Economia

Il trasferimento di dati dall’Unione europea agli Stati Uniti dopo la sentenza Schrems II

di
Paolo Maria Gangi e Giuseppe Miceli
-

La sentenza nella causa C-311/18 “Schrems II” e il contesto normativo

La Corte di giustizia dell’Unione europea si è espressa, con sentenza nella causa C-311/18, dichiarando l’invalidità della decisione 2016/1250 della Commissione, in ordine all’adeguatezza della protezione offerta dal regime dello scudo Ue-Usa per la privacy e, contestualmente, la validità della decisione 2010/87 relativa, invece, alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi.

Al centro della questione il trasferimento di dati personali effettuato a fini commerciali da un operatore economico stabilito in uno Stato membro verso un operatore economico stabilito in un paese terzo.

In effetti, il trasferimento dei dati personali verso un paese terzo che – come sancito dal GDPR[1] – può avvenire, in linea di principio, solo se il paese terzo garantisce un adeguato livello di protezione dei dati che riceve. In assenza di una decisione di adeguatezza ai sensi dell’art. 45 GDPR, dovrà essere l’esportatore dei dati personali, stabilito nell’Unione, a prevedere un sistema di garanzie adeguate che dovrà risultare da clausole tipo di protezione dei dati adottate dalla Commissione, nonché dall’effettiva possibilità per i soggetti interessati di far valere i propri diritti: si tratta, ex art. 46 GDPR, delle cosiddette Standard Contractual Clause (SCC): clausole contrattuali standard, previamente approvate dalla Commissione Europea, che l’esportatore e l’importatore di dati devono inserire nei contratti tra loro intercorrenti[2].

Nel caso di specie, ad aver trasferito dati personali verso server situati nel territorio degli Stati Uniti è stato, addirittura, Facebook Ireland, senza, tuttavia, garantire condizioni di adeguatezza.

La Corte, dunque, ha deciso sul ricorso presentato da un cittadino austriaco (residente in Austria), il sig. Schrems, vietando il trasferimento, sulla base dell’assunto che diritto e prassi degli Stati Uniti non assicurano ai dati trasferiti verso tale paese una protezione sufficiente contro l’accesso da parte delle pubbliche autorità; in particolare la Corte ha rilevato che, sulla base del Foreign Intelligence Surveillance Act (FISA) del 1978[3] e l’Executive Orders 12333 (E.O. 12333) del 198[4], lo scudo Ue-Usa offre uno spazio d’ingerenza alle agenzie dell’Intelligence statunitensi sui dati personali di cittadini europei in transito da e verso gli Stati Uniti[5].

La decisione della Corte si va ad incuneare, da una parte, in una situazione di relativa freddezza nei rapporti tra l’amministrazione Trump e l’Unione europea; dall’altra, in un contesto di aperto contrasto tra le Istituzioni europee e le grandi multinazionali americane dei settori hi-tech per quanto riguarda la questione della tassazione degli utili: in particolare, pochi giorni prima della sentenza Schrems II, la Corte ha annullato una decisione della Commissione Europea che aveva giudicato essere aiuto di Stato (e quindi passibile di sanzione economica) la tassazione di favore che la Repubblica Irlandese aveva accordato alla società di Cupertino.

Ritornando al tema della sentenza Schrems II e, come anticipato, la Corte non ha dichiarato l’invalidità della Decisione relativa alle SCC ma ha sottoposto l’uso di tali clausole a condizioni piuttosto stringenti: i trasferimenti di dati personali, fondati su tali clausole, siano sospesi o vietati in caso di violazione di tali clausole o di impossibilità di rispettarle. Una circostanza, questa, di cui deve accertarsi, in via preliminare, l’esportatore dei dati. Inoltre, grava sul destinatario extra Ue informare l’esportatore dei dati della sua eventuale impossibilità di conformarsi alle clausole tipo di protezione, con l’onere, in tal caso, per quest’ultimo di sospendere il trasferimento di dati e/o di risolvere il contratto concluso con il primo[6].

Giova evidenziare che il rinvio pregiudiziale consente ai giudici degli Stati membri, nell’ambito di una controversia della quale sono investiti, di interpellare la Corte in merito all’interpretazione del diritto dell’Unione o alla validità di un atto dell’Unione. La Corte non risolve la controversia nazionale. Spetta al giudice nazionale risolvere la causa conformemente alla decisione della Corte. Tale decisione vincola egualmente gli altri giudici nazionali ai quali venga sottoposto un problema simile.

