Home>News>Approfondimenti, Cloud, Data Transfer, E-commerce, GDPR, Social Media, Sorveglianza Governativa>I trasferimenti di dati verso gli USA dopo la sentenza “Schrems II”

I trasferimenti di dati verso gli USA dopo la sentenza “Schrems II”

Avv. Giovanni Vidal - Collaboratore Privacy.it

Pubblicato in data 12-08-2020

Uno spettro si aggira per l’Europa (e per gli Stati Uniti d’America): è lo spettro della  sentenza c.d. “Schrems II”, ovvero la sentenza del 16 luglio 2020 nella causa C-311/18, con cui la Corte di giustizia dell’Unione europea (“CGUE”)    ha dichiarata invalida la decisione di esecuzione (UE) 2016/1250 della Commissione europea del 12 luglio 2016, sull’adeguatezza delle tutele offerte dal regime del Privacy Shield, l’accordo UE-USA per la protezione dei dati personali oggetto di trasferimento transatlantico.

Nell’attuale contesto normativo, in particolare quello imposto dal Regolamento (UE) 2016/679 (GDPR), la sentenza è destinata ad avere un impatto profondo per tutti gli operatori coinvolti, non solo i grandi player dell’economia digitale (Facebook & co.) ed i fornitori più piccoli di servizi digitali, ma anche per le imprese europee che di tali fornitori tecnologici si avvalgono nell’ambito della propria attività economica.

1 – Il trasferimento di dati personali verso paesi terzi ai sensi del GDPR

Per poter analizzare nel dettaglio la sentenza “Schrems II” e comprenderne appieno il contenuto e le conseguenze pratiche, è necessario soffermarsi prima sulle disposizioni contenute nel Capo V del GDPR, che disciplina il trasferimento dei dati personali verso paesi terzi, vale a dire paesi al di fuori dell’Unione europea.

Il Capo V del GDPR contiene una serie di disposizioni che tengono conto di due esigenze all’apparenza contrapposte, ben sintetizzate – tra l’altro – nel considerando 101 del GDPR:

  • da un lato, i flussi di dati personali da e verso paesi al di fuori dell’Unione europea sono necessari per l’espansione del commercio internazionale e della cooperazione internazionale, e vanno quindi in un certo qual modo favoriti;
  • dall’altro, quando i dati personali sono trasferiti al di fuori dell’Unione, il livello di tutela delle persone fisiche assicurato nell’Unione dal GDPR non deve essere compromesso, considerando anche che la protezione delle persone fisiche con riguardo al trattamento dei dati personali è un diritto fondamentale ai sensi dell’art. 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea (“Carta”).

Per cercare di conciliare tali due esigenze, il Capo V del GDPR prevede un meccanismo “scalare” costituito in primis dalle “decisioni di adeguatezza” (art. 45), dalle “garanzie adeguate” (art. 46) e dalle “deroghe in casi particolari” (art. 49), che vediamo meglio qui di seguito.

(i) 44 del GDPR

Il primo articolo del Capo V contiene una disposizione di carattere generale, in forza della quale qualunque trasferimento di dati personali oggetto di trattamento vero un paese terzo ha luogo solo se il titolare o il responsabile del trattamento rispettano quanto previsto dalle disposizioni previste dal Capo V, che sono applicate al fine di assicurare che il livello di protezione delle persone fisiche garantito dal GDPR non sia pregiudicato.

(ii) 45 del GDPR

L’art. 45 del GDPR ammette il trasferimento di dati personali verso un paese terzo se la Commissione europea ha deciso che tale paese terzo garantisce un livello di protezione adeguato, precisando altresì che in tal caso il trasferimento non necessita di autorizzazioni specifiche.

Nello svolgere tale valutazione, la Commissione deve prendere in considerazione diversi elementi, tra i quali:

  • lo stato di diritto, il rispetto dei diritti umani e delle libertà fondamentali, la legislazione generale e settoriale, così come l’attuazione di tale legislazione, le norme in materia di protezione dei dati, la giurisprudenza nonché i diritti effettivi e azionabili degli interessati e un ricorso effettivo in sede amministrativa e giudiziaria per gli interessati i cui dati personali sono oggetto di trasferimento;
  • l’esistenza e l’effettivo funzionamento di una o più autorità di controllo indipendenti nel paese terzo, con competenza per garantire e controllare il rispetto delle norme in materia di protezione dei dati, comprensiva di adeguati poteri di esecuzione;
  • gli impegni internazionali assunti dal paese terzo.

Dopo avere effettuato la valutazione dell’adeguatezza del livello di protezione sulla base degli elementi sopra descritti, la Commissione europea può decidere, mediante un atto di esecuzione (con un meccanismo di riesame periodico), che un determinato paese terzo, garantisce un livello di protezione adeguato.

