Il trasferimento di dati dall’Unione europea agli Stati Uniti dopo la sentenza Schrems II

La sentenza nella causa C-311/18 “Schrems II” e il contesto normativo

La Corte di giustizia dell’Unione europea si è espressa, con sentenza nella causa C-311/18, dichiarando l’invalidità della decisione 2016/1250 della Commissione, in ordine all’adeguatezza della protezione offerta dal regime dello scudo Ue-Usa per la privacy e, contestualmente, la validità della decisione 2010/87 relativa, invece, alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi.

Al centro della questione il trasferimento di dati personali effettuato a fini commerciali da un operatore economico stabilito in uno Stato membro verso un operatore economico stabilito in un paese terzo.

In effetti, il trasferimento dei dati personali verso un paese terzo che – come sancito dal GDPR[1] – può avvenire, in linea di principio, solo se il paese terzo garantisce un adeguato livello di protezione dei dati che riceve. In assenza di una decisione di adeguatezza ai sensi dell’art. 45 GDPR, dovrà essere l’esportatore dei dati personali, stabilito nell’Unione, a prevedere un sistema di garanzie adeguate che dovrà risultare da clausole tipo di protezione dei dati adottate dalla Commissione, nonché dall’effettiva possibilità per i soggetti interessati di far valere i propri diritti: si tratta, ex art. 46 GDPR, delle cosiddette Standard Contractual Clause (SCC): clausole contrattuali standard, previamente approvate dalla Commissione Europea, che l’esportatore e l’importatore di dati devono inserire nei contratti tra loro intercorrenti[2].

Nel caso di specie, ad aver trasferito dati personali verso server situati nel territorio degli Stati Uniti è stato, addirittura, Facebook Ireland, senza, tuttavia, garantire condizioni di adeguatezza.

La Corte, dunque, ha deciso sul ricorso presentato da un cittadino austriaco (residente in Austria), il sig. Schrems, vietando il trasferimento, sulla base dell’assunto che diritto e prassi degli Stati Uniti non assicurano ai dati trasferiti verso tale paese una protezione sufficiente contro l’accesso da parte delle pubbliche autorità; in particolare la Corte ha rilevato che, sulla base del Foreign Intelligence Surveillance Act (FISA) del 1978[3] e l’Executive Orders 12333 (E.O. 12333) del 198[4], lo scudo Ue-Usa offre uno spazio d’ingerenza alle agenzie dell’Intelligence statunitensi sui dati personali di cittadini europei in transito da e verso gli Stati Uniti[5].

La decisione della Corte si va ad incuneare, da una parte, in una situazione di relativa freddezza nei rapporti tra l’amministrazione Trump e l’Unione europea; dall’altra, in un contesto di aperto contrasto tra le Istituzioni europee e le grandi multinazionali americane dei settori hi-tech per quanto riguarda la questione della tassazione degli utili: in particolare, pochi giorni prima della sentenza Schrems II, la Corte ha annullato una decisione della Commissione Europea che aveva giudicato essere aiuto di Stato (e quindi passibile di sanzione economica) la tassazione di favore che la Repubblica Irlandese aveva accordato alla società di Cupertino.

Ritornando al tema della sentenza Schrems II e, come anticipato, la Corte non ha dichiarato l’invalidità della Decisione relativa alle SCC ma ha sottoposto l’uso di tali clausole a condizioni piuttosto stringenti: i trasferimenti di dati personali, fondati su tali clausole, siano sospesi o vietati in caso di violazione di tali clausole o di impossibilità di rispettarle. Una circostanza, questa, di cui deve accertarsi, in via preliminare, l’esportatore dei dati. Inoltre, grava sul destinatario extra Ue informare l’esportatore dei dati della sua eventuale impossibilità di conformarsi alle clausole tipo di protezione, con l’onere, in tal caso, per quest’ultimo di sospendere il trasferimento di dati e/o di risolvere il contratto concluso con il primo[6].

Giova evidenziare che il rinvio pregiudiziale consente ai giudici degli Stati membri, nell’ambito di una controversia della quale sono investiti, di interpellare la Corte in merito all’interpretazione del diritto dell’Unione o alla validità di un atto dell’Unione. La Corte non risolve la controversia nazionale. Spetta al giudice nazionale risolvere la causa conformemente alla decisione della Corte. Tale decisione vincola egualmente gli altri giudici nazionali ai quali venga sottoposto un problema simile.

