Lo scorso 25 marzo, la Commissione europea e gli Stati Uniti d’America hanno annunciato di aver raggiunto un nuovo accordo quadro sul trasferimento transfrontaliero dei dati personali (il “Trans-Atlantic Data Privacy Framework”) che sarà alla base di una decisione di adeguatezza da parte della stessa Commissione europea. Il nuovo accordo – comunicato a meno di due anni dalla sentenza della Corte di Giustizia europea che aveva dichiarato invalido il “Privacy Shield” – si pone l’obiettivo di non pregiudicare il livello di protezione dei dati garantito dal GDPR in caso di trasferimento di dati personali verso gli Stati Uniti e, in generale, nell’ambito del trattamento dei dati personali dei cittadini europei. I punti cardine dell’accordo saranno rappresentati da regole e salvaguardie vincolanti per limitare l’accesso ai dati da parte delle autorità statunitensi, motivo, questo, che ha assunto notevole rilevanza nella citata decisione della Corte di Giustizia. Sarà, infatti, consentito alle autorità di accedere e, quindi, trattare i dati personali solamente nella misura in cui ciò sia necessario e proporzionato per proteggere e perseguire gli obiettivi di sicurezza nazionale definiti. Ciò avverrà, si legge nel comunicato, stabilendo un meccanismo di ricorso indipendente a due livelli, al fine di stabilire le misure correttive e migliorare la supervisione rigorosa e stratificata delle attività di intelligence garantendo il rispetto delle limitazioni nel corso delle attività di sorveglianza. Il Trans-Atlantic Data Privacy Framework fornirà una base per i flussi di dati transatlantici fondamentale per proteggere i diritti degli interessati. Con il comunicato è stato, altresì, confermato che i team del governo statunitense e della Commissione europea continueranno la loro cooperazione per tradurre questo accordo in documenti legali che entrambe le parti dovranno adottare. Una volta terminato l’iter previsto, Titolari e Responsabili del trattamento, sia europei che americani, saranno chiamati a conformarsi a quanto previsto dall’accordo quadro.

Altri insights correlati:

Alla luce dei principi contenuti della sentenza c.d Schrems II della Corte di Giustizia del 16 luglio 2020, la Commissione Europea, con la Decisione n. 2021/914 del 4 giugno 2021, ha approvato due nuove serie di Clausole Contrattuali Standard (“SCC” – Standard Contractual Clauses) che dal prossimo 27 settembre, dovranno essere inserite all’interno dei contratti per regolamentare un trasferimento di dati personali verso paesi extra UE o organizzazioni internazionali. Per tutti i contratti sottoscritti prima di tale data sarà, invece, previsto un periodo di transizione che terminerà il 27 dicembre 2022, purché i trattamenti oggetto dei contratti rimangano invariati e le “vecchie” clausole garantiscano che il trasferimento di dati personali sia soggetto a garanzie adeguate. Successivamente a tale scadenza, anche questi contratti dovranno essere aggiornati alla luce delle nuove SCC. Entrando nel dettaglio, le nuove SCC copriranno le ipotesi di trasferimento di dati personali verso paesi extra UE o organizzazioni internazionali che non offrono un sistema di protezione equivalente a quello assicurato dal Regolamento (UE) 2016/679 in materia di protezione dei dati personali (il “GDPR”). Le nuove SCC dovranno essere adottate in caso di trasferimenti di dati personali: (i) tra titolari del trattamento; (ii) tra un titolare del trattamento ed un suo responsabile del trattamento; (iii) tra un responsabile del trattamento ed un suo (sub) responsabile e (iv) tra un responsabile del trattamento ed un suo titolare qualora quest’ultimo non sia soggetto all’ambito di applicazione del GDPR.

Altri insight correlati:

Lo scorso 16 luglio 2020, la Corte di Giustizia dell’Unione Europea (“CGUE” o “Corte”) con la sentenza “Data Protection Commisioner v Facebook Ireland Limited, Maximilian Schrems C-311/18”, ha dichiarato  invalida la Decisione n. 2016/1250 e, di conseguenza, l’accordo siglato tra l’Unione Europea e gli Stati Uniti d’America avente l’obiettivo di tutelare e disciplinare il trasferimento dei dati personali dei cittadini europei verso soggetti destinatari allocati nel territorio americano (“Privacy Shield”)“.

Sul punto il Comitato Europeo per la Protezione dei Dati (“European Data Protection Board” o “EDPB”) ha predisposto delle “Frequently Asked Questions” (“FAQ”) che l’Autorità Garante per la protezione dei dati personali (il “Garante”) ha provveduto a tradurre nella lingua italiana.

Con esse si sottolinea espressamente che possono essere ancora considerati strumenti adeguati a rendere legittimo il trasferimento dei dati personali verso destinatari stabiliti al di fuori del territorio dell’Unione Europea gli altri strumenti previsti dal Regolamento UE 2016/679 in materia di protezione dei dati personali (“Regolamento”), citando le Clausole Contrattuali Standard (“Standard Contractual Clauses” o “SCC”) e le Norme Vincolanti d’Impresa (“Binding Corporate Rules” o “BCR”). Viene evidenziato, inoltre, che è responsabilità delle parti valutare caso per caso i trasferimenti effettuati con la precisazione che: “Al momento il Comitato europeo per la protezione dei dati sta analizzando la sentenza della Corte per stabilire quali misure supplementari potrebbero essere fornite in aggiunta alle SCC o alle BCR, siano esse misure giuridiche, tecniche o organizzative, per trasferire dati verso paesi terzi in cui le SCC o le BCR non potranno assicurare isolatamente un livello sufficiente di garanzie”.