L’ultimo paragrafo dell’art. 45 precisa che le decisioni della Commissione adottate ai sensi dell’art. 25, paragrafo 6, della Direttiva 95/46/CE (abrogata dal GDPR) restano in vigore sino a quando non sono modificate, sostituite o abrogate da una decisione della Commissione adottata ai sensi dell’art. 45: in sostanza, le decisioni relative all’adeguatezza di un paese terzo adottate in vigenza della precedente normativa in materia di protezione dei dati personali, continuano ad essere valide anche dopo l’entrata in vigore del GDPR.

(iii) 46 del GDPR

L’art. 46 prevede, al paragrafo 1, che, in mancanza di una decisione di adeguatezza della Commissione ai sensi dell’art. 45, il titolare o il responsabile del trattamento può trasferire dati personali verso un paese terzo solo se tale titolare o responsabile ha fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi.

L’art. 46 prosegue elencando, al paragrafo 2, gli strumenti che possono costituire garanzie adeguate senza bisogno di autorizzazione da parte delle autorità di controllo, vale a dire:

  • uno strumento giuridicamente vincolante e avente efficacia esecutiva tra autorità pubbliche;
  • le norme vincolanti di impresa, vale a dire le politiche applicate ai trasferimenti di dati infragruppo, a condizione che siano approvate dalle autorità di controllo ai sensi del successivo art. 47 del GDPR;
  • le clausole tipo di protezione adottate dalla Commissione europea secondo la procedura di cui all’art. 93 del GDPR;
  • le clausole tipo di protezione adottate da un’autorità di controllo e approvate dalla Commissione;
  • un codice di condotta approvato ai sensi dell’art. 40 del GDPR;
  • un meccanismo di certificazione approvato a norma dell’art. 42.

Il successivo paragrafo 3 prevede che possono costituire garanzie adeguate, fatta salva l’autorizzazione dell’autorità di controllo, anche le clausole contrattuali tra titolare/responsabile del trattamento e titolare/responsabile del trattamento o destinatario nel paese terzo o le disposizioni da inserire in accordi amministrativi tra autorità pubbliche.

(iv) 49 del GDPR

In mancanza di una decisione di adeguatezza ai sensi dell’art. 45 o di garanzie adeguate ai sensi dell’art. 46 del GDPR, l’art. 49 ammette il trasferimento o un complesso di trasferimenti di dati personali verso un paese terzo soltanto se si verifica una delle seguenti condizioni:

  1. l’interessato abbia esplicitamente acconsentito al trasferimento proposto, dopo essere stato informato dei possibili rischi di siffatti trasferimenti per l’interessato, dovuti alla mancanza di una decisione di adeguatezza e di garanzie adeguate;
  2. il trasferimento sia necessario all’esecuzione di un contratto concluso tra l’interessato e il titolare del trattamento ovvero all’esecuzione di misure precontrattuali adottate su istanza dell’interessato;
  3. il trasferimento sia necessario per la conclusione o l’esecuzione di un contratto stipulato tra il titolare del trattamento e un’altra persona fisica o giuridica a favore dell’interessato;
  4. il trasferimento sia necessario per importanti motivi di interesse pubblico;
  5. il trasferimento sia necessario per accertare, esercitare o difendere un diritto in sede giudiziaria;
  6. il trasferimento sia necessario per tutelare gli interessi vitali dell’interessato o di altre persone, qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
  7. il trasferimento sia effettuato a partire da un registro che, a norma del diritto dell’Unione o degli Stati membri, mira a fornire informazioni al pubblico e può esser consultato tanto dal pubblico in generale quanto da chiunque sia in grado di dimostrare un legittimo interesse, solo a condizione che sussistano i requisiti per la consultazione previsti dal diritto dell’Unione o degli Stati membri.

Qualora non fosse possibile basare il trasferimento su una disposizione degli articoli 45 o 46, e nessuna delle deroghe sopra elencate fosse applicabile, l’art. 49 del GDPR prevede che il trasferimento verso un paese terzo o un’organizzazione internazionale sia ammesso soltanto se non è ripetitivo, riguarda un numero limitato di interessati, è necessario per il perseguimento degli interessi legittimi cogenti del titolare del trattamento, su cui non prevalgano gli interessi o i diritti e le libertà dell’interessato, e qualora il titolare e del trattamento abbiano valutato tutte le circostanze relative al trasferimento e sulla base di tale valutazione abbia fornito garanzie adeguate relativamente alla protezione dei dati personali.

*

Analizzate le norme del Capo V del GDPR che disciplinano il trasferimento dei dati personali verso un paese terzo, possiamo finalmente dedicarci alla sentenza.

 2 – La Sentenza “Schrems II”

2.1 Il Procedimento

La sentenza “Schrems II” è stata emessa a seguito di una denuncia presentata da Maximillian Schrems, un giovane attivista austriaco iscritto al social network Facebook dal 2008.

