Il trasferimento di dati dall’Unione europea agli Stati Uniti dopo la sentenza Schrems II

La sentenza nella causa C-311/18 “Schrems II” e il contesto normativo

La Corte di giustizia dell’Unione europea si è espressa, con sentenza nella causa C-311/18, dichiarando l’invalidità della decisione 2016/1250 della Commissione, in ordine all’adeguatezza della protezione offerta dal regime dello scudo Ue-Usa per la privacy e, contestualmente, la validità della decisione 2010/87 relativa, invece, alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi.

Al centro della questione il trasferimento di dati personali effettuato a fini commerciali da un operatore economico stabilito in uno Stato membro verso un operatore economico stabilito in un paese terzo.

In effetti, il trasferimento dei dati personali verso un paese terzo che – come sancito dal GDPR[1] – può avvenire, in linea di principio, solo se il paese terzo garantisce un adeguato livello di protezione dei dati che riceve. In assenza di una decisione di adeguatezza ai sensi dell’art. 45 GDPR, dovrà essere l’esportatore dei dati personali, stabilito nell’Unione, a prevedere un sistema di garanzie adeguate che dovrà risultare da clausole tipo di protezione dei dati adottate dalla Commissione, nonché dall’effettiva possibilità per i soggetti interessati di far valere i propri diritti: si tratta, ex art. 46 GDPR, delle cosiddette Standard Contractual Clause (SCC): clausole contrattuali standard, previamente approvate dalla Commissione Europea, che l’esportatore e l’importatore di dati devono inserire nei contratti tra loro intercorrenti[2].

Nel caso di specie, ad aver trasferito dati personali verso server situati nel territorio degli Stati Uniti è stato, addirittura, Facebook Ireland, senza, tuttavia, garantire condizioni di adeguatezza.

La Corte, dunque, ha deciso sul ricorso presentato da un cittadino austriaco (residente in Austria), il sig. Schrems, vietando il trasferimento, sulla base dell’assunto che diritto e prassi degli Stati Uniti non assicurano ai dati trasferiti verso tale paese una protezione sufficiente contro l’accesso da parte delle pubbliche autorità; in particolare la Corte ha rilevato che, sulla base del Foreign Intelligence Surveillance Act (FISA) del 1978[3] e l’Executive Orders 12333 (E.O. 12333) del 198[4], lo scudo Ue-Usa offre uno spazio d’ingerenza alle agenzie dell’Intelligence statunitensi sui dati personali di cittadini europei in transito da e verso gli Stati Uniti[5].

La decisione della Corte si va ad incuneare, da una parte, in una situazione di relativa freddezza nei rapporti tra l’amministrazione Trump e l’Unione europea; dall’altra, in un contesto di aperto contrasto tra le Istituzioni europee e le grandi multinazionali americane dei settori hi-tech per quanto riguarda la questione della tassazione degli utili: in particolare, pochi giorni prima della sentenza Schrems II, la Corte ha annullato una decisione della Commissione Europea che aveva giudicato essere aiuto di Stato (e quindi passibile di sanzione economica) la tassazione di favore che la Repubblica Irlandese aveva accordato alla società di Cupertino.

Ritornando al tema della sentenza Schrems II e, come anticipato, la Corte non ha dichiarato l’invalidità della Decisione relativa alle SCC ma ha sottoposto l’uso di tali clausole a condizioni piuttosto stringenti: i trasferimenti di dati personali, fondati su tali clausole, siano sospesi o vietati in caso di violazione di tali clausole o di impossibilità di rispettarle. Una circostanza, questa, di cui deve accertarsi, in via preliminare, l’esportatore dei dati. Inoltre, grava sul destinatario extra Ue informare l’esportatore dei dati della sua eventuale impossibilità di conformarsi alle clausole tipo di protezione, con l’onere, in tal caso, per quest’ultimo di sospendere il trasferimento di dati e/o di risolvere il contratto concluso con il primo[6].

Giova evidenziare che il rinvio pregiudiziale consente ai giudici degli Stati membri, nell’ambito di una controversia della quale sono investiti, di interpellare la Corte in merito all’interpretazione del diritto dell’Unione o alla validità di un atto dell’Unione. La Corte non risolve la controversia nazionale. Spetta al giudice nazionale risolvere la causa conformemente alla decisione della Corte. Tale decisione vincola egualmente gli altri giudici nazionali ai quali venga sottoposto un problema simile.