L’impatto giuridico della sentenza nella causa C-311/18 “Schrems II”

È opportuno interrogarsi sugli effetti pratici che la sentenza “Schrems II” produrrà nei meccanismi giuridici che sovrintendono al trasferimento di dati tra Ue e Usa.

Appare, pertanto, utile effettuare un rapidissimo ripasso delle opzioni che il GDPR offre alle organizzazioni per trasferire dati dalla Ue agli Usa, valutandole alla luce dei princìpi pronunciati dalla Corte nella sentenza Schrems II.

  1. L’art. 45 GDPR, cioè il trasferimento dei dati sulla base di una decisione di adeguatezza; è, in pratica, il sistema dello scudo che, sulla base della decisione 2016/1250, è stato invalidato (in effetti, la decisione 2016/1250 era stata emanata in base all’art.25, comma 2, dell’abrogata Direttiva 95/46/CE che, mutatis mutandis, è stata trasfusa nell’art. 45 GDPR).
  2. L’art. 46, comma 2, lett. b, in combinato disposto con l’art. 47 GDPR, cioè le norme vincolanti d’impresa; è un meccanismo che può essere utilizzato dalle (grandi) imprese per i trasferimenti intragruppo sottoponendo delle regole di trasferimento, in via preventiva, all’autorità di controllo competente e ottenendo una sorta di autorizzazione preventiva e personale a effettuare i trasferimenti sulla base delle regole approvate.
  3. L’art. 46, comma 2, lett. c, cioè le summenzionate SCC, che tuttavia, dopo la sentenza Schrems II, possono essere utilizzate, solo subordinatamente al fatto che il titolare europeo esportatore dei dati possa garantire che tali clausole siano, e possano, essere rispettate nell’ambito del territorio statunitense dall’importatore dei dati (il quale rimane, comunque, soggetto ai penetranti poteri d’indagine dei servizi d’Intelligence degli Stati Uniti); in altri termini, il ricorso alle SCC per gli Stati Uniti, in seguito alla sentenza Schrems II, appare essere maggiormente rischioso per le società europee esportatrici di dati.
  4. L’art. 49, comma 1, GDPR, infine, offre uno strumento residuale che può essere utilizzato solamente in mancanza di una decisione di adeguatezza ai sensi dell’articolo 45, paragrafo 3, o di garanzie adeguate ai sensi dell’articolo 46, comprese le norme vincolanti d’impresa, se l’interessato abbia espressamente acconsentito al trasferimento dopo essere stato adeguatamente informato dei rischi o se il trasferimento sia necessario per una serie di motivi tra cui l’esecuzione di un contratto, importanti motivi d’interesse pubblico, esercitare un diritto in sede giudiziaria. L’art. 49, tuttavia, come interpretato dall’EPDB, deve essere utilizzato solo in via residuale e non come base normativa ordinaria per effettuare trasferimenti di dati dalla Ue agli Usa[7]

In definitiva, in seguito alla sentenza Schrems II del 16 luglio 2020, le SCC costituiscono probabilmente la soluzione migliore per poter trasferire dati dalla Ue agli Stati Uniti: si tratta, tuttavia, di una soluzione che sottopone l’impresa europea esportatrice di dati, come anche quella statunitense destinataria degli stessi, a diversi rischi in quanto, come visto, non si tratta di un’esenzione “in bianco” ma condizionata a rilevanti assunzioni di responsabilità in ordine all’effettivo rispetto di quanto stabilito nella clausola standard adottata. Pertanto, da un punto di vista giuridico, a seguito della sentenza Schrems II, si apre necessariamente un periodo d’incertezza nella importante questione del trasferimento di dati tra Ue e Usa che non potrà non avere rilevanti effetti da un punto di vista geopolitico. In primis, non si può non rilevare una sorta di crescente isolamento del vecchio continente, in una situazione di piena tensione con l’amministrazione Trump (sebbene in scadenza, con Biden in vantaggio nei sondaggi) e le grandi multinazionali dell’hi-tech (sostanzialmente in posizione di assoluto vantaggio nella fornitura dei servizi di hosting professionale), unitamente a un rapporto altrettanto problematico con la Cina per quanto riguarda la questione del 5G e di Huawei: si noti che, nonostante i roboanti proclami della strategia di Lisbona[8], i paesi della Ue rischiano di rimanere schiacciati in un conflitto tra due imperi (quello americano e quello cinese) basato sul dominio dell’alta tecnologia dalla quale sono sostanzialmente esclusi. La sentenza Schrems II potrebbe anche essere letta, in senso opposto, come una sorta di spinta a creare dei campioni europei nello strategico settore dell’hosting, dopo che la commissaria europea alla concorrenza, Margrethe Vestager, ha bocciato nel 2019 il piano franco-tedesco di fusione tra Alstom e Siemens in quello del trasporto ferroviario. Rimane il fatto che un ecosistema di hosting come quello delle multinazionali americane non si crea in un giorno e la sentenza Schrems II rischia di provocare rilevanti danni alla (già provata) economia europea.