Nel 2013, il Signor Schrems presentò una prima denuncia al Data Protection Commissioner (vale a dire l’autorità di controllo irlandese in materia di protezione dei dati personali), chiedendo a quest’ultimo di vietare a Facebook Ireland (con cui chiunque risiede nell’Unione e intende utilizzare Facebook deve sottoscrivere un contratto) di trasferire i suoi dati personali a Facebook Inc., società con sede negli USA, sostenendo che la normativa e la prassi in vigore negli Stati Uniti non offrisse una protezione sufficiente dei dati personali.

La denuncia fu inizialmente respinta, in base al rilievo che la Commissione europea aveva constatato, nella sua Decisione 2000/520/CE del 26 luglio 2000, emessa a norma dell’allora vigente Direttiva 95/46/CE, che gli Stati Uniti garantivano un adeguato livello di protezione (si tratta dell’adeguatezza dei principi di approdo sicuro – Safe Harbor).

Successivamente, a seguito del ricorso presentato dal Signor Schrems, l’High Court irlandese aveva quindi proposto alla CGUE una domanda di pronuncia pregiudiziale relativa alla validità della Decisione 2000/520/CE e la Corte, con sentenza del 16 ottobre 2015 (la prima sentenza Schrems), ne aveva dichiarato l’invalidità.

In conseguenza della prima sentenza Schrems, il Data Protection Commissioner ha quindi riaperto le indagini scaturite dalla denuncia del Signor Schrems e, nell’ambito di tali nuove indagini, Facebook Ireland ha sostenuto che gran parte dei dati personali erano comunque trasferiti a Facebook Inc. sulla base delle clausole tipo di protezione contenute nell’allegato alla Decisione 2010/87/UE della Commissione del 5 febbraio 2010, relativa alle clausole contrattuali tipo per il trasferimento dei dati personali a incaricati del trattamento stabiliti in paesi terzi a norma della Direttiva 95/46/CE, come modificata nella Decisione 2016/2297/UE del 16 dicembre 2016 (“Decisione SCC”).

Quindi, secondo Facebook, l’invalidità dell’accordo Safe Harbor non avrebbe compromesso la legittimità dei trasferimenti dei dati personali negli Stati Uniti, che sarebbero comunque avvenuti sulla base delle clausole contrattuali tipo.

Il Signor Schrems ha quindi, il 1° dicembre 2015, riformulato la propria denuncia, sostenendo che il diritto statunitense imponesse a Facebook di rendere disponibili alle autorità (National Security Agency e FBI) i dati personali trasferiti e che tali dati venissero usati per programmi di sorveglianza incompatibili con la Carta.

Conseguentemente, secondo l’attivista austriaco la Decisione 2010/87/UE non avrebbe potuto giustificare il trasferimento dei dati verso gli Stati Uniti.

Il  31 maggio 2016, il Data Protection Commissioner, ritenendo che la denuncia del Signor Schrems, come sopra riformulata, sollevasse la questione di validità della Decisione 2010/87/UE relativa alle clausole contrattuali tipo, ha adito la High Court, la quale a sua volta, nel maggio 2018, si è rivolta nuovamente alla CGUE, sottoponendole la questione della validità di tale decisione, oltre ad altre questioni pregiudiziali.

Nel frattempo, qualche mese dopo la prima sentenza Schrems, il 12 luglio 2016, la Commissione, per superare le conseguenze dell’invalidità della Decisione relativa al Safe Harbor, aveva adottato la Decisione di esecuzione (UE) 2016/1250 sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy (“Decisione Privacy Shield”).

La CGUE ha quindi dovuto giocoforza prendere posizione anche su alcune questioni pregiudiziali relative alla Decisione Privacy Shield ed alla validità.

Al termine del complesso procedimento che si è cercato di descrivere sopra in modo sintetico, lo scorso 16 luglio 2020, la CGUE ha finalmente emanato la sentenza in commento.

2.2 La Sentenza

Prima di entrare nel merito della vicenda, la CGUE:

  • ha respinto alcune eccezioni preliminari sollevate da Facebook Ireland e dai governi tedesco e del Regno Unito relativamente all’irricevibilità della domanda;
  • ha precisato che le questioni ad essa sottoposte dall’High Court devono essere decise alla luce del GDPR, e non della Direttiva 95/46/CE.

La CGUE si è quindi pronunciata sulle questioni pregiudiziali che le sono state sottoposte, alcune generali ed alcune specificamente riferite alla Decisione SCC ed alla Decisione Privacy Shield, come si cercherà di esporre quanto più sinteticamente possibile.

2.2.1 Alcune questioni pregiudiziali

La sentenza in commento, oltre a decidere in merito alla validità della Decisione SCC e della Decisione Privacy Shield, si è anche occupata di fornire alcuni importanti chiarimenti, sintetizzati qui di seguito.

