta».

[6]Si veda il paragrafo 146 della citata sentenza nella causa C-311/18: «a meno che esista una decisione di adeguatezza validamente adottata dalla Commissione, l’autorità di controllo competente è tenuta, a norma dell’articolo 58, paragrafo 2, lettere f) e j), del RGPD, a sospendere o a vietare un trasferimento siffatto, qualora detta autorità ritenga, alla luce di tutte le circostanze proprie di tale trasferimento, che le suddette clausole non siano o non possano essere rispettate in tale paese terzo e che la protezione dei dati trasferiti richiesta dal diritto dell’Unione non possa essere garantita con altri mezzi, ove il titolare del trattamento del trattamento o il responsabile del trattamento stabiliti nell’Unione non abbiano essi stessi sospeso il trasferimento o messo fine a quest’ultimo».

[7]In particolare le guidelines dell’EPDB precisano che: «derogations under Article 49 are exemptions from thegeneral principlethat personal data may only be transferred to third countries if an adequate level of protection is provided for in the third country orif appropriate safeguards have been adducedandthe data subjectsenjoy enforceable and effective rightsin order to continue to benefit from their fundamental rights and safeguards.5Due to this factand in accordance with theprinciples inherent in European law,6the derogations must be interpreted restrictivelyso that the exception does not become the rule.7This is also supported by the wording of the title of Article 49 which states that derogations are to be used for specific situations (“Derogations for specific situations”)». Si veda:  https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_en.pdf

[8]Nel 2000, l’Unione europea si era data l’ambizioso obiettivo di «diventare l’economia basata sulla conoscenza più competitiva e dinamica del mondo».

 

*Paolo Maria Gangi, avvocato del Foro di Roma, fornisce prevalentemente consulenza alle PMI italiane in materia di contrattualistica nazionale e internazionale, privacy e compliance in genere (export controls, D.Lgs. 231 del 2001, adeguatezza degli assetti organizzativi al novellato art. 2086, comma 2).

** Giuseppe Miceli è Legal Advisor, esperto in materia di protezione dei dati personali ed è Autore e Curatore editoriale dei seguenti manuali: La Privacy negli studi professionali, scritto con M. Miceli e L. Malatesta, Edito Gruppo Maggioli, 2019 https://www.fiscoetasse.com/BusinessCenter/scheda/40977-la-privacy-negli-studi-professionali-ebook-2019.html; Guida alla nuova privacy, Edizione Legislazione Tecnica, 2019, https://ltshop.legislazionetecnica.it/schedaprodotto.asp?id_catal=1501&err_code=NOCK

 

Ultime notizie
Relazione DIA
Criminalità e contrasto

Relazione Semestrale DIA, la mafia si insinua anche grazie ai traffici di droga e di armi

La Relazione DIA relativa al primo semestre 2023 è stata resa nota questa mattina. Le mafie emergono come fenomeni sempre più mutevoli che cambiano forme e modalità di azione, adattandosi ai contesti socio-economici. Il traffico di droga resta la fonte maggiore di profitto per i clan, mentre si rileva la presenza di un traffico di armi, anche da guerra.
di redazione
Relazione DIA
economia africana
Mondo

Come va l’economia africana? La realtà del Continente al di là dei macro-dati

L’economia del Continente africano crescerà tra il 3,8% e il 4% nel 2024 e sarà la seconda economia a livello mondiale dopo quella asiatica, ma i dati reali, non meramente legati a fattori economici, descrivono una realtà più incerta e mutevole, determinata dai conflitti, dall’instabilità politica e da disastri naturali ed eventi climatici, come la siccità.
di Emanuele ODDI*
economia africana
rimesse economiche
Immigrazione

L’importanza sociale delle rimesse economiche dei migranti

Le rimesse economiche dei migranti rappresentano una risorsa per il paese d’origine che le riceve, oltre a un diritto e un mezzo di emancipazione di molte famiglie dalla povertà. Ma allo stesso tempo, queste possono creare squilibri nel tessuto sociale: una ricchezza, dunque, che andrebbe guidata da progetti di investimento strutturati.
di Marco Omizzolo*
rimesse economiche
Intervista

Neuroscienze della narrazione, lo storytelling nell’era dell’Intelligenza artificiale

“Neuroscienze della narrazione” è il saggio di Marco La Rosa, pubblicato da Hoepli, che analizza presente e futuro dello storytelling nell’era dell’IA. Oltre al rischio di un eccessivo appiattimento dei contenuti, come già accade per le immagini generate da IA, La Rosa allerta sulla condizione dell’“uomo di vetro”, ovvero privato della sua riservatezza.
di Massimiliano Cannata
migrazione e asilo
Europa

Nuovo Patto europeo su migrazione e asilo, manca un vero equilibrio tra responsabilità e solidarietà

Il nuovo Patto europeo su migrazione e asilo ha generato notevoli perplessità sul fronte dei diritti umani e della solidarietà tra Stati Ue, in particolare sul trattamento dei minori e sulla possibilità data agli Stati membri di rifiutarsi di ospitare i richiedenti asilo in cambio di un contributo finanziario alla gestione dei processi di rimpatrio.
di Ugo Melchionda*
migrazione e asilo
violenza di genere
Società

Giovani e violenza di genere. I dati della Direzione Centrale della Polizia Criminale

Violenza di genere, un report del Servizio Analisi Criminale delle Forze di Polizia analizza il fenomeno in una ottica generazionale. I delitti in àmbito affettivo e familiare sono in calo, ma troppo spesso riguardano vittime e autori con meno di 34 anni, con prevalenza di giovani adulti. Il 76% delle donne vittime di violenze sessuali ha meno di 34 anni.
di redazione
violenza di genere
competenze digitali
Lavoro

Competenze digitali e nuove priorità nel mondo del lavoro, l’appuntamento Adnkronos Q&A

Attrarre nuovi talenti, valorizzare la formazione specifica e investire sulle persone: questi i temi al centro del nuovo appuntamento Adnkronos Q&A, con focus su parità e gender gap
di redazione
competenze digitali
Rapporto Italia
Rapporto Italia

Rapporto Italia, presentati i dati dell’Eurispes per il 2024

Rapporto Italia 2024, nelle parole del Presidente dell’Eurispes Gian Maria Fara un Paese al bivio, che ha bisogno di coraggio nelle scelte. Ma bisogna innanzitutto superare il “presentismo” che ha contraddistinto gli ultimi anni per scegliere con consapevolezza tra conservazione o futuro.
di redazione
Rapporto Italia
concessioni balneari
Diritto

Giurisprudenza amministrativa su concessioni balneari

Sulle concessioni balneari c’è bisogno di meno proroghe e più regole certe, ragionevoli e trasparenti, in quanto non è più possibile affidarsi solo agli esiti della giurisprudenza. I provvedimenti dovranno tenere in conto l’esperienza professionale e il know-how delle imprese, nonché tutelare gli eventuali investimenti già effettuati.
di giovambattista palumbo*
concessioni balneari
baby gang
Sicurezza

Baby gang tra realtà e percezione. Intervista a Stefano Delfini, Direttore Servizio Analisi Criminale della Direzione Centrale della Polizia Criminale

Il 36% degli italiani denuncia la presenza di baby gang nel proprio territorio, come emerge dal Rapporto Italia 2024. Ma non bisogna confondere realtà e percezione, afferma Stefano Delfini, Direttore del Servizio Analisi Criminale, che nel corso dell’intervista traccia un quadro del fenomeno criminale minorile nel nostro Paese.
di Susanna Fara
baby gang