L’impatto giuridico della sentenza nella causa C-311/18 “Schrems II”

È opportuno interrogarsi sugli effetti pratici che la sentenza “Schrems II” produrrà nei meccanismi giuridici che sovrintendono al trasferimento di dati tra Ue e Usa.

Appare, pertanto, utile effettuare un rapidissimo ripasso delle opzioni che il GDPR offre alle organizzazioni per trasferire dati dalla Ue agli Usa, valutandole alla luce dei princìpi pronunciati dalla Corte nella sentenza Schrems II.

  1. L’art. 45 GDPR, cioè il trasferimento dei dati sulla base di una decisione di adeguatezza; è, in pratica, il sistema dello scudo che, sulla base della decisione 2016/1250, è stato invalidato (in effetti, la decisione 2016/1250 era stata emanata in base all’art.25, comma 2, dell’abrogata Direttiva 95/46/CE che, mutatis mutandis, è stata trasfusa nell’art. 45 GDPR).
  2. L’art. 46, comma 2, lett. b, in combinato disposto con l’art. 47 GDPR, cioè le norme vincolanti d’impresa; è un meccanismo che può essere utilizzato dalle (grandi) imprese per i trasferimenti intragruppo sottoponendo delle regole di trasferimento, in via preventiva, all’autorità di controllo competente e ottenendo una sorta di autorizzazione preventiva e personale a effettuare i trasferimenti sulla base delle regole approvate.
  3. L’art. 46, comma 2, lett. c, cioè le summenzionate SCC, che tuttavia, dopo la sentenza Schrems II, possono essere utilizzate, solo subordinatamente al fatto che il titolare europeo esportatore dei dati possa garantire che tali clausole siano, e possano, essere rispettate nell’ambito del territorio statunitense dall’importatore dei dati (il quale rimane, comunque, soggetto ai penetranti poteri d’indagine dei servizi d’Intelligence degli Stati Uniti); in altri termini, il ricorso alle SCC per gli Stati Uniti, in seguito alla sentenza Schrems II, appare essere maggiormente rischioso per le società europee esportatrici di dati.
  4. L’art. 49, comma 1, GDPR, infine, offre uno strumento residuale che può essere utilizzato solamente in mancanza di una decisione di adeguatezza ai sensi dell’articolo 45, paragrafo 3, o di garanzie adeguate ai sensi dell’articolo 46, comprese le norme vincolanti d’impresa, se l’interessato abbia espressamente acconsentito al trasferimento dopo essere stato adeguatamente informato dei rischi o se il trasferimento sia necessario per una serie di motivi tra cui l’esecuzione di un contratto, importanti motivi d’interesse pubblico, esercitare un diritto in sede giudiziaria. L’art. 49, tuttavia, come interpretato dall’EPDB, deve essere utilizzato solo in via residuale e non come base normativa ordinaria per effettuare trasferimenti di dati dalla Ue agli Usa[7]

In definitiva, in seguito alla sentenza Schrems II del 16 luglio 2020, le SCC costituiscono probabilmente la soluzione migliore per poter trasferire dati dalla Ue agli Stati Uniti: si tratta, tuttavia, di una soluzione che sottopone l’impresa europea esportatrice di dati, come anche quella statunitense destinataria degli stessi, a diversi rischi in quanto, come visto, non si tratta di un’esenzione “in bianco” ma condizionata a rilevanti assunzioni di responsabilità in ordine all’effettivo rispetto di quanto stabilito nella clausola standard adottata. Pertanto, da un punto di vista giuridico, a seguito della sentenza Schrems II, si apre necessariamente un periodo d’incertezza nella importante questione del trasferimento di dati tra Ue e Usa che non potrà non avere rilevanti effetti da un punto di vista geopolitico. In primis, non si può non rilevare una sorta di crescente isolamento del vecchio continente, in una situazione di piena tensione con l’amministrazione Trump (sebbene in scadenza, con Biden in vantaggio nei sondaggi) e le grandi multinazionali dell’hi-tech (sostanzialmente in posizione di assoluto vantaggio nella fornitura dei servizi di hosting professionale), unitamente a un rapporto altrettanto problematico con la Cina per quanto riguarda la questione del 5G e di Huawei: si noti che, nonostante i roboanti proclami della strategia di Lisbona[8], i paesi della Ue rischiano di rimanere schiacciati in un conflitto tra due imperi (quello americano e quello cinese) basato sul dominio dell’alta tecnologia dalla quale sono sostanzialmente esclusi. La sentenza Schrems II potrebbe anche essere letta, in senso opposto, come una sorta di spinta a creare dei campioni europei nello strategico settore dell’hosting, dopo che la commissaria europea alla concorrenza, Margrethe Vestager, ha bocciato nel 2019 il piano franco-tedesco di fusione tra Alstom e Siemens in quello del trasporto ferroviario. Rimane il fatto che un ecosistema di hosting come quello delle multinazionali americane non si crea in un giorno e la sentenza Schrems II rischia di provocare rilevanti danni alla (già provata) economia europea.