  • In primo luogo, la CGUE ha chiarito che l’art. 2, paragrafi 1 e 2, del GDPR (che ne disciplina l’ambito di applicazione materiale) va interpretato nel senso che rientra nell’ambito di applicazione del GDPR un trasferimento di dati a fini commerciali da un operatore stabilito all’interno di uno stato membro verso uno stabilito in un paese terzo, nonostante, durante o dopo tale trasferimento, i suddetti dati possano essere sottoposti a trattamento da parte delle autorità del paese terzo.
  • La CGUE prosegue chiarendo che l’art. 46 va interpretato nel senso che le garanzie adeguate, i diritti azionabili e i mezzi di ricorso effettivi richiesti dal paragrafo 1 devono garantire che i diritti degli interessati i cui dati personali sono trasferiti verso un paese terzo sulla base di clausole tipo di protezione adottate dalla Commissione ai sensi del paragrafo 2, lettera c), godano di un livello di protezione non necessariamente identico, ma quantomeno sostanzialmente equivalente a quello garantito all’interno dell’Unione dal GDPR, interpretato alla luce della Carta. Per valutare il livello di protezione, si devono considerare sia le clausole contrattuali convenute tra titolare o responsabile del trattamento stabilito nell’Unione ed il destinatario stabilito nel paese terzo interessato, sia gli elementi rilevanti del sistema giuridico di tale paese terzo relativamente all’accesso delle autorità di tale paese ai dati personali trasferiti.
  • Nella sentenza in commento, la CGUE si occupa anche di chiarire la portata dell’art. 58, paragrafo 2, lettere f) e j), che, in relazione alle autorità di controllo, prevede che queste hanno, tra gli altri, il potere di imporre una limitazione provvisoria o definitiva al trattamento, compreso il divieto, e di ordinare la sospensione dei flussi di dati verso un paese terzo. Al riguardo, la CGUE ha chiarito che tale norma deve essere interpretata nel senso che – a meno che non esista una decisione di adeguatezza adottata dalla Commissione ai sensi dell’art. 45 del GDPR (come la Decisione Privacy Shield) – l’autorità di controllo competente è tenuta a sospendere o a vietare il trasferimento verso un paese terzo effettuato sulla base di clausole tipo di protezione adottate dalla Commissione (come nel caso della Decisione SCC), qualora tale autorità ritenesse, alla luce delle circostanze proprie di tale trasferimento, che tali clausole non siano o non possano essere rispettate in tale paese e che la protezione richiesta dal diritto dell’Unione non possa essere garantita con altri mezzi, nel caso in cui il titolare o il responsabile stabiliti nell’Unione non abbiano loro stessi sospeso o cessato il trasferimento.

2.2.2 Sulla Decisione SCC

La CGUE inizia quindi a entrare nel vivo, occupandosi in particolare della Decisione SCC, valutandone la validità.

Questo è uno dei passaggi più rilevanti della sentenza in commento e merita quindi di essere approfondito.

La CGUE inizia la propria analisi citando l’art. 1 della Decisione SCC, il quale dispone che le clausole tipo di protezione contenute nell’allegato alla stessa sono garanzie sufficienti per la tutela della vita privata, della libertà e dei diritti fondamentali delle persone. Al riguardo, la CGUE evidenzia che:

  • è pacifico che le clausole contrattuali, benché vincolino importatore ed esportatore, non possono vincolare le autorità del paese terzo, che non è parte del contratto;
  • pertanto, ci possono essere dei casi (a seconda del diritto e della prassi del paese terzo coinvolto) in cui quanto previsto in tali clausole potrebbe non essere sufficiente a garantire la protezione effettiva dei dati personali;
  • mentre una decisione di adeguatezza relativa ad un paese terzo ai sensi dell’art. 45 del GDPR (come la Decisione Privacy Shield) può essere adottata dalla Commissione solo se essa ha verificato che la normativa pertinente di tale paese terzo consenta di ritenere che essa garantisca una livello di protezione adeguato, nel caso di una decisione della Commissione che adotta clausole tipo di protezione dei dati (come la Decisione SCC), qualora essa non sia limitata ad un paese terzo in particolare, l’art. 46 non richiede che la Commissione debba svolgere una valutazione del livello di protezione garantito dai paesi terzi verso i quali potrebbero essere trasferiti i dati;
  • come previsto dall’art. 46, paragrafo 1, del GDPR, in mancanza di una decisione di adeguatezza della Commissione, è il titolare o il responsabile del trattamento stabilito nel territorio dell’Unione a dover fornire garanzie adeguate;
  • le clausole tipo di protezione adottate dalla Commissione (come quelle adottate dalla Decisione SCC) hanno il solo scopo di fornire ai titolari e responsabili stabiliti nel territorio dell’Unione garanzie contrattuali che si applicano uniformemente a tutti i paesi terzi, indipendentemente dal livello di protezione garantito in ciascuno di essi e quindi, in considerazione della situazione di un determinato stato, può essere necessario adottare misure supplementari per garantire il rispetto del livello di protezione richiesto dal diritto dell’Unione;
  • spetta al titolare o al responsabile del trattamento stabilito nel territorio dell’Unione (eventualmente in collaborazione col destinatario) verificare se il diritto del paese terzo garantisce una protezione adeguata in base al diritto dell’Unione, adottando, se necessario, misure supplementari;
  • nel caso in cui il titolare o al responsabile del trattamento stabiliti nel territorio dell’Unione non possano adottare misure supplementari sufficienti a garantire la protezione, essi (o in subordine l’autorità di controllo) sono tenuti a sospendere o a mettere fine al trasferimento;
  • il solo fatto che le clausole tipo previste nella Decisione SCC non vincolino le autorità dei paesi terzi non inficia la validità di tale decisione, validità che invece dipende dal fatto che la decisione stessa contenga meccanismi che consentano in modo efficace di garantire il livello di protezione richiesto dal diritto dell’Unione e che i trasferimenti basati su tali clausole siano sospesi o vietati in vaso di violazione di tali clausole o di impossibilità di rispettarle;
  • le clausole tipo di protezione contenute nell’allegato alla Decisione SCC contengono una serie di obblighi a carico delle parti, in particolare:
  1. impegno reciproco delle parti a far sì che il trattamento dei dati (compreso il loro trasferimento) sia effettuato in conformità alla normativa sulla protezione dei dati applicabile ai responsabili del trattamento nello stato membro in cui è stabilito l’esportatore (quindi in conformità al GDPR);
  2. il destinatario del trasferimento stabilito in un paese terzo deve certificare di non avere motivo di ritenere che la normativa ad esso applicabile gli impedisca di adempiere agli obblighi contrattuali, impegnandosi a comunicare al titolare qualsiasi modifica della normativa nazionale che possa pregiudicare le garanzie e gli obblighi di cui alle clausole tipo nonché della impossibilità a conformarsi agli obblighi di cui alle clausole tipo;
  3. il titolare stabilito nell’Unione ha il diritto (in realtà deve) di sospendere il trasferimento dei dati o risolvere il contratto nei casi indicati al precedente punto 2;
  • alla luce degli obblighi sopra descritti, le parti sono tenute ad assicurarsi che la legislazione del paese terzo di destinazione permetta al destinatario di conformarsi alle clausole tipo prima di procedere al trasferimento;
  • non sono in contraddizione con le clausole tipo le disposizioni di legge “che non vanno oltre quanto è necessario in una società democratica per salvaguardare, in particolare, la sicurezza dello stato, la difesa e la sicurezza pubblica”: se le disposizioni vanno oltre a quanto è necessario, vi sarebbe una violazione delle clausole tipo;
  • la valutazione della necessarietà o meno degli obblighi imposti dalla norma del paese terzo deve tenere conto dell’adeguatezza contenuta in una eventuale decisione ai sensi dell’art. 45 del GDPR;
  • la Decisione SCC non impedisce all’autorità di controllo competente, a meno che non esista una decisione di adeguatezza, di sospendere o vietare un trasferimento verso un paese terzo effettuato sulla base di clausole tipo, qualora l’autorità stessa ritenga che le clausole non possano essere o non siano rispettate in tale paese e che la protezione dei dati richiesta dal diritto dell’Unione non possa essere garantita, nel caso in cui titolare o responsabile stabiliti nell’Unione non abbiano sospeso o messo fine al trasferimento.

Alla luce del complesso ragionamento sopra descritto, la CGUE conclude che:

  • la Decisione SCC prevede meccanismi efficaci per garantire che il trasferimento dei dati personali verso un paese terzo in base alle clausole standard di cui all’allegato sia sospeso o vietato nel caso in cui il destinatario non rispetti o non possa rispettare tali clausole; e quindi
  • non vi sono elementi per inficiare la validità della Decisione SCC.

2.2.3 Sulla Decisione Privacy Shield

Siamo così arrivati al cuore della sentenza “Schrems II”, vale a dire la parte relativa alla Decisione Privacy Shield.

L’High Court irlandese aveva posto al riguardo alcune questioni pregiudiziali, ed in particolare:

  • se l’autorità di controllo di uno stato membro sia o meno vincolata dalle constatazioni contenute nella Decisione Privacy Shield;
  • se, considerando le constatazioni fatte dalla stessa High Court in merito al diritto USA, il trasferimento verso tale paese sul fondamento delle clausole tipo di protezione di cui alla Decisione SCC violi i diritti di cui agli 7, 8 e 47 della Carta, che sanciscono rispettivamente il diritto al rispetto della vita privata e familiare, il diritto alla protezione dei dati personali ed il diritto ad un ricorso effettivo e a un giudice imparziale;
  • se l’istituzione della figura del “mediatore” menzionato nell’allegato III alla Decisione Privacy Shield sia compatibile con l’art. 47 della Carta.

