Dichiarato invalido l’accordo “Privacy Shield” per il trasferimento dei dati personali dalla UE verso gli USA

di lettura

La decisione della Corte di Giustizia del 17 luglio 2020 è destinata ad avere pesanti ripercussioni sia politiche, nei rapporti UE/USA, che pratiche, per i provider USA e le aziende italiane.

Dichiarato invalido l’accordo “Privacy Shield” per il trasferimento dei dati personali dalla UE verso gli USA

Il Privacy Shield è un accordo tra la Commissione europea e il Segretario al Commercio USA che consentiva la comunicazione del dato del soggetto residente in Europa verso le aziende statunitensi aderenti a tale accordo.

Il Privacy Shield è nato a seguito dell’annullamento del precedente accordo Safe Harbour, verificatosi a seguito di una sentenza della Corte di Giustizia europea nel 2015.

La decisione

Ai sensi del regolamento generale sulla protezione dei dati (di seguito “RGDP”) il trasferimento dei dati verso un Paese posto al di fuori dell’UE può avvenire, in linea di principio, solo se il Paese terzo considerato garantisce un adeguato livello di protezione.

Secondo tale regolamento, la Commissione può constatare che, grazie alla sua legislazione nazionale o a impegni internazionali, un Paese terzo assicura un livello di protezione adeguato (la decisione 206/1250, oggetto di annullamento, riguarda proprio l’export di dati in USA).

In mancanza di una decisione di adeguatezza, un trasferimento può essere effettuato solo se l’esportatore dei dati personali, stabilito nell’Unione, preveda garanzie adeguate, le quali possono risultare, in particolare, da clausole contrattuali tipo adottate dalla Commissione (decisione 2010/87) e se gli interessati dispongono di diritti azionabili e di mezzi di ricorso effettivi.

In mancanza di una decisione di adeguatezza o di garanzie adeguate, il RGDP stabilisce, in via ultimativa, a quali condizioni possa avvenire un trasferimento siffatto.

Il livello di protezione richiesto nell’ambito di un trasferimento extra UE è sostanzialmente equivalente a quello garantito all’interno dell’Unione dal RGPD, letto alla luce della Carta dei diritti fondamentali dell’UE.

La valutazione del livello di protezione riguarda:

  • sia quanto stipulato contrattualmente tra le parti (esportatore dei dati stabilito nell’Unione e il destinatario del trasferimento stabilito nel Paese terzo)
  • sia l’eventuale accesso da parte delle pubbliche autorità di tale Paese terzo ai dati così trasferiti, oltre agli elementi pertinenti del sistema giuridico del paese di approdo dei dati.

Nello specifico, la normativa che disciplina i programmi di sorveglianza USA non minimizza il trattamento dei dati dei residenti in UE, anzi dall’analisi della stessa non emerge in alcun modo l’esistenza di limiti all’autorizzazione dell’attuazione di tali programmi e neppure l’esistenza di garanzie per gli stranieri che possono esserne potenzialmente oggetto.

La Corte aggiunge che la normativa non conferisce agli interessati diritti nei confronti delle autorità statunitensi azionabili dinanzi ai giudici e anzi, in caso di controversie, è previsto il ricorso a un meditatore che non offre garanzie di imparzialità.

Per tutte queste ragioni la Corte ha dichiarato invalida la decisione 2016/1250 sull’accordo Privacy Shield.

La Corte ha dichiarato inoltre che, in assenza di una decisione di adeguatezza validamente adottata dalla Commissione, il Garante Privacy è tenuto a sospendere o vietare un trasferimento di dati personali verso un Paese terzo quando ritenga, alla luce delle circostanze proprie di tale trasferimento, che non sussistano i presupposti di cui sopra.

La Corte ha giudicato invece valida la decisione 2010/87 relativa alle clausole contrattuali tipo per il trasferimento di dati personali a soggetti stabiliti in Paesi terzi. Certo è che le motivazioni dell’annullamento del Privacy Shield avranno effetti anche sulle clausole contrattuali standard, a parità di condizioni.

Quindi i provider USA che sino ad oggi hanno utilizzato la base giuridica del Privacy Shield per il trasferimento dati dall’UE agli USA dovranno adottare una diversa soluzione, come ad esempio le clausole contrattuali standard.

L’azienda italiana, in qualità di esportatore del dato, e il Garante Privacy,  dovranno effettuare una valutazione complessa in merito all’adeguatezza delle garanzie offerte dal soggetto che importa i dati e dalla normativa vigente in tale paese, con i conseguenti profili di responsabilità.