[1] Regolamento (Ue) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.

[2]Ad oggi, la Commissione Europea ha approvato, ex art. 46 GDPR, due SCC per l’esportazione di dati da un titolare Ue (“data controller”) a un titolare extra-Ue e una sola SCC per l’esportazione di dati da un titolare Ue a un responsabile extra-Ue (“data processor”). Le SCC approvate dalla Commissione sono visionabili al seguente link: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.

[3]Visionabile al seguente link: https://www.govinfo.gov/content/pkg/STATUTE-92/pdf/STATUTE-92-Pg1783.pdf#page=1.

[4]Visionabile al seguente link: https://www.archives.gov/federal-register/codification/executive-order/12333.html.

[5]Si veda, in particolare, il paragrafo 178 della citata sentenza nella causa C-311/18: «Nel caso di specie, la constatazione effettuata dalla Commissione nella decisione ‘scudo per la privacy’, secondo la quale gli Stati Uniti garantiscono un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’Unione dal RGPD, letto alla luce degli articoli 7 e 8 della Carta, è stata rimessa in discussione, in particolare, sulla base del rilievo che le ingerenze risultanti dai programmi di sorveglianza fondati sull’articolo 702 del FISA e sull’E.O. 12333 non sarebbero soggette a requisiti che garantiscano, nel rispetto del principio di proporzionalità, un livello di protezione sostanzialmente equivalente a quello garantito dall’articolo 52, paragrafo 1, seconda frase, della Carta. Occorre quindi esaminare se detti programmi di sorveglianza siano attuati nel rispetto di tali requisiti, senza che sia necessario verificare preliminarmente il rispetto, da parte di tale paese terzo, di condizioni sostanzialmente equivalenti a quelle previste dall’articolo 52, paragrafo 1, prima frase, della Carta».

[6]Si veda il paragrafo 146 della citata sentenza nella causa C-311/18: «a meno che esista una decisione di adeguatezza validamente adottata dalla Commissione, l’autorità di controllo competente è tenuta, a norma dell’articolo 58, paragrafo 2, lettere f) e j), del RGPD, a sospendere o a vietare un trasferimento siffatto, qualora detta autorità ritenga, alla luce di tutte le circostanze proprie di tale trasferimento, che le suddette clausole non siano o non possano essere rispettate in tale paese terzo e che la protezione dei dati trasferiti richiesta dal diritto dell’Unione non possa essere garantita con altri mezzi, ove il titolare del trattamento del trattamento o il responsabile del trattamento stabiliti nell’Unione non abbiano essi stessi sospeso il trasferimento o messo fine a quest’ultimo».

[7]In particolare le guidelines dell’EPDB precisano che: «derogations under Article 49 are exemptions from thegeneral principlethat personal data may only be transferred to third countries if an adequate level of protection is provided for in the third country orif appropriate safeguards have been adducedandthe data subjectsenjoy enforceable and effective rightsin order to continue to benefit from their fundamental rights and safeguards.5Due to this factand in accordance with theprinciples inherent in European law,6the derogations must be interpreted restrictivelyso that the exception does not become the rule.7This is also supported by the wording of the title of Article 49 which states that derogations are to be used for specific situations (“Derogations for specific situations”)». Si veda:  https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_en.pdf

[8]Nel 2000, l’Unione europea si era data l’ambizioso obiettivo di «diventare l’economia basata sulla conoscenza più competitiva e dinamica del mondo».

 

*Paolo Maria Gangi, avvocato del Foro di Roma, fornisce prevalentemente consulenza alle PMI italiane in materia di contrattualistica nazionale e internazionale, privacy e compliance in genere (export controls, D.Lgs. 231 del 2001, adeguatezza degli assetti organizzativi al novellato art. 2086, comma 2).