Come chiarito all’interno della sentenza, per poter dare una risposta completa al giudice del rinvio (l’High Court irlandese), la CGUE ha dovuto esaminare la conformità della Decisione Privacy Shield al GDPR, letto alla luce della Carta.

La sentenza, quindi, analizza in dettaglio il contenuto della Decisione Privacy Shield, evidenziandone, tra l’altro, i seguenti elementi:

  • come nel caso della decisione 2000/520/CE (Safe Harbor), anche la Decisione Privacy Shield sancisce il primato delle esigenze di sicurezza nazionale, interesse pubblico o amministrazione della giustizia rispetto ai principi relativi alla protezione dei dati sanciti nella stessa Decisione Privacy Shield, il che rende possibili ingerenze sui diritti fondamentali delle persone, derivanti dall’accesso da parte delle autorità USA ai dati personali trasferiti dall’Unione agli Stati Uniti;
  • la Commissione, nella Decisione Privacy Shield, ha quindi valutato le limitazioni e le garanzie previste dalla normativa statunitense, in particolare l’art. 702 del Foreign Intelligence Surveillance Act (FISA), che autorizza programmi sorveglianza PRISM e UPSTREAM, l’Executive Order (EO) 12333 e il Presidential Policy Directive (PPD) 28, in relazione all’accesso ai dati trasferiti negli USA e l’utilizzo degli stessi da parte delle pubbliche autorità statunitensi, constatando, all’esito di tale valutazione, che gli Stati Uniti si limitano a quanto strettamente necessario per conseguire l’obbiettivo legittimo ricercato, e che contro tali ingerenze esiste comunque una tutela giuridica efficace.

Tuttavia, la CGUE evidenzia che, in merito agli aspetti sopra menzionati, il giudice di rinvio invece ha dei dubbi rispetto alle conclusioni della Commissione, in quanto secondo l’High Court il diritto degli Stati Uniti non prevedrebbe garanzie e limitazioni rispetto alle ingerenze autorizzate dalla sua normativa nazionale né una tutela giurisdizionale effettiva, in quanto l’instaurazione del mediatore non rimedierebbe alle lacune dell’ordinamento USA.

La sentenza prosegue descrivendo i diritti fondamentali i cui agli art. 7 e 8 della Carta, precisando altresì che, ai sensi dell’art. 52, paragrafo 1, della Carta stessa, “eventuali limitazioni all’esercizio dei diritti e delle libertà riconosciuti dalla presente Carta devono essere previste dalla legge e rispettare il contenuto essenziale di detti diritti e libertà” e che nel rispetto del principio di proporzionalità, possono essere apportate limitazioni solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui”.

La CGUE ha quindi esaminato la normativa statunitense sopra citata ed i relativi programmi di sorveglianza, alla luce di quanto previsto nella Carta, e nell’ambito di tali analisi ha rilevato che:

  • l’United States Foreign Intelligence Surveillance Court non autorizza singole misure di sorveglianza ma programmi di sorveglianza (ad esempio, PRISM e UPSTREAM) basati sull’art. 702 del FISA: il controllo di tale corte, quindi, non riguarda il fatto se la persona è un obbiettivo adatto a fornire informazioni di intelligence, ma solo se i programmi sono in linea con gli obbiettivi di intelligence;
  • conseguentemente, dall’art. 702 del FISA non risulta alcuna limitazione all’autorizzazione, né l’esistenza di garanzie per i cittadini stranieri e, conseguentemente, l’art. 702 del FISA “non è idoneo a garantire un livello di tutela sostanzialmente equivalente a quello garantito dalla Carta”;
  • sebbene la PPD-28 imponga alcuni limiti e requisiti ai programmi di sorveglianza fondati sull’art. 702 del FISA, che sarebbero vincolanti per i servizi di intelligence USA, lo stesso governo degli Stati Uniti ha ammesso, in risposta ad un quesito della Corte, che in realtà la PPD-28 non conferisce agli interessati diritti azionabili davanti ai giudici, con la conseguenza che la PPD-28 non è idonea a garantire un livello di protezione sostanzialmente equivalente a quello risultante dalla Carta, contrariamente a quanto previsto dall’art. 45, paragrafo 2, lett. a), del GDPR, che fa dipendere il livello di protezione anche dall’esistenza di “diritti effettivi e azionabili dagli interessati”;
  • in merito ai programmi di sorveglianza basati sull’EO 12333, nemmeno essi conferiscono diritti nei confronti della autorità azionabili davanti ai giudici;

La CGUE conclude quindi la sua analisi affermando in modo perentorio che nessuna delle norme sopra citate corrispondono ai requisiti minimi connessi, in base al diritto dell’Unione, al principio di proporzionalità, quindi i programmi di sorveglianza che si fondano su tali norme non si possono considerare limitati allo stretto necessario.

