Trasferimento dei dati verso Paesi terzi e le sentenze Schrems
Il tema della privacy e la sua costante evoluzione all’interno dell’UE continua ancora oggi ad essere fondamentale non solo per gli Stati membri, le aziende e le numerose organizzazioni, ma anche e soprattutto per i cittadini europei che sono posti al centro della regolamentazione europea (GDPR).
Questa evoluzione nasce dall’intensificarsi della “vita digitale”, mentre il trasferimento transfrontaliero dei dati personali è ormai diventato all’ordine del giorno. Tuttavia, le imprese che sono in possesso di tali dati devono operare in modo compliant, per non incorrere in sanzioni e per garantire il rispetto della privacy dei singoli cittadini.
COME È REGOLAMENTATO IL TRASFERIMENTO DEI DATI VERSO PAESI TERZI?
La normativa europea in materia di trasferimento dei dati verso Paesi terzi è disciplinata attraverso gli art. 44 e seguenti del GDPR, e prevede specifiche condizioni secondo le quali è possibile praticare questa attività. È infatti possibile trasferire dati in presenza di una dichiarazione (decisione di adeguatezza) della Commissione Europea, una volta stabilite le garanzie del Paese terzo in merito al rispetto e la protezione dei dati da trattare. Servono dunque garanzie adeguate a trasferire dati personali verso un Paese extra UE.
Tuttavia, in assenza di una decisione di adeguatezza, il GDPR permette il trasferimento a fronte di ulteriori garanzie, quali ad esempio:
– uno strumento giuridicamente vincolante e avente efficacia esecutiva tra autorità pubbliche o organismi pubblici;
– le norme vincolanti d'impresa in conformità dell'art. 47;
– le clausole tipo di protezione dei dati adottate dalla Commissione;
– le clausole tipo di protezione dei dati adottate da un'autorità di controllo e approvate dalla Commissione;
– un codice di condotta approvato a norma dell'art. 40;
– un meccanismo di certificazione approvato a norma dell'art. 42.
Il GDPR stabilisce, inoltre, a quali condizioni può avvenire un trasferimento dati in mancanza di una decisione di adeguatezza o di garanzie adeguate (art. 49).
SENTENZE SCHREMS
L’osservanza dei diritti e delle libertà dei singoli utenti in materia privacy è da tempo al centro del dibattito politico internazionale, poiché il trasferimento di dati personali verso Paesi extra UE richiede l’adempimento di obblighi e regole specifiche, al fine di rendere effettivo e legittimo il loro trattamento. Questo tema così sensibile ha suscitato nel corso degli anni un forte interesse delle Istituzioni europee, intervenute più volte con l’obiettivo di fare chiarezza su questa pratica.
Nel 2020, infatti, la Corte di Giustizia dell’UE è intervenuta attraverso una sentenza (conosciuta con il nome sentenza Schrems II) in merito al trasferimento dei dati tra UE e Paesi terzi. Questa sentenza prende il nome del noto attivista e giurista austriaco Maximilian Schrems, noto per le sue battaglie giudiziarie contro colossi del web come Apple e Facebook. Le sue azioni legali hanno posto al centro dell’attenzione mediatica il rispetto della normativa sulla protezione dei dati e la lotta contro l’invasività delle organizzazioni nella vita personale degli utenti.
Già nel 2013 Maximilian Schrems aveva presentato un ricorso all’Autorità per la protezione dei dati personali dell’Irlanda, sede europea del colosso social “Facebook”, poiché vi era un’evidente inosservanza della privacy e non vi erano garanzie adeguate circa la protezione dei dati dei cittadini europei, una volta trasferiti negli USA. Nel 2015 aveva presentato lo stesso ricorso alla Corte di Giustizia UE ottenendo un riscontro positivo dall’organo giurisdizionale e di conseguenza una sentenza a suo favore (attraverso l’abolizione del Safe Harbor, l’accordo tra Unione Europa e Stati Uniti che consentiva alle imprese americane di conservare i dati personali degli utenti europei sia nella Ue che negli Usa).
Nonostante l’abolizione del Safe Harbor, i trasferimenti dei dati personali, messi in atto dalle grandi organizzazioni internazionali, non sono cessati. Questi scambi tra UE e Paesi terzi erano garantiti secondo le nuove regole europee, chiamate Standard Contractual Clauses (SCCs) cd. Privacy Shield.
E proprio in virtù di questa normativa l’attivista Schrems aveva presentato un altro ricorso al Garante irlandese e alla Corte di Giustizia UE, chiedendo di bloccare il trasferimento dei dati di cittadini europei verso gli USA.