L’impatto giuridico della sentenza nella causa C-311/18 “Schrems II”

È opportuno interrogarsi sugli effetti pratici che la sentenza “Schrems II” produrrà nei meccanismi giuridici che sovrintendono al trasferimento di dati tra Ue e Usa.

Appare, pertanto, utile effettuare un rapidissimo ripasso delle opzioni che il GDPR offre alle organizzazioni per trasferire dati dalla Ue agli Usa, valutandole alla luce dei princìpi pronunciati dalla Corte nella sentenza Schrems II.

  1. L’art. 45 GDPR, cioè il trasferimento dei dati sulla base di una decisione di adeguatezza; è, in pratica, il sistema dello scudo che, sulla base della decisione 2016/1250, è stato invalidato (in effetti, la decisione 2016/1250 era stata emanata in base all’art.25, comma 2, dell’abrogata Direttiva 95/46/CE che, mutatis mutandis, è stata trasfusa nell’art. 45 GDPR).
  2. L’art. 46, comma 2, lett. b, in combinato disposto con l’art. 47 GDPR, cioè le norme vincolanti d’impresa; è un meccanismo che può essere utilizzato dalle (grandi) imprese per i trasferimenti intragruppo sottoponendo delle regole di trasferimento, in via preventiva, all’autorità di controllo competente e ottenendo una sorta di autorizzazione preventiva e personale a effettuare i trasferimenti sulla base delle regole approvate.
  3. L’art. 46, comma 2, lett. c, cioè le summenzionate SCC, che tuttavia, dopo la sentenza Schrems II, possono essere utilizzate, solo subordinatamente al fatto che il titolare europeo esportatore dei dati possa garantire che tali clausole siano, e possano, essere rispettate nell’ambito del territorio statunitense dall’importatore dei dati (il quale rimane, comunque, soggetto ai penetranti poteri d’indagine dei servizi d’Intelligence degli Stati Uniti); in altri termini, il ricorso alle SCC per gli Stati Uniti, in seguito alla sentenza Schrems II, appare essere maggiormente rischioso per le società europee esportatrici di dati.
  4. L’art. 49, comma 1, GDPR, infine, offre uno strumento residuale che può essere utilizzato solamente in mancanza di una decisione di adeguatezza ai sensi dell’articolo 45, paragrafo 3, o di garanzie adeguate ai sensi dell’articolo 46, comprese le norme vincolanti d’impresa, se l’interessato abbia espressamente acconsentito al trasferimento dopo essere stato adeguatamente informato dei rischi o se il trasferimento sia necessario per una serie di motivi tra cui l’esecuzione di un contratto, importanti motivi d’interesse pubblico, esercitare un diritto in sede giudiziaria. L’art. 49, tuttavia, come interpretato dall’EPDB, deve essere utilizzato solo in via residuale e non come base normativa ordinaria per effettuare trasferimenti di dati dalla Ue agli Usa[7]

In definitiva, in seguito alla sentenza Schrems II del 16 luglio 2020, le SCC costituiscono probabilmente la soluzione migliore per poter trasferire dati dalla Ue agli Stati Uniti: si tratta, tuttavia, di una soluzione che sottopone l’impresa europea esportatrice di dati, come anche quella statunitense destinataria degli stessi, a diversi rischi in quanto, come visto, non si tratta di un’esenzione “in bianco” ma condizionata a rilevanti assunzioni di responsabilità in ordine all’effettivo rispetto di quanto stabilito nella clausola standard adottata. Pertanto, da un punto di vista giuridico, a seguito della sentenza Schrems II, si apre necessariamente un periodo d’incertezza nella importante questione del trasferimento di dati tra Ue e Usa che non potrà non avere rilevanti effetti da un punto di vista geopolitico. In primis, non si può non rilevare una sorta di crescente isolamento del vecchio continente, in una situazione di piena tensione con l’amministrazione Trump (sebbene in scadenza, con Biden in vantaggio nei sondaggi) e le grandi multinazionali dell’hi-tech (sostanzialmente in posizione di assoluto vantaggio nella fornitura dei servizi di hosting professionale), unitamente a un rapporto altrettanto problematico con la Cina per quanto riguarda la questione del 5G e di Huawei: si noti che, nonostante i roboanti proclami della strategia di Lisbona[8], i paesi della Ue rischiano di rimanere schiacciati in un conflitto tra due imperi (quello americano e quello cinese) basato sul dominio dell’alta tecnologia dalla quale sono sostanzialmente esclusi. La sentenza Schrems II potrebbe anche essere letta, in senso opposto, come una sorta di spinta a creare dei campioni europei nello strategico settore dell’hosting, dopo che la commissaria europea alla concorrenza, Margrethe Vestager, ha bocciato nel 2019 il piano franco-tedesco di fusione tra Alstom e Siemens in quello del trasporto ferroviario. Rimane il fatto che un ecosistema di hosting come quello delle multinazionali americane non si crea in un giorno e la sentenza Schrems II rischia di provocare rilevanti danni alla (già provata) economia europea.