Conseguentemente, le limitazioni alla protezione dei dati personali derivanti dalla normativa interna USA, non corrispondono ai requisiti previsti dall’art. 52, paragrafo 1, della Carta.

La sentenza prosegue analizzando la figura del mediatore in relazione all’art. 47 della Carta.

A tal proposito, la CGUE contesta quanto sostenuto dalla Commissione nella Decisione Privacy Shield, secondo cui con l’istituzione del mediatore si poteva ritenere che gli Stati Uniti assicurassero un livello di protezione sostanzialmente equivalente a quello di cui all’art. 47 della Carta, con le seguenti convincenti argomentazioni:

  • il mediatore riferisce direttamente al Segretario di Stato, che lo nomina;
  • la Decisione Privacy Shield non contiene indicazioni in merito al fatto che il mediatore è autorizzato o meno a prendere decisioni vincolanti per i servizi di intelligence;
  • il meccanismo di mediazione non fornisce quindi mezzi di ricorso che offra garanzie sostanzialmente equivalenti a quelle di cui all’art. 47 della Carta.

Secondo la CGUE, dunque, nel sostenere, all’art. 1, paragrafo 1, della Decisione Privacy Shield, che gli USA assicurano un livello adeguato di protezione dei dati personali trasferiti dall’Unione verso organizzazione stabilite negli USA nell’ambito dello scudo Unione europea/USA, la Commissione ha disatteso i requisiti previsti dall’art. 45, paragrafo 1, del GDPR, letti alla luce degli articoli 7, 8 e 47 della Carta.

La conseguenza di quanto precede è che l’art. 1 della Decisione Privacy Shield, e quindi tutta la Decisione Privacy Shield che si fonda su tale art. 1, deve essere considerata invalida.

Infine, la CGUE rileva che l’annullamento della Decisione Privacy Shield non comporta alcuna lacuna normativa, visto che l’art. 49 del GDPR stabilisce a quali condizioni possono avvenire trasferimenti di dati personali verso paesi terzi quando manca una decisione di adeguatezza ai sensi dell’art. 45 del GDPR oppure mancano garanzie appropriate ai sensi dell’art. 46 del GDPR.

3 – Le conseguenze della sentenza

La sentenza Schrems II, in estrema sintesi, ha quindi:

  • annullato la Decisione Privacy Shield;
  • confermato la validità della Decisione SCC, precisando tuttavia che la stessa impone all’esportatore ed all’importatore dei dati l’obbligo di verificare, attraverso un audit/due diligence, prima di qualsiasi trasferimento, se nel paese terzo in questione sia rispettato un livello di protezione sostanzialmente analogo a quello garantito dal GDPR nell’Unione europea;
  • ha reso di fatto inutilizzabili le standard contractual clauses per legittimare i trasferimenti negli Stati Uniti, quantomeno per i destinatari/importatori che sono soggetti ai programmi di sorveglianza descritti in sentenza.

Rispetto a tale ultimo punto, va considerato – come correttamente evidenziato anche da Noyb, il team di legali che sta collaborando con Maximillian Schrems nella lunga battaglia giudiziaria che ha portato alla sentenza in esame (https://noyb.eu/it/prossimi-passi-le-aziende-dellue-faq) – che gran parte dei fornitori dei servizi cloud americani è sottoposto ai controlli ai sensi dell’art. 702 del FISA,  in quanto lo stesso si applica ai “electronic communication service provider”, che comprendono:

  • Providers of remote computing services,
  • Provider of electronic communication services,
  • Telecommunications carriers,
  • Any other communication service provider who has access to wire or electronic communications either as such communications are transmitted or as such communications are stored, and
  • any officer, employee, or agent of any such entity.

Considerando che, nella prassi, i trasferimenti di dati personali negli Stati Uniti si basano prevalentemente sull’adesione degli importatori al Privacy Shield (sono più di 5000 le imprese americane che vi hanno aderito) oppure sulle standard contractual clauses (oppure su entrambi, come spesso accede nel caso degli “Over-The-Top”), e che la sentenza, pur non affrontando il tema delle binding corporate rules, sembra di fatto renderle inutilizzabili per trasferimenti negli USA alla stregua delle SCC, è facile comprendere come la sentenza Schrems II abbia, in pratica, reso pressoché impossibile (o molto difficile) trasferire i dati negli Stati Uniti, quantomeno nella grande maggioranza dei casi, ovvero nei casi in cui l’importatore sia un “electronic communication service provider”.

È vero, infatti, come chiarito nella sentenza e confermato dell’European Data Protection Board (EDPB) nelle FAQ adottate il 23 luglio 2020 (trovate qui la versione in italiano), che è teoricamente possibile trasferire i dati agli Stati Uniti sulla base delle deroghe previste dall’art. 49 del GDPR.

