26 Apr Novità in tema di trasferimenti di dati personali dall’Unione Europea agli USA?

Autori: Giada Iovane, Luciana Di Vito e Marco Emanuele Carpenelli

Lo scorso 25 marzo, la Presidente della Commissione Europea Ursula von der Leyen ha rilasciato una dichiarazione congiunta con il Presidente degli Stati Uniti Joe Biden, in merito al raggiungimento di un accordo relativo al trasferimento dei dati personali dall’UE agli USA[1], che dovrebbe in futuro colmare la lacuna derivante dall’invalidazione del “Privacy Shield”, intervenuta a seguito della nota sentenza della Corte di Giustizia dell’Unione Europea (d’ora in avanti, “CGUE”), c.d. “Schrems II” (C-311/18).

Si fa riferimento al “Trans-Atlantic Data Privacy Framework” (o “Privacy Shield 2.0”), che è stato condiviso nei suoi principi essenziali sul sito della Commissione Europea e che tuttavia, attualmente, non rappresenta ancora un accordo legale che possa fungere da fondamento per consentire il trasferimento controllato di dati personali verso destinatari stabiliti negli USA, quale Decisione di Adeguatezza ai sensi dell’art. 45 del Regolamento (UE) 2016/679 (di seguito, “GDPR”).

In base alle prime e generiche informazioni che sono state diffuse, il Privacy Shield 2.0 dovrebbe basarsi su:

• l’individuazione di regole e garanzie vincolanti per limitare l’accesso ai dati da parte delle Autorità statunitensi, seppur nel rispetto della sicurezza nazionale;
• un nuovo meccanismo “a due livelli” di risoluzione dei reclami di interessati europei utile in caso di accesso ai dati da parte delle Autorità statunitensi, che includa una “Data Protection Review Court”;
• l’introduzione di una serie di meccanismi di monitoraggio e revisione.

Stanti queste ultime novità, vediamo quali potrebbero essere le conseguenze in termini operativi per il business delle aziende che trasferiscono dati personali verso gli USA. Prima però ripercorriamo brevemente per punti le vicende normative che hanno interessato il tema dei trasferimenti verso gli USA.

Brevi cenni normativi: dal Safe Harbor al Privacy Shield

• • Già la normativa antecedente al GDPR (l’art. 25 della Direttiva 95/46/CE) prevedeva la necessità di assicurare ai dati personali un adeguato e quantomeno equivalente livello di protezione in caso di trasferimento verso un Paese terzo (cioè al di fuori dello Spazio Economico Europeo).
  • Il 26 luglio 2000 veniva adottato il c.d. “Safe Harbor”, la prima decisione di adeguatezza diretta a regolamentare il trasferimento di dati verso gli USA che rimaneva valida fino alla sentenza Schrems I del 2015 (C-362/14). Il Safe Harbor, da un lato, consentiva alle aziende statunitensi, che si conformavano a determinati requisiti richiedendo l’iscrizione alla cd. “Safe Harbor List”, di beneficiare del regime di libera circolazione dei dati, dall’altro, consentiva ai partner europei, tramite la semplice consultazione, di verificare che tali aziende fossero realmente inserite nella lista e avessero recepito nella pratica gli accordi così da non dover adottare altri strumenti giuridici per il trasferimento dati verso gli USA.
    • • Il 6 novembre 2015 la CGUE dichiarava l’invalidità del Safe Harbor (essenzialmente a causa del potere di ingerenza delle autorità statunitensi[2], quali la National Security Agency) con la sentenza Schrems I.
  • Il 16 luglio 2016 la Commissione Europea e il Dipartimento del Commercio degli USA firmavano un nuovo accordo, il Privacy Shield, con l’obiettivo di risolvere i summenzionati problemi di inadeguatezza evidenziati dalla Corte di Giustizia limitatamente al Safe Harbor. La sentenza Schrems I era stata quindi “facilmente” superata con il Privacy Shield, basato anch’esso su un meccanismo di autocertificazione e conseguente iscrizione nel Privacy Shield List.
  • Nonostante le innovazioni rispetto al Safe Harbor (come, ad esempio, l’istituzione di un mediatore / difensore civico “Ombudsperson” chiamato a pronunciarsi su ricorsi e segnalazioni dei soggetti interessati; la possibilità per il soggetto interessato di rivolgersi direttamente alle imprese cui si applicava il Privacy Shield che avrebbero dovuto rispondere entro 45 giorni dalla richiesta dell’interessato), come detto sopra, con la sentenza Schrems II la CGUE invalidava anche tale accordo, poiché ritenuto inidoneo a garantire una adeguata tutela dei diritti fondamentali delle persone i cui dati personali erano oggetto di trasferimento verso gli USA (dichiarando, ad esempio, inidoneo il meccanismo del mediatore ed evidenziando nuovamente la lesione del principio di protezione equivalente a causa dell’ingerenza da parte delle autorità statunitensi che continuavano ad avere accesso ai dati personali trasferiti per finalità di sicurezza nazionale).

