Dichiarato invalido l’accordo “Privacy Shield” per il trasferimento dei dati personali dalla UE agli USA

di lettura

La decisione della Corte di Giustizia del 17 luglio 2020 è destinata ad avere pesanti ripercussioni sia politiche, nei rapporti UE/USA, che pratiche, per i provider USA e le aziende italiane.

Image

Il Privacy Shield è un accordo tra la Commissione europea e il Segretario al Commercio USA che consentiva la comunicazione del dato del soggetto residente in Europa verso le aziende statunitensi aderenti a tale accordo.

Il Privacy Shield è nato a seguito dell’annullamento del precedente accordo Safe Harbour, verificatosi a seguito di una sentenza della Corte di Giustizia europea nel 2015.

La decisione

Ai sensi del regolamento generale sulla protezione dei dati (di seguito “RGDP”) il trasferimento dei dati verso un Paese posto al di fuori dell’UE può avvenire, in linea di principio, solo se il Paese terzo considerato garantisce un adeguato livello di protezione.

Secondo tale regolamento, la Commissione può constatare che, grazie alla sua legislazione nazionale o a impegni internazionali, un Paese terzo assicura un livello di protezione adeguato (la decisione 206/1250, oggetto di annullamento, riguarda proprio l’export di dati in USA).

In mancanza di una decisione di adeguatezza, un trasferimento può essere effettuato solo se l’esportatore dei dati personali, stabilito nell’Unione, preveda garanzie adeguate, le quali possono risultare, in particolare, da clausole contrattuali tipo adottate dalla Commissione (decisione 2010/87) e se gli interessati dispongono di diritti azionabili e di mezzi di ricorso effettivi.

In mancanza di una decisione di adeguatezza o di garanzie adeguate, il RGDP stabilisce, in via ultimativa, a quali condizioni possa avvenire un trasferimento siffatto.

Il livello di protezione richiesto nell’ambito di un trasferimento extra UE è sostanzialmente equivalente a quello garantito all’interno dell’Unione dal RGPD, letto alla luce della Carta dei diritti fondamentali dell’UE.

La valutazione del livello di protezione riguarda:

  • sia quanto stipulato contrattualmente tra le parti (esportatore dei dati stabilito nell’Unione e il destinatario del trasferimento stabilito nel Paese terzo)
  • sia l’eventuale accesso da parte delle pubbliche autorità di tale Paese terzo ai dati così trasferiti, oltre agli elementi pertinenti del sistema giuridico del paese di approdo dei dati.

Nello specifico, la normativa che disciplina i programmi di sorveglianza USA non minimizza il trattamento dei dati dei residenti in UE, anzi dall’analisi della stessa non emerge in alcun modo l’esistenza di limiti all’autorizzazione dell’attuazione di tali programmi e neppure l’esistenza di garanzie per gli stranieri che possono esserne potenzialmente oggetto.

La Corte aggiunge che la normativa non conferisce agli interessati diritti nei confronti delle autorità statunitensi azionabili dinanzi ai giudici e anzi, in caso di controversie, è previsto il ricorso a un meditatore che non offre garanzie di imparzialità.

Per tutte queste ragioni la Corte ha dichiarato invalida la decisione 2016/1250 sull’accordo Privacy Shield.

La Corte ha dichiarato inoltre che, in assenza di una decisione di adeguatezza validamente adottata dalla Commissione, il Garante Privacy è tenuto a sospendere o vietare un trasferimento di dati personali verso un Paese terzo quando ritenga, alla luce delle circostanze proprie di tale trasferimento, che non sussistano i presupposti di cui sopra.

La Corte ha giudicato invece valida la decisione 2010/87 relativa alle clausole contrattuali tipo per il trasferimento di dati personali a soggetti stabiliti in Paesi terzi. Certo è che le motivazioni dell’annullamento del Privacy Shield avranno effetti anche sulle clausole contrattuali standard, a parità di condizioni.

Quindi i provider USA che sino ad oggi hanno utilizzato la base giuridica del Privacy Shield per il trasferimento dati dall’UE agli USA dovranno adottare una diversa soluzione, come ad esempio le clausole contrattuali standard.

L’azienda italiana, in qualità di esportatore del dato, e il Garante Privacy,  dovranno effettuare una valutazione complessa in merito all’adeguatezza delle garanzie offerte dal soggetto che importa i dati e dalla normativa vigente in tale paese, con i conseguenti profili di responsabilità.