Implicazioni pratiche sulle attività aziendali

  • La decisione 2016/1250 non riguarda i trasferimenti di dati necessari verso gli USA (ad es. invio di e-mail a un soggetto in USA, prenotazione viaggio in USA)
  • Quando si esternalizza in USA, per motivi di convenienza anche se tecnicamente i dati potrebbero essere memorizzati all'interno dell'UE/SEE, non esiste una deroga generale (ai sensi dell'articolo 49 del GDPR) per il trasferimento di dati verso gli Stati Uniti, ma deve essere utilizzato uno strumento legale alternativo come le clausole contrattuali standard o le norme vincolanti di impresa. A seguito della decisione in commento il Privacy Shield non è più utilizzabile. Di conseguenza, le aziende interessate dovranno eliminare, dalle loro informative privacy, qualsiasi riferimento al Privacy Shield, rivedere i flussi di dati e le nomine ai vari responsabili.
  • Le aziende possono continuare a utilizzare provider USA? Al momento la risposta appare negativa, poiché tutti i principali provider sono sottoposti alla potenziale sorveglianza del governo USA.
  • Le aziende possono continuare a utilizzare provider USA con sedi in UE? In questi casi, le società europee hanno la responsabilità di garantire che i flussi di dati personali "interni al Gruppo" verso gli USA siano conformi al RGDP. Le aziende dovranno ora esaminare attentamente tutti questi flussi di dati e stabilire se conservare i dati in Europa o in qualsiasi altro paese che garantisca una migliore protezione della privacy, invece di essere trasferiti negli Stati Uniti e, quindi, essere oggetto di una potenziale sorveglianza governativa.

Impatto sui diritti dei consumatori

  • Gli utenti sono liberi di inviare consapevolmente i propri dati personali direttamente a un paese terzo, ad esempio quando utilizzano un sito web cinese o USA. Tuttavia, non è possibile condividere direttamente i dati di altre persone (ad es. amici, colleghi) con un fornitore statunitense, a meno che non si sia ottenuto il loro consenso libero, specifico, informato ed inequivocabile.

Andrea Antognini

Contrattualistica
Gestione delle trattative commerciali: negoziare con i cinesi
Gestione delle trattative commerciali: negoziare con i cinesi
La Cina, con oltre 5.000 anni di storia molti dei quali dedicati al commercio, influenza l'uomo d'affari cinese con una cultura piena di tradizioni e comportamenti non comuni in Occidente.
Dichiarato invalido l’accordo “Privacy Shield” per il trasferimento dei dati personali dalla UE verso gli USA
Dichiarato invalido l’accordo “Privacy Shield” per il trasferimento dei dati personali dalla UE verso gli USA
La decisione della Corte di Giustizia del 17 luglio 2020 è destinata ad avere pesanti ripercussioni sia politiche, nei rapporti UE/USA, che pratiche, per i provider USA e le aziende italiane.
Canoni e spese di locazione dei negozi chiusi per decreto in Francia
Canoni e spese di locazione dei negozi chiusi per decreto in Francia
Il Governo francese, per limitare la diffusione del Covid-19, ha deciso la chiusura dei negozi dal 16 marzo fino all’11 maggio, ad eccezione di quelli la cui attività è considerata essenziale (generi alimentari, farmacie, edicole, ecc.
Internazionalizzazione: la rete distributiva integrata
Internazionalizzazione: la rete distributiva integrata
Come impostare lo sviluppo internazionale di una rete a marchio?
Assocalzaturifici: partnership con la piattaforma BDroppy
Assocalzaturifici: partnership con la piattaforma BDroppy
Grazie alla nuova collaborazione i marchi calzaturieri potranno raggiungere oltre 400.000 e-tailer in oltre 50 paesi.
Mascherine (DPI) normativa di riferimento
Mascherine (DPI), normativa di riferimento per la riconversione delle produzioni
A fronte dell’emergenza mondiale COVID19 e della difficoltà a reperire dispositivi di protezione individuali ed altri dispositivi medicali vi è da una parte l’interesse di numerose imprese a convertire la produzione e, dall’altra, l’esigenza dello Stato italiano e protezione civile, di diventare il più possibile autosufficienti per poter gestire prima l’emergenza sanitaria della prima fase poi anche la gestione della fase 2.
La nuova clausola di forza maggiore della ICC
La nuova clausola di forza maggiore della ICC
Eventi imprevisti possono rendere impossibile o impraticabile l'adem­pimento degli obblighi contrattuali. Nei casi di forza maggiore, la parte che subisce l'evento sarà esonerata dall'obbligo di adempiere e non subirà le conse­guen­ze dell'inadempimento (penali, risarcimento danni).
Gestione delle trattative commerciali internazionali: negoziare con gli americani
Gestione delle trattative commerciali internazionali: negoziare con gli americani
Con questo articolo iniziamo una serie di puntate dedicate alle problematiche della negoziazione commerciale internazionale dal punto di vista socio-culturale. 
Covid-19: Quali i rischi legali per un’azienda, l’esperienza cinese
Covid-19: Quali i rischi legali per un’azienda, l’esperienza cinese
La diffusione di una pandemia o di altre crisi globalizzate possono avere un profondo impatto sulla capacità di gestione di un’attività  imprenditoriale (chiusura degli impianti, restrizioni negli spostamenti, assenza dall’ufficio).
La direttiva UE 2019/771 sulla garanzie per i beni di consumo: le principali novità
Direttiva UE 2019/771 sulla garanzie per i beni di consumo: le principali novità
Il 20 maggio 2019 è stata adottata la direttiva UE n 2019/771 che introduce sostanziali novità rispetto al quadro normativo esistente in materia di conformità dei beni di consumo e abroga, con effetto dal 1° gennaio 2022, la direttiva 1999/44/CE relativa a determinati aspetti della vendita di beni di consumo e garanzie associate.