[1] Regolamento (Ue) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.

[2]Ad oggi, la Commissione Europea ha approvato, ex art. 46 GDPR, due SCC per l’esportazione di dati da un titolare Ue (“data controller”) a un titolare extra-Ue e una sola SCC per l’esportazione di dati da un titolare Ue a un responsabile extra-Ue (“data processor”). Le SCC approvate dalla Commissione sono visionabili al seguente link: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.

[3]Visionabile al seguente link: https://www.govinfo.gov/content/pkg/STATUTE-92/pdf/STATUTE-92-Pg1783.pdf#page=1.

[4]Visionabile al seguente link: https://www.archives.gov/federal-register/codification/executive-order/12333.html.

[5]Si veda, in particolare, il paragrafo 178 della citata sentenza nella causa C-311/18: «Nel caso di specie, la constatazione effettuata dalla Commissione nella decisione ‘scudo per la privacy’, secondo la quale gli Stati Uniti garantiscono un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’Unione dal RGPD, letto alla luce degli articoli 7 e 8 della Carta, è stata rimessa in discussione, in particolare, sulla base del rilievo che le ingerenze risultanti dai programmi di sorveglianza fondati sull’articolo 702 del FISA e sull’E.O. 12333 non sarebbero soggette a requisiti che garantiscano, nel rispetto del principio di proporzionalità, un livello di protezione sostanzialmente equivalente a quello garantito dall’articolo 52, paragrafo 1, seconda frase, della Carta. Occorre quindi esaminare se detti programmi di sorveglianza siano attuati nel rispetto di tali requisiti, senza che sia necessario verificare preliminarmente il rispetto, da parte di tale paese terzo, di condizioni sostanzialmente equivalenti a quelle previste dall’articolo 52, paragrafo 1, prima frase, della Carta».

[6]Si veda il paragrafo 146 della citata sentenza nella causa C-311/18: «a meno che esista una decisione di adeguatezza validamente adottata dalla Commissione, l’autorità di controllo competente è tenuta, a norma dell’articolo 58, paragrafo 2, lettere f) e j), del RGPD, a sospendere o a vietare un trasferimento siffatto, qualora detta autorità ritenga, alla luce di tutte le circostanze proprie di tale trasferimento, che le suddette clausole non siano o non possano essere rispettate in tale paese terzo e che la protezione dei dati trasferiti richiesta dal diritto dell’Unione non possa essere garantita con altri mezzi, ove il titolare del trattamento del trattamento o il responsabile del trattamento stabiliti nell’Unione non abbiano essi stessi sospeso il trasferimento o messo fine a quest’ultimo».

[7]In particolare le guidelines dell’EPDB precisano che: «derogations under Article 49 are exemptions from thegeneral principlethat personal data may only be transferred to third countries if an adequate level of protection is provided for in the third country orif appropriate safeguards have been adducedandthe data subjectsenjoy enforceable and effective rightsin order to continue to benefit from their fundamental rights and safeguards.5Due to this factand in accordance with theprinciples inherent in European law,6the derogations must be interpreted restrictivelyso that the exception does not become the rule.7This is also supported by the wording of the title of Article 49 which states that derogations are to be used for specific situations (“Derogations for specific situations”)». Si veda:  https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_en.pdf

[8]Nel 2000, l’Unione europea si era data l’ambizioso obiettivo di «diventare l’economia basata sulla conoscenza più competitiva e dinamica del mondo».

