La CGUE dichiara invalido il Privacy Shield, come devono comportarsi le imprese?

262 Views

La Corte di Giustizia UE (CGUE) con la sentenza del 16 luglio 2020 stabilisce l’invalidità dello scudo UE-USA con la conseguenza che il trasferimento di dati da parte delle imprese UE verso gli USA per ragioni commerciali non può più avvenire sulla base del Privacy Shield ossia il sistema previsto per le aziende statunitensi e che prevede l’adozione da parte delle stesse di specifici standard nel trattamento dei dati ricevuti dall’Unione europea.

Le motivazioni alla base della decisione

Alla base di tale decisione v’è l’indiscriminata possibilità delle autorità pubbliche USA di utilizzare i dati per scopi di sicurezza e difesa nazionale; ciò si pone in contrasto con il principio di proporzionalità applicato dall’ordinamento europeo e che dovrebbe essere rispettato ed assicurato anche dal paese terzo che riceve i dati.

L’altra motivazione a supporto della decisione della CGUE è rappresentata dall’assenza di un effettivo strumento di tutela per gli interessati. Infatti vi sarebbe unicamente la possibilità di essere assistiti da un difensore civico senza la poter ricorrere ad un Giudice e quindi ottenere provvedimenti vincolanti.

Le conseguenze per le imprese

Alla luce di tale decisione le imprese per traferire dati verso gli USA dovranno effettuare un assessment del flusso di dati verso gli Stati Uniti e verificarne la base giuridica, che dovrà rispettare criteri diversi rispetto a quanto previsto dal Privacy Shield.

Le aziende europee, che si avvalgono di imprese statunitensi per i servizi della società dell’informazione o per altri servizi (in particolare sul c.d. outsourcing per fini commerciali) devono fare un accurata analisi del flusso dei dati e verificare se viene meno la base giuridica che ne legittima il trasferimento. Trattasi di una misura “provvisoria” che consente però alle imprese il rispetto del c.d. principio di accountability e non incorrere in sanzione.

L’ambito normativo

Inevitabilmente il periodo immediatamente successivo alla sentenza sarà caratterizzato da forte incertezza e ci si auspica che quantomeno in via transitoria vi sia un intervento da parte delle autorità europee a chiarimento di come tali soggetti debbano comportarsi.

Non va dimenticato poi anche l’aspetto politico e il rapporto UE-USA in cui la prima dà primaria importanza alla protezione de dati anche laddove ci si trovi di fronte ad esigenze connesse alla sicurezza, si pensi anche a quanto accaduto in Italia in questi ultimi mesi a seguito dell’emergenza epidemiologica da Covid-19 mentre la seconda dà priorità assoluta alle esigenze di sorveglianza connesse alla sicurezza nazionale.

E’ quindi piuttosto prevedibile che nei mesi a venire si assista ad una nuova trattiva UE-USA per ridefinire i termini della questione oggetto della sentenza in esame.

I casi interessati dalla sentenza

La fattispecie presa in esame dalla sentenza in oggetto riguarda il caso in cui nell’ambito di una attività economica si esternalizzi il data base versi gli USA. L’ambito maggiormente toccato dalla sentenza e quindi il settore IT.

I singoli cittadini UE e i consumatori rimangono invece liberi di inviare consapevolmente i propri dati (non quelli di terzi) direttamente a un paese terzo (es. prenotando un hotel, inviando una e-mail ecc…).

Nel caso però di utilizzo da parte di un cittadino dell’UE di un servizio di una società che invia flussi di dati verso gli Stati Uniti (ad esempio nel caso dei social network, dei motori di ricerca, distributori di beni ecc…) l’impresa sarà tenuta a riorganizzare i flussi dei dati avendo cura di rispettare quanto sopra indicato.

Le regole per traferire dati extra UE secondo il GDPR

Si rammenta che ai sensi del Regolamento UE 2016/679 (GDPR), il trasferimento di dati verso un paese terzo deve essere legittimato da una precisa base giuridica.

Un elemento che legittima il trasferimento è la presenza di una c.d. “decisione di adeguatezza” da parte della Commissione.

In mancanza la base giuridica può essere rappresentata da:

norme vincolanti d’impresa applicabili alle entità di un gruppo (BCR)

clausole tipo di protezione dei dati adottate dalla Commissione; 

clausole tipo di protezione dei dati adottate da un’autorità di controllo; 

codici di condotta (che dovranno essere applicati e rispettati dal destinatario dei dati tramite impegno vincolante);

meccanismo di certificazioni(che dovranno essere applicati e rispettati dal destinatario dei dati tramite impegno vincolante);

In assenza di quanto sopra laddove si tratti di trasferimenti occasionali è possibile secondo quanto previsto dall’art.49 GDPR è possibile rendere legittimo il trasferimento se si ottiene l’ esplicito consenso dell’interessato, se vi sia la necessità di trasferire i dati per poter dare esecuzione ad  un contratto o a misure precontrattuali di cui l’interessato è parte, se motivo da interessi legittimi del titolare previo contemperamento degli stessi con i diritti e le libertà degli interessati.

Si tiene infine ad evidenziare che, la sentenza in oggetto si è concentrata anche sulla decisione della Commissione n. 2010/87 con la quale sono state approvate clausole standard per il trasferimento dati all’estero da inserirsi in appositi contratti stipulati tra il soggetto che invia i dati e colui che li riceve dichiarando valido tale procedura.

 

Open chat