L’esito della Corte, pronunciata nel luglio 2020 attraverso la sentenza C-311/18 affermava anche in questo caso l’inadeguatezza della protezione dei dati personali fornita dal Privacy Shield adottato nel 2016 dalla Commissione europea in seguito alla decadenza dell'accordo “Safe Harbor”.
Inoltre, affermava che: “il trasferimento dei suddetti dati verso un Paese terzo può avvenire, in linea di principio, solo se il Paese terzo considerato garantisce a tali dati un adeguato livello di protezione”.
I SEI PASSI DA SEGUIRE PER TRASFERIRE DATI VERSO PAESI TERZI
A seguito degli interventi della Corte di Giustizia UE, anche l’European Data Protection Board (EDPB) si è espresso a riguardo, offrendo un punto di riferimento a tutti i soggetti coinvolti nel trasferimento dei dati verso Paesi terzi. Grazie alle “Raccomandazioni 01/2020 relative alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE”, sono indicati sei passi da seguire per permettere il trasferimento transfrontaliero di tali dati. Eccoli.
1. Conoscere i propri trasferimenti
Il primo passo è assicurarsi di essere pienamente consapevole dei propri trasferimenti. Diventa necessario, quindi, mapparli e registrarli per adempiere ai propri obblighi secondo il principio di responsabilità.
2. Individuare gli strumenti del trasferimento
Il secondo passo da compiere è identificare gli strumenti di trasferimento a cui ci si affida, tra quelli indicati nel cap.5 del GDPR, su cui l’EDPB riserva il primato tramite le decisioni di adeguatezza.
3. Valutare l’efficacia dello strumento di trasferimento (di cui art.46 GDPR)
La selezione di strumenti di trasferimento previsti dall’articolo 46 GDPR potrebbe non essere sufficiente. Gli strumenti adottati devono perciò assicurare un livello di protezione dei dati nel Paese terzo, equivalente a quello previsto all’interno dell’UE.
4. Adottare misure supplementari
Qualora gli strumenti di trasferimento abbiano un livello di protezione dei dati nel Paese terzo non equivalente a quello garantito in UE, sono previste le cd. misure supplementari. Queste sono misure che, se aggiunte alle garanzie contenute negli strumenti di trasferimento, potrebbero garantire che i dati trasferiti beneficino nel Paese terzo di un livello di protezione sostanzialmente equivalente a quello garantito all'interno dell'UE.
5. Fasi procedurali se sono state individuate misure supplementari efficaci
Il quinto passaggio riguarda le condizionalità da associare all’implementazione delle misure supplementari nelle garanzie adeguate. Esse possono variare a seconda dello strumento di trasferimento dell'articolo 46 GDPR che si utilizza.
6. Rivalutare a intervalli appropriati
Il sesto e ultimo passaggio indica la necessità di monitorare in modo continuativo e, se del caso, in collaborazione con gli importatori di dati, sviluppi nel Paese terzo a cui sono stati trasferiti dati personali che potrebbero influire sul livello di protezione.
CONCLUSIONI
Ciò che Maximilian Schrems, la Corte di Giustizia UE e l’EDPB hanno fatto emergere attraverso i loro interventi nel corso degli anni è certamente la tutela primaria e fondamentale dei dati personali dei cittadini dell’Unione Europea. In secondo luogo viene posta una riflessione in merito ai trasferimenti tra UE e Paesi terzi, evidenziando la centralità del GDPR e il suo ruolo imprescindibile nella protezione dei diritti e delle libertà dei cittadini.
La Corte ha inoltre richiamato all’attenzione gli operatori digitali, reali detentori dei dati e titolari del trattamento, i quali hanno l’obbligo di assicurarsi che i Paesi terzi rispettino a pieno la privacy dei cittadini UE, anche in assenza di una decisione di adeguatezza della Commissione Europea. In caso di inadempimento, l’operatore è tenuto a sospendere o cessare il trasferimento dei dati.
Viene quindi confermata, a seguito di tutte queste vicende giurisdizionali che hanno visto come promotore l’attivista austriaco Schrems, una piena responsabilità dei soggetti privati sull’osservanza di queste clausole, mentre la Commissione Europea e il governo degli Stati Uniti hanno già avviato le trattative per un nuovo accordo, nonostante i vincoli della Corte.
a cura di Fabiano Vincenzo Malerba,
Exprivia Security Researcher