Implicazioni pratiche sulle attività aziendali

  • La decisione 2016/1250 non riguarda i trasferimenti di dati necessari verso gli USA (ad es. invio di e-mail a un soggetto in USA, prenotazione viaggio in USA)
  • Quando si esternalizza in USA, per motivi di convenienza anche se tecnicamente i dati potrebbero essere memorizzati all'interno dell'UE/SEE, non esiste una deroga generale (ai sensi dell'articolo 49 del GDPR) per il trasferimento di dati verso gli Stati Uniti, ma deve essere utilizzato uno strumento legale alternativo come le clausole contrattuali standard o le norme vincolanti di impresa. A seguito della decisione in commento il Privacy Shield non è più utilizzabile. Di conseguenza, le aziende interessate dovranno eliminare, dalle loro informative privacy, qualsiasi riferimento al Privacy Shield, rivedere i flussi di dati e le nomine ai vari responsabili.
  • Le aziende possono continuare a utilizzare provider USA? Al momento la risposta appare negativa, poiché tutti i principali provider sono sottoposti alla potenziale sorveglianza del governo USA.
  • Le aziende possono continuare a utilizzare provider USA con sedi in UE? In questi casi, le società europee hanno la responsabilità di garantire che i flussi di dati personali "interni al Gruppo" verso gli USA siano conformi al RGDP. Le aziende dovranno ora esaminare attentamente tutti questi flussi di dati e stabilire se conservare i dati in Europa o in qualsiasi altro paese che garantisca una migliore protezione della privacy, invece di essere trasferiti negli Stati Uniti e, quindi, essere oggetto di una potenziale sorveglianza governativa.

Impatto sui diritti dei consumatori

  • Gli utenti sono liberi di inviare consapevolmente i propri dati personali direttamente a un paese terzo, ad esempio quando utilizzano un sito web cinese o USA. Tuttavia, non è possibile condividere direttamente i dati di altre persone (ad es. amici, colleghi) con un fornitore statunitense, a meno che non si sia ottenuto il loro consenso libero, specifico, informato ed inequivocabile.

Andrea Antognini

Contrattualistica
Digital Services Act: proposta di Regolamento EU sui servizi digitali
Digital Services Act: proposta di Regolamento EU sui servizi digitali
Il 23 aprile il parlamento Europeo e il Consiglio d’Europa hanno raggiunto un accordo sul testo della proposta di Regolamento UE sui servizi digitali, il Digital Services Act (DSA).
Pratiche commerciali sleali nella filiera agricola e alimentare
Pratiche commerciali sleali nella filiera agricola e alimentare
Con D.lgs. dell’8 novembre 2021 n. 198 è stata data attuazione in Italia alla direttiva UE 2019/633 del 17 aprile 2019 in materia di pratiche commerciali sleali nei rapporti tra imprese nella filiera agricola e alimentare, che ha abrogato l’art.
Infoexport: Letter of authority per vendere vino negli USA
Infoexport: Letter of authority per vendere vino negli USA
Produciamo vino in Italia e ci ha contattato un importatore statunitense interessato ai nostri  vini in bottiglia (Horeca e vendita tramite e-commerce). Ci ha chiesto una Letter of authority…
Contratti con controparti aventi sede in territorio russo o bielorusso
Contratti con controparti aventi sede in territorio russo o bielorusso
Confindustria ha pubblicato alcuni consigli sui principali profili da considerare nella stipula di contratti internazionali con controparti aventi sede in territorio russo, bielorusso o in territori limitrofi.
Tempi di consegna dilatati e rischio penali: strumenti contrattuali per l’esportatore italiano
Tempi di consegna dilatati e rischio penali: strumenti contrattuali per l’esportatore italiano
L’attuale carenza e le difficoltà di reperimento delle materie prime e della componentistica possono impedire al venditore/esportatore di consegnare i prodotti ai clienti/compratori nei tempi contrattualmente pattuiti.
Brexit: riconoscimento ed esecuzione delle sentenze in materia civile e commerciale
Brexit: riconoscimento ed esecuzione delle sentenze in materia civile e commerciale
Le normative vigenti nell’Unione Europea in materia di giurisdizione, riconoscimento ed esecuzione di sentenze civili e commerciali non sono più applicabili nel Regno Unito a seguito della Brexit.
Crisi Russia - Ucraina: forza maggiore nell’esecuzione dei contratti internazionali
Crisi Russia - Ucraina: forza maggiore nell’esecuzione dei contratti internazionali
Dopo aver dominato la scena a causa dell’evento pandemico nel 2020, la questione della Forza maggiore è un tema nuovamente attuale a seguito dello scoppio della guerra tra Russia e Ucraina.
Emirati Arabi Uniti: nuova legge sul lavoro
Emirati Arabi Uniti: nuova legge sul lavoro
Il 2 febbraio 2022 è entrato in vigore negli Emirati Arabi Uniti il decreto federale n. 33 del 2021, che sostituisce la legge federale n. 8 del 1980.
Emirati Arabi Uniti: opportunità settoriali e modalità di insediamento
Emirati Arabi Uniti: opportunità settoriali e modalità di insediamento
Nel 2020, l’interscambio commerciale si è attestato su valori pari a 8,4 miliardi, consentendo all’Italia di diventare l’ottavo partner commerciale degli EAU e il secondo tra gli Stati membri UE.
Modelli contrattuali internazionali: Agenzia, Vendita,  Distribuzione in esclusiva
Modelli contrattuali internazionali: Agenzia, Vendita, Distribuzione in esclusiva
Unioncamere Lombardia ha pubblicato tre modelli contrattuali internazionali (versioni IT/ING e IT/FRA): Agenzia, Vendita e  Distribuzione in esclusiva.