[1] Regolamento (Ue) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.

[2]Ad oggi, la Commissione Europea ha approvato, ex art. 46 GDPR, due SCC per l’esportazione di dati da un titolare Ue (“data controller”) a un titolare extra-Ue e una sola SCC per l’esportazione di dati da un titolare Ue a un responsabile extra-Ue (“data processor”). Le SCC approvate dalla Commissione sono visionabili al seguente link: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.

[3]Visionabile al seguente link: https://www.govinfo.gov/content/pkg/STATUTE-92/pdf/STATUTE-92-Pg1783.pdf#page=1.

[4]Visionabile al seguente link: https://www.archives.gov/federal-register/codification/executive-order/12333.html.

[5]Si veda, in particolare, il paragrafo 178 della citata sentenza nella causa C-311/18: «Nel caso di specie, la constatazione effettuata dalla Commissione nella decisione ‘scudo per la privacy’, secondo la quale gli Stati Uniti garantiscono un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’Unione dal RGPD, letto alla luce degli articoli 7 e 8 della Carta, è stata rimessa in discussione, in particolare, sulla base del rilievo che le ingerenze risultanti dai programmi di sorveglianza fondati sull’articolo 702 del FISA e sull’E.O. 12333 non sarebbero soggette a requisiti che garantiscano, nel rispetto del principio di proporzionalità, un livello di protezione sostanzialmente equivalente a quello garantito dall’articolo 52, paragrafo 1, seconda frase, della Carta. Occorre quindi esaminare se detti programmi di sorveglianza siano attuati nel rispetto di tali requisiti, senza che sia necessario verificare preliminarmente il rispetto, da parte di tale paese terzo, di condizioni sostanzialmente equivalenti a quelle previste dall’articolo 52, paragrafo 1, prima frase, della Carta».

[6]Si veda il paragrafo 146 della citata sentenza nella causa C-311/18: «a meno che esista una decisione di adeguatezza validamente adottata dalla Commissione, l’autorità di controllo competente è tenuta, a norma dell’articolo 58, paragrafo 2, lettere f) e j), del RGPD, a sospendere o a vietare un trasferimento siffatto, qualora detta autorità ritenga, alla luce di tutte le circostanze proprie di tale trasferimento, che le suddette clausole non siano o non possano essere rispettate in tale paese terzo e che la protezione dei dati trasferiti richiesta dal diritto dell’Unione non possa essere garantita con altri mezzi, ove il titolare del trattamento del trattamento o il responsabile del trattamento stabiliti nell’Unione non abbiano essi stessi sospeso il trasferimento o messo fine a quest’ultimo».

[7]In particolare le guidelines dell’EPDB precisano che: «derogations under Article 49 are exemptions from thegeneral principlethat personal data may only be transferred to third countries if an adequate level of protection is provided for in the third country orif appropriate safeguards have been adducedandthe data subjectsenjoy enforceable and effective rightsin order to continue to benefit from their fundamental rights and safeguards.5Due to this factand in accordance with theprinciples inherent in European law,6the derogations must be interpreted restrictivelyso that the exception does not become the rule.7This is also supported by the wording of the title of Article 49 which states that derogations are to be used for specific situations (“Derogations for specific situations”)». Si veda:  https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_en.pdf

[8]Nel 2000, l’Unione europea si era data l’ambizioso obiettivo di «diventare l’economia basata sulla conoscenza più competitiva e dinamica del mondo».

 

*Paolo Maria Gangi, avvocato del Foro di Roma, fornisce prevalentemente consulenza alle PMI italiane in materia di contrattualistica nazionale e internazionale, privacy e compliance in genere (export controls, D.Lgs. 231 del 2001, adeguatezza degli assetti organizzativi al novellato art. 2086, comma 2).