 

*Paolo Maria Gangi, avvocato del Foro di Roma, fornisce prevalentemente consulenza alle PMI italiane in materia di contrattualistica nazionale e internazionale, privacy e compliance in genere (export controls, D.Lgs. 231 del 2001, adeguatezza degli assetti organizzativi al novellato art. 2086, comma 2).

** Giuseppe Miceli è Legal Advisor, esperto in materia di protezione dei dati personali ed è Autore e Curatore editoriale dei seguenti manuali: La Privacy negli studi professionali, scritto con M. Miceli e L. Malatesta, Edito Gruppo Maggioli, 2019 https://www.fiscoetasse.com/BusinessCenter/scheda/40977-la-privacy-negli-studi-professionali-ebook-2019.html; Guida alla nuova privacy, Edizione Legislazione Tecnica, 2019, https://ltshop.legislazionetecnica.it/schedaprodotto.asp?id_catal=1501&err_code=NOCK

 

Ultime notizie
Economia

Terzo settore, al via il Master per formare i nuovi manager del Welfare

Partiranno a febbraio i colloqui di selezione per il Master di II Livello “Terzo Settore, Innovazione Sociale e Governance dei Sistemi Locali di...
di redazione
mauro ceruti
Cultura

Nel mondo interconnesso la fraternità può rifondare la geopolitica: a colloquio con Mauro Ceruti

A colloquio con Mauro Ceruti, professore ordinario di Logica e Filosofia della Scienza e direttore della PhD School for Communication Studies Università IULM di Milano.
di Massimiliano Cannata
mauro ceruti
Economia

Cantieri di legalità. PNRR, un banco di prova

Il 2021 si è concluso con un primo successo nell’ambito dell’ambizioso Piano Nazionale per la Ripresa e Resilienza (PNRR), con il raggiungimento...
di Roberto De Vita* e Marco Della Bruna
PNRR borghi
Futuro

Aree marginali nel PNRR: il rilancio parte dai borghi

Il PNRR presenta investimenti e riforme puntuali in aree marginali ben definite, come il Piano Nazionale per la valorizzazione dei borghi. L’investimento si origina dalla considerazione che tanti piccoli centri storici italiani rappresentano un enorme potenziale per un turismo sostenibile alternativo.
di Claudia Bugno*
PNRR borghi
third sector
Internazionale

Third sector: the new pillar to start again

Change is a natural consequence of crises, especially when they are global in scope. The Covid-19 pandemic hit people hard in all...
di Ida Nicotera*
third sector
urne elezioni libia
Briefing

Dalle urne ai proiettili. Libia, tutto da rifare

Dalle urne elettorali alle urne funerarie in Libia il passo è breve. Sfumano le speranze di una transizione democratica indolore. A decretare...
di Francesco Bechis
urne elezioni libia
terzo settore
Internazionale

Terzo settore: il nuovo pilastro da cui ripartire

Il Terzo settore ha fornito un contributo essenziale e si è posto come “faro” nella gestione dell’emergenza. Esperti e studiosi di Russia e Italia hanno affrontato, in un recente incontro, il tema della collaborazione tra i due paesi riguardo al Terzo settore e alla sostenibilità.
di Ida Nicotera*
terzo settore
PNRR
Economia

L’attuazione del PNRR e la prevenzione delle attività illecite

Garantire un’efficiente ed efficace attuazione del PNRR significa anche agire al fine di prevenire possibili infiltrazioni criminali e frodi, corruzioni e attività illecite nell’utilizzo delle risorse.
di Claudia Bugno*
PNRR
metaverso
Economia

Le regole giuridiche del metaverso e la tassazione degli NFT

Gli ordinamenti giuridici dovrebbero regolamentare le imprese attive nel metaverso, in particolare nella gestione fiscale di NTF, trovando nuove soluzioni normative in termini di privacy, diritti di proprietà intellettuale ed industriale, ed anche di fisco.
di Giovambattista Palumbo*
metaverso
europa
Immigrazione

In Europa troppi immigrati? Il 40% dei cittadini è favorevole a innalzare muri

L’Europa alza i suoi muri verso il mondo esterno, non solo per la pandemia: il 40% dei cittadini europei è favorevole alla costruzione di muri alle frontiere, mentre 6 su 10 pensano che in Europa ci siano troppi immigrati.
di Roberta Rega
europa