Lo scenario attuale: gli strumenti a disposizione e (nuovi) adempimenti

Poiché, come sopra detto, attualmente il Trans-Atlantic Data Privacy Framework non dispiega ancora efficacia legale e non è dunque in grado di sostituirsi al Privacy Shield, da un punto di vista operativo, lo scenario che ci si trova ad affrontare dal luglio 2020, non è mutato.

In assenza di una decisione di adeguatezza (art. 45 GDPR), le organizzazioni possono avvalersi:

• • • delle Clausole Contrattuali Standard (Standard Contractual Clauses – SCCs);
    • delle Norme Vincolanti di Impresa (Binding Corporate Rules – BCR);
    • delle deroghe di cui all’art. 49 GDPR, quale rimedio residuale e nei limiti previsti dall’European Data Protection Board (“EPDB”) nelle sue Linee Guida.

Rispetto alle SCCs, si ricorda come queste, per quanto siano state aggiornate dopo la sentenza Schrems II, non risultano di per sé sufficienti – come, invece, venivano considerate in passato – a causa dell’inadeguatezza dell’ordinamento statunitense in materia di protezione di dati personali per le notevoli forme di ingerenza da parte delle pubbliche autorità per ragioni di sicurezza nazionale. Per tale motivo, infatti, oltre all’utilizzo delle SCCs, potrebbe verosimilmente rendersi necessaria l’adozione delle “supplementary measures” individuate dall’EDPB (con Raccomandazioni 1/2020 e 2/2020).

Pertanto, le organizzazioni che intendono trasferire i dati extra SEE, e più precisamente in Paesi privi di una decisione di adeguatezza, devono:

• • • mappare tutti i trasferimenti di dati personali extra;
    • operare ed essere in grado di documentare di aver svolto un TIA (Transfer Impact Assessment)[3] allo scopo di valutare il livello di adeguatezza del Paese terzo di destinazione e verificare la necessità di adottare supplementary measures, quali, ad esempio: il trasferimento di dati pseudonimizzati, la crittografia dei dati – in transito, a riposo o end-to-end, il data splitting
    • integrare ed aggiornare la documentazione privacy in uso (come, ad esempio, le informative privacy, il registro delle attività di trattamento);
    • controllare costantemente la normativa e le indicazioni delle Autorità di controllo, in modo da garantire la massima compliance con l’evoluzione regolatoria, anche al fine di scongiurare il sopraggiungere di provvedimenti sanzionatori[4].

Conclusioni

Pur se la dichiarazione congiunta dello scorso 25 marzo 2022 ha aperto, di fatto, la strada ad un nuovo accordo – il Trans-Atlantic Data Privacy Framework – restano ancora dubbi sulle modalità di risoluzione dell’ormai annosa questione dei trasferimenti dei dati verso gli USA. In particolare, da un lato, la volontà di intervenire tramite un “Executive Order”[5] del Presidente USA, e non mediante una modifica alla legislazione ordinaria, che possa incidere anche in tema di sorveglianza[6], potrebbe non essere sufficiente a scongiurare una nuova invalidazione, come già accaduto con Schrems I e II; dall’altro lato, sarebbe utile comprendere se il nuovo accordo verrà modellato su un automatismo dei trasferimenti o se, invece, come in precedenza, si fonderà sull’adesione di ciascuna azienda USA al nuovo framework (come sembrerebbe evincersi dal fact sheet del Privacy Shield 2.0).

È auspicabile, dunque, che il nuovo meccanismo sia scevro da possibili elementi di censura, a differenza dei precedenti, e che consenta, conseguentemente, di addivenire ad un grado di protezione realmente equivalente a quello garantito dalla normativa europea. A rigore, tale meccanismo dovrebbe essere subordinato ad un intervento legislativo più incisivo da parte degli USA che preveda, quantomeno, un automatismo dei trasferimenti, evitando così di subordinarne la liceità all’inserimento di ciascuna azienda statunitense in un apposito elenco.

[1] Utile al fine di individuare i casi in cui una determinata attività dia luogo ad un “trasferimento” di dati personali, sono le recentissime Linee Guida dell’EDPB sull’“Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR”.

[2] Tali ingerenze possono derivare dall’accesso, da parte delle autorità pubbliche statunitensi, ai dati personali, trasferiti dall’Unione verso gli Stati Uniti, e dall’utilizzo di tali dati nell’ambito dei programmi di sorveglianza PRISM e UPSTREAM fondati sull’articolo 702 del FISA, nonché sulla base dell’Executive Order n. 12333.

[3] Si segnala, in tal senso, che ICTLC ha sviluppato una metodologia per svolgere il Transfer Impact Assessment (TIA) che include, per esempio:

• processi per l’identificazione dei trasferimenti di dati personali extra-