** Giuseppe Miceli è Legal Advisor, esperto in materia di protezione dei dati personali ed è Autore e Curatore editoriale dei seguenti manuali: La Privacy negli studi professionali, scritto con M. Miceli e L. Malatesta, Edito Gruppo Maggioli, 2019 https://www.fiscoetasse.com/BusinessCenter/scheda/40977-la-privacy-negli-studi-professionali-ebook-2019.html; Guida alla nuova privacy, Edizione Legislazione Tecnica, 2019, https://ltshop.legislazionetecnica.it/schedaprodotto.asp?id_catal=1501&err_code=NOCK

 

Ultime notizie
corse
Intervista

L’insularità possibile: il caso Corsica. Intervista a Marie-Antoinette Maupertuis, Presidente dell’Assemblea corsa

La Corsica è uno dei modelli europei in merito all’insularità e alle iniziative intraprese per favorire la coesione territoriale e l’autonomia fiscale necessaria per l’economia corsa, dinamica ma gravata da una “crescita depauperante”. Ne parliamo con l’Onorevole Marie-Antoinette Maupertuis, economista e Presidente dell’Assemblea della Corsica.
di Daniela Pappadà
corse
corse
Osservatori

Insularité possible: le cas de la Corse. Entretien avec Marie-Antoinette Maupertuis, Présidente de l’Assemblée de Corse

Insularité possible: entretien avec l’Honorable Marie-Antoniette Maupertuis, Presidente de l’Assemblee de Corse.
di Daniela Pappadà
corse
intelligenza
Intervista

Intelligenza artificiale e regole: serve un impegno dell’Unione sui diritti sostanziali

Intelligenza artificiale e diritto, ne parliamo con Giusella Finocchiaro, Professoressa ordinaria di diritto privato e diritto di Internet all’Università di Bologna. Per non cadere in un rischioso processo di “burocratizzazione digitale” bisogna partire da elementi culturali prima che giuridici, senza perdere di vista i princìpi.
di Massimiliano Cannata
intelligenza
Sicurezza

Tecnologia, sicurezza e istruzione: intervista a Nunzia Ciardi, Vice Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale

La tecnologia è entrata di forza nella scuola grazie alla DAD, che in pandemia ha permesso a milioni di studenti di seguire le lezioni da casa. Bisogna continuare su questa strada e sfruttare le potenzialità offerte dalla tecnologia in àmbito scolastico e formativo secondo la dott.ssa Nunzia Ciardi, Vice Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale.
di Massimiliano Cannata
scuole italiane
Immigrazione

Scuola e cittadini italiani di domani

La questione della presenza degli stranieri nelle scuole implica un’ambivalenza di obiettivi: migliorare la qualità dell’istruzione a prescindere dalla discendenza, oppure comprimere il diritto costituzionale all’apprendimento. La scuola deve avere una funzione di istruzione e integrazione sociale.
di Angelo Perrone*
scuole italiane
insularità
Intervista

Insularità e perifericità: costi e correttivi nell’intervista al Prof. Francesco Pigliaru

L’insularità si lega spesso all’idea di una compensazione economica, ma bisogna distinguere tra condizioni di prima e seconda natura legate all’insularità, come spiega il Prof. Francesco Pigliaru nell’intervista dedicata al tema delle isole e della continuità territoriale.
di redazione
insularità
insularità
Intervista

Il diritto costituzionale all’insularità: intervista al Prof. Tommaso Edoardo Frosini

Il professor Tommaso Edoardo Frosini, Ordinario di diritto pubblico comparato nell’Università Suor Orsola Benincasa di Napoli, evidenzia le attinenze tra diritto costituzionale all'insularità e uguaglianza, così come sancito dalla nostra Costituzione, e individua trasporti e digitale come i settori nei quali investire per le isole.
di redazione
insularità
medici
Sanità

Sanità a rischio, pesa la carenza di medici e l’assenza di chirurghi

Sanità a rischio: dalla carenza di medici all’assenza di chirurghi. Questo sarà il prossimo futuro senza una programmazione “a monte”, e l’aumento dei posti in Scuola di Specializzazione non è sufficiente a risolvere la carenza di personale medico.
di ROCCO LEGGIERI*
medici
l'algoritmo d'oro e la torre di babele
Diritto

L’algoritmo d’oro e la torre di Babele

“L’algoritmo d’oro e la torre di Babele” di Caterina e Giovanni Maria Flick è un saggio sugli effetti della tecnologia sulla nostra civiltà, con un invito alla conservazione dell’umano e alla sua conciliazione con il progresso tecnologico.
di Ilaria tirelli
l'algoritmo d'oro e la torre di babele
Istruzione

Scuola, più fondi e voglia di futuro: intervista a Ivana Calabrese

Nell’àmbito del Secondo Rapporto su Scuola e Università dell’Eurispes, dialoghiamo con Ivana Calabrese di Ashoka sul tema dell’Istruzione in Italia, ma innanzitutto sul futuro di una istituzione che passa attraverso docenti capaci e fondi per l’innovazione.
di Massimiliano Cannata
Carica altri