Dichiarato invalido l’accordo “Privacy Shield” per il trasferimento dei dati personali dalla UE agli USA

di lettura

La decisione della Corte di Giustizia del 17 luglio 2020 è destinata ad avere pesanti ripercussioni sia politiche, nei rapporti UE/USA, che pratiche, per i provider USA e le aziende italiane.

Image

Il Privacy Shield è un accordo tra la Commissione europea e il Segretario al Commercio USA che consentiva la comunicazione del dato del soggetto residente in Europa verso le aziende statunitensi aderenti a tale accordo.

Il Privacy Shield è nato a seguito dell’annullamento del precedente accordo Safe Harbour, verificatosi a seguito di una sentenza della Corte di Giustizia europea nel 2015.

La decisione

Ai sensi del regolamento generale sulla protezione dei dati (di seguito “RGDP”) il trasferimento dei dati verso un Paese posto al di fuori dell’UE può avvenire, in linea di principio, solo se il Paese terzo considerato garantisce un adeguato livello di protezione.

Secondo tale regolamento, la Commissione può constatare che, grazie alla sua legislazione nazionale o a impegni internazionali, un Paese terzo assicura un livello di protezione adeguato (la decisione 206/1250, oggetto di annullamento, riguarda proprio l’export di dati in USA).

In mancanza di una decisione di adeguatezza, un trasferimento può essere effettuato solo se l’esportatore dei dati personali, stabilito nell’Unione, preveda garanzie adeguate, le quali possono risultare, in particolare, da clausole contrattuali tipo adottate dalla Commissione (decisione 2010/87) e se gli interessati dispongono di diritti azionabili e di mezzi di ricorso effettivi.

In mancanza di una decisione di adeguatezza o di garanzie adeguate, il RGDP stabilisce, in via ultimativa, a quali condizioni possa avvenire un trasferimento siffatto.

Il livello di protezione richiesto nell’ambito di un trasferimento extra UE è sostanzialmente equivalente a quello garantito all’interno dell’Unione dal RGPD, letto alla luce della Carta dei diritti fondamentali dell’UE.

La valutazione del livello di protezione riguarda:

  • sia quanto stipulato contrattualmente tra le parti (esportatore dei dati stabilito nell’Unione e il destinatario del trasferimento stabilito nel Paese terzo)
  • sia l’eventuale accesso da parte delle pubbliche autorità di tale Paese terzo ai dati così trasferiti, oltre agli elementi pertinenti del sistema giuridico del paese di approdo dei dati.

Nello specifico, la normativa che disciplina i programmi di sorveglianza USA non minimizza il trattamento dei dati dei residenti in UE, anzi dall’analisi della stessa non emerge in alcun modo l’esistenza di limiti all’autorizzazione dell’attuazione di tali programmi e neppure l’esistenza di garanzie per gli stranieri che possono esserne potenzialmente oggetto.

La Corte aggiunge che la normativa non conferisce agli interessati diritti nei confronti delle autorità statunitensi azionabili dinanzi ai giudici e anzi, in caso di controversie, è previsto il ricorso a un meditatore che non offre garanzie di imparzialità.

Per tutte queste ragioni la Corte ha dichiarato invalida la decisione 2016/1250 sull’accordo Privacy Shield.

La Corte ha dichiarato inoltre che, in assenza di una decisione di adeguatezza validamente adottata dalla Commissione, il Garante Privacy è tenuto a sospendere o vietare un trasferimento di dati personali verso un Paese terzo quando ritenga, alla luce delle circostanze proprie di tale trasferimento, che non sussistano i presupposti di cui sopra.

La Corte ha giudicato invece valida la decisione 2010/87 relativa alle clausole contrattuali tipo per il trasferimento di dati personali a soggetti stabiliti in Paesi terzi. Certo è che le motivazioni dell’annullamento del Privacy Shield avranno effetti anche sulle clausole contrattuali standard, a parità di condizioni.

Quindi i provider USA che sino ad oggi hanno utilizzato la base giuridica del Privacy Shield per il trasferimento dati dall’UE agli USA dovranno adottare una diversa soluzione, come ad esempio le clausole contrattuali standard.

L’azienda italiana, in qualità di esportatore del dato, e il Garante Privacy,  dovranno effettuare una valutazione complessa in merito all’adeguatezza delle garanzie offerte dal soggetto che importa i dati e dalla normativa vigente in tale paese, con i conseguenti profili di responsabilità.