Tuttavia, è altrettanto vero che tali deroghe sono di difficile o di limitata applicazione pratica; sul punto, si vedano anche qui le linee guida dell’EDPB relative all’49, che chiariscono che tale articolo può essere usato solo per trasferimenti occasionali e non ripetitivi.

Va inoltre considerato che costituisce trasferimento dei dati anche l’accesso ai dati effettuato a partire da un paese terzo, ad esempio per fini amministrativi, il che amplia ancor più i casi in cui la sentenza avrà delle conseguenze pratiche.

La sentenza Schrems II avrà quindi l’effetto di un vero e proprio terremoto su tutti i soggetti coinvolti, esportatori europei e importatori statunitensi, effetto che è in realtà immediato, considerando che, come precisato dall’EDPB nelle FAQ del 23 luglio 2020, non è previsto alcun periodo di grazia: i titolari del trattamento e (in caso di inerzia) le autorità hanno il dovere di agire per sospendere o vietare i trasferimenti di dati quando non dispongono di uno strumento giuridico valido per un trasferimento, incorrendo, in caso contrario, nelle sanzioni previste dal GDPR.

Peraltro, la sentenza è destinata ad avere effetti rilevanti anche per i trasferimenti verso paesi terzi diversi dagli Stati Uniti, in quanto chiarisce che le SCC – a differenza di quanto era ritenuto (a torto) da buona parte degli operatori – non comportano di per sé stesse un’automatica legittimità del trasferimento dei dati personali in un paese terzo, ma impongono alle parti di valutare il contesto normativo di tale paese (e di dare prova di tale valutazione) prima di effettuare il trasferimento.

È chiaro che ciò avrà dei pesanti impatti operativi.

4 – Conclusioni

Come detto, la sentenza Schrems II è destinata ad avere un impatto molto rilevante non solo per i grandi protagonisti della economia dei dati – come Facebook, Amazon, Apple, Microsoft, Salesforce, e Google – che potrebbero dover rivedere le proprie strategie e che (come già evidenziato in questo sito), tramite la Computer & Communications Industry Association, hanno già espresso le loro preoccupazioni al riguardo, ma anche per le imprese IT più piccole e per i titolari europei che si avvalgono di fornitori IT americani.

Tutto ciò potrebbe creare incertezza ed avere delle ripercussioni su tutti gli operatori economici, in molti casi già fortemente provati dalle conseguenze della pandemia da COVID-19.

Anche se le ragioni dell’azione iniziata da Max Schrems sono condivisibili e la sentenza della CGUE è coerente con l’impianto del GDPR e della Carta, ad avviso di chi scrive un’impresa non dovrebbe, da un giorno con l’altro, rischiare di subire le pesanti sanzioni previste dal GDPR per un comportamento che sino a pochi giorni fa era del tutto legittimo, come avvalersi di un fornitore IT americano che aderiva al Privacy Shield, considerando anche che la ricerca di un nuovo fornitore richiede certamente del tempo.

È quindi auspicabile che le autorità competenti pongano al più presto rimedio a questa situazione, fornendo soluzioni pratiche che possano venire incontro alle esigenze degli operatori economici, favorendo l’economia dei dati (che è uno dei pilastri del GDPR).

Come già scritto anche su queste pagine, una soluzione potrebbe essere proprio quella di rimpiazzare la Decisione Privacy Shield con un nuovo accordo tra la Commissione europea e le autorità statunitensi.

Peraltro, come indicato nella relazione della Commissione europea pubblicata il 24 giugno 2020 relativa ai primi due anni di applicazione del GDPR, la stessa Commissione era in  attesa della sentenza, subordinando all’esito della stessa la propria relazione in tema di decisioni di adeguatezza.

Proprio in questo contesto, lo scorso 10 agosto 2020 gli Stati Uniti e la Commissione hanno annunciato, in un comunicato stampa congiunto, di avere iniziato le trattative per un privacy shield migliorato al fine di adeguarsi alla sentenza “Schrems II”.

Tuttavia, un eventuale nuovo accordo, non dovrebbe prescindere da una effettiva e sostanziale riforma della normativa USA in materia di protezione dei dati, che difficilmente potrà avvenire, soprattutto in tempi brevi.

Diversamente, nel caso si trattasse di accordo semplicemente politico, non fondato sull’effettiva concessione agli utenti UE di un vero diritto di ricorso in caso di violazioni dei diritti dovute a un trattamento illecito dei dati da parte delle autorità statunitensi, sarebbe destinato a diventare nuovamente il (facile) bersaglio dell’agguerrito attivista austriaco, con il conseguente rischio concreto di avere una sentenza Schrems III, IV e così via, il che minerebbe la credibilità della Commissione e aumenterebbe le incertezze degli operatori.