** Giuseppe Miceli è Legal Advisor, esperto in materia di protezione dei dati personali ed è Autore e Curatore editoriale dei seguenti manuali: La Privacy negli studi professionali, scritto con M. Miceli e L. Malatesta, Edito Gruppo Maggioli, 2019 https://www.fiscoetasse.com/BusinessCenter/scheda/40977-la-privacy-negli-studi-professionali-ebook-2019.html; Guida alla nuova privacy, Edizione Legislazione Tecnica, 2019, https://ltshop.legislazionetecnica.it/schedaprodotto.asp?id_catal=1501&err_code=NOCK

 

Ultime notizie
Criminalità e contrasto

Il crimine organizzato colombiano e i nuovi rapporti con la ’Ndrangheta: Europa nel mirino

Una delle più recenti evoluzioni del crimine organizzato colombiano è il passaggio da una struttura di vertice e unitaria a un’altra sempre verticistica ma disarticolata. Come sta diversificando il suo portafoglio criminale e quali sono i suoi rapporti con le mafie italiane?
di Vincenzo Musacchio
Sicurezza

Criminalità, l’evoluzione del potere mafioso. I risultati della Relazione DIA 2° semestre 2019

Il quadro della criminalità organizzata italiana e straniera, i suoi settori di interesse, le proiezioni internazionali, l’evoluzione organizzativa, i collegamenti con poteri occulti e terrorismo. Vincenzo Macrì analizza la relazione della Dia del secondo semestre 2019, che anticipa anche lo scenario criminale creatosi in Italia per effetto della pandemia da Covid-19 nel primo semestre del 2020.
di Vincenzo Macrì
Economia

Crisi da Coronavirus, economia mondiale giù del 5% nel 2020. Italia tra i paesi più in difficoltà

Secondo stime del Fondo Monetario Internazionale (FMI), la crisi della pandemia dovrebbe avere un impatto sulla crescita dell’economia mondiale pari a -4,9% nel 2020. Se il contesto generale e le incertezze rispecchiano una situazione comune a tutti gli attori mondiali, esistono tuttavia differenze sostanziali tra le singole economie e l’Italia sarebbe uno dei paesi maggiormente in difficoltà.
di Ludovico Semeraro
Società

Coronavirus e diritti: tutelare gli interessi della collettività o garantire i diritti fondamentali dei singoli?

La crisi innestata dall’epidemia di Covid e dalle scelte fatte per combatterla, ha prodotto una forte pressione sulla protezione dei diritti umani. In un clima di chiusura generalizzata dei confini nazionali, numerosi giuristi e diversi sociologi hanno analizzato gli effetti che tutto questo ha prodotto sul complesso dei diritti umani e sul loro godimento diretto.
di Marco Omizzolo
Video

Non è più un lusso. Intervista a Martin Elsner, Rocco Forte Hotels

il turismo di lusso – solitamente immune a cali di profitto – ha registrato numerose cancellazioni e perdite dovute al periodo di lockdown che ha interessato tutto il mondo. Come si è riorganizzato questo settore?
di Emilio Albertario
Video

Zavoli, il socialista di Dio

      Non ho ricordi personali di Sergio Zavoli, se non la sua firma sotto la mia lettera di assunzione in Rai, 36 anni...
di Emilio Albertario
Metafore per l'Italia

Un piano straordinario di investimenti pubblici

«Quello che serve è un piano straordinario di investimenti pubblici, finalizzato al riassetto del Paese. Un piano che acquisti evidenza per ampie...
di Gian Maria Fara
Il punto a Mezzogiorno

Mezzogiorno: tre strade per ribaltare un destino già segnato

Secondo Nino Foti, Presidente della Fondazione Magna Grecia, sono tre i passaggi obbligati per riuscire a riempire di contenuti e progettualità una “partenza nuova” alla quale in qualche modo ci obbliga il Recovery Fund per il Mezzogiorno.
di Nino Foti
scuola

Scuola, rischio abbandono con l’emergenza Covid. Le misure di sicurezza rischiano di favorirlo

Scuola, la chiusura forzata ha modificato profondamente le abitudini degli studenti e il lockdown potrebbe avere come effetto negativo l’aumento repentino degli abbandoni scolastici.
di Ilaria Tirelli
Ambiente

Bonus bici, impennata delle vendite. Ma l’Italia è un Paese bike friendly?

Il “bonus mobilità” – dedicato all’acquisto delle due ruote, ma anche monopattini elettrici, stabilito dal Governo nel decreto Rilancio –, ha fatto impennare le vendite che si stima, da maggio, siano state tra le 500 e le 600mila.
di Valentina Renzopaoli