Implicazioni pratiche sulle attività aziendali

  • La decisione 2016/1250 non riguarda i trasferimenti di dati necessari verso gli USA (ad es. invio di e-mail a un soggetto in USA, prenotazione viaggio in USA)
  • Quando si esternalizza in USA, per motivi di convenienza anche se tecnicamente i dati potrebbero essere memorizzati all'interno dell'UE/SEE, non esiste una deroga generale (ai sensi dell'articolo 49 del GDPR) per il trasferimento di dati verso gli Stati Uniti, ma deve essere utilizzato uno strumento legale alternativo come le clausole contrattuali standard o le norme vincolanti di impresa. A seguito della decisione in commento il Privacy Shield non è più utilizzabile. Di conseguenza, le aziende interessate dovranno eliminare, dalle loro informative privacy, qualsiasi riferimento al Privacy Shield, rivedere i flussi di dati e le nomine ai vari responsabili.
  • Le aziende possono continuare a utilizzare provider USA? Al momento la risposta appare negativa, poiché tutti i principali provider sono sottoposti alla potenziale sorveglianza del governo USA.
  • Le aziende possono continuare a utilizzare provider USA con sedi in UE? In questi casi, le società europee hanno la responsabilità di garantire che i flussi di dati personali "interni al Gruppo" verso gli USA siano conformi al RGDP. Le aziende dovranno ora esaminare attentamente tutti questi flussi di dati e stabilire se conservare i dati in Europa o in qualsiasi altro paese che garantisca una migliore protezione della privacy, invece di essere trasferiti negli Stati Uniti e, quindi, essere oggetto di una potenziale sorveglianza governativa.

Impatto sui diritti dei consumatori

  • Gli utenti sono liberi di inviare consapevolmente i propri dati personali direttamente a un paese terzo, ad esempio quando utilizzano un sito web cinese o USA. Tuttavia, non è possibile condividere direttamente i dati di altre persone (ad es. amici, colleghi) con un fornitore statunitense, a meno che non si sia ottenuto il loro consenso libero, specifico, informato ed inequivocabile.

Andrea Antognini

Contrattualistica
Antitrust Canada
Contratti di distribuzione e di agenzia in Canada: norme sulla concorrenza
La normativa anti-trust vigente in Canada è contenuta nel Competition Act che regola le restrizioni sul prezzo, sul territorio, sulla clientela, sulle vendite online e gli accordi di esclusiva.
Brexit e accordi di scelta del foro
Brexit e accordi di scelta del foro
Considerate le complicazioni derivanti dalla Brexit, è importante valutare attentamente, caso per caso, quale tipo di clausola di scelta del foro adottare.
Emirati Arabi Uniti: eliminato l’obbligo di sponsor locale per le società onshore
Emirati Arabi Uniti: eliminato l’obbligo di sponsor locale per le società onshore
Dal 1° giugno sono in vigore le nuove regole che consentono la piena proprietà straniera delle società onshore, ossia quelle costituite sul territorio emiratino, fissate nel Decreto Legge Federale n. 26 del 2020.
Codice civile Repubblica Popolare Cinese
Codice civile Repubblica Popolare Cinese
Una svolta storica per il diritto cinese: il 28 maggio è stato approvato il primo Codice Civile della Repubblica Popolare Cinese, che è entrato in vigore il 1° gennaio 2021.
Regolamento Privacy: stato di attuazione a due anni dall’applicazione
Regolamento Privacy: stato di attuazione a due anni dall’applicazione
La risoluzione del Parlamento europeo 25 marzo 2021 descrive e commenta lo stato di attuazione del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016.
Compravendita internazionale e garanzia dei vizi: profili critici
Compravendita internazionale e garanzia dei vizi: profili critici
La garanzia dei vizi nell’ambito di un contratto di vendita internazionale alla luce della recente sentenza della Corte di Cassazione e dei principali aspetti disciplinati dalla Convenzione di Vienna.
Vendita internazionale di beni: efficacia degli Incoterms per determinare la giurisdizione
Vendita internazionale di beni: efficacia degli Incoterms per determinare la giurisdizione
L’individuazione del giudice competente rappresenta un passaggio imprescindibile e talvolta dirimente per le sorti del giudizio nelle controversie internazionali.
Nozione di agente commerciale: confronto tra giurisprudenza francese ed europea
Nozione di agente commerciale: confronto tra giurisprudenza francese ed europea
Sentenza della Corte di Giustizia europea del 4 giugno 2020 (causa C-828/2018).
Brexit e risvolti operativi sui contratti commerciali
Brexit e risvolti operativi sui contratti commerciali
Il Regno Unito non è più parte dell’Unione Europea e questo comporta cambiamenti dal punto di vista della movimentazione delle persone, doganale, tariffario e commerciale.
Brexit e contratti commerciali
Brexit e contratti commerciali
Sintesi del Tascabile Brexit realizzato da Agenzia ICE che analizza gli effetti della Brexit sugli accordi commerciali tra imprese.