Ciò detto, le FAQ richiamano un ulteriore strumento quale base giuridica che legittima tali trasferimenti, ossia il consenso degli interessati. In particolare, si ribadisce che il linguaggio del consenso deve essere semplice e chiaro e deve informare in modo trasparente gli interessati sui possibili rischi che un trasferimento verso gli Stati Uniti, o comunque altre giurisdizioni estere, potrebbe comportare.

Per completezza di esposizione, si segnala che ulteriori strumenti previsti dal Regolamento quali basi giuridiche atte a legittimare i trasferimenti all’estero sono: (i) la presenza di una decisione di adeguatezza ai requisiti europei in materia di protezione dei dati personali e (ii) l’adesione a specifici Codici di condotta o, comunque, a meccanismi di certificazione i quali devono essere contestualmente applicati dal soggetto a cui i dati vengono trasferiti.

◊◊◊◊

In ogni caso, alla luce di quanto espresso dalla Corte con la sentenza in esame nonché dalle FAQ dell’EDPB, sarà compito di ciascuna organizzazione che effettua trasferimenti di dati verso destinatari stabiliti fuori dal territorio dell’Unione effettuare specifiche valutazioni dei trattamenti nonché dei rischi relativi individuando di volta in volta lo strumento adeguato a legittimazione del trasferimento svolto.

Altri Insights correlati:

Privacy Shield: la Corte di Giustizia Europea invalida l’Accordo UE – USA

Con la sentenza del 16 luglio 2020, “Data Protection Commisioner v Facebook Ireland Limited, Maximilian Schrems C-311/18”, la Corte di Giustizia dell’Unione Europea (“CGUE” o “Corte”) ha dichiarato invalida la Decisione n. 2016/1250 e, con essa, l’accordo siglato tra l’Unione Europea e gli Stati Uniti d’America avente l’obiettivo di tutelare e disciplinare il trasferimento dei dati personali dei cittadini europei verso soggetti destinatari allocati nel territorio americano (“Privacy Shield”).

La decisione della corte di giustizia

La Corte ha constatato che i potenziali trattamenti effettuati dalle autorità pubbliche americane su tutti i dati personali trasferiti nel territorio degli Stati Uniti prevalgono sulle limitazioni previste dai diritti fondamentali dei cittadini europei (“interessati”) che la normativa europea si prefigge di tutelare.

Ad oggi, la normativa europea di riferimento in materia di protezione dei dati personali è contenuta nel Regolamento (UE) 2016/679 (il “Regolamento”) secondo cui i dati personali degli interessati, se trasferiti verso Paesi non appartenenti all’Unione, debbono essere tutelati da garanzie equivalenti a quelle previste dal diritto europeo.

La CGUE, nell’invalidare il Privacy Shield, riafferma la legittimità dello strumento rappresentato dalle c.d. Clausole Contrattuali Standard (“SCC – Standard Contractual Clauses”) adottate dalla Commissione Europea ma indica alle autorità di controllo dei singoli Paesi dell’Unione, il compito di verificare e, ove necessario, sospendere nonché vietare il trasferimento dei dati personali presso Paesi Terzi il cui ordinamento non rispetta i requisiti contenuti in tali Clausole.

Gli strumenti previsti dal Regolamento

La decisione in esame non pone un divieto assoluto di trasferimento dei dati personali verso gli Stati Uniti ma impone ai soggetti e alle organizzazioni che effettuano tale tipologia di trasferimento l’individuazione di strumenti alternativi che legittimino lo scambio e garantiscano adeguati livelli di protezione per gli interessati.

Sul punto, si precisa che il Regolamento prevede diversi strumenti e meccanismi da utilizzare al fine di porre in essere un corretto trasferimento di dati al di fuori dell’Unione Europea. In particolare:

  • la presenza di una decisione di adeguatezza ai requisiti europei in materia di protezione dei dati personali;
  • l’adozione di Clausole Contrattuali Standard;
  • l’adozione di Norme Vincolanti d’Impresa (“BCR _ Binding Corporate Rules”) da parte dei grandi gruppi internazionali a seguito della negoziazione con le Autorità di controllo dei paesi coinvolti;
  • l’adesione a specifici Codici di condotta o, comunque, a meccanismi di certificazione i quali devono essere contestualmente applicati dal soggetto al quale i dati vengono trasferiti;
  • il consenso dell’interessato che deve essere adeguatamente informato così come previsto dal Regolamento stesso.

◊◊◊◊

Alla luce di quanto di quanto espresso dalla Corte di Giustizia con la sentenza in esame, le organizzazioni che effettuano i trasferimenti di dati personali degli interessati verso gli Stati Uniti d’America, sono tenute a rivedere i meccanismi sui quali hanno fondato tali trasferimenti andando ad individuare degli strumenti alternativi nelle ipotesi in cui, sino ad oggi, è stato utilizzato il Privacy Shield.

Come specificato dalla Corte, nel caso in cui si scelga lo strumento delle Clausole Contrattuali Standard, sarà necessario individuare i rischi, anche potenziali, analizzando non solo l’organizzazione del soggetto ricevente tali dati ma anche fattori quali il contesto, il settore ovvero l’ordinamento del Paese Terzo in cui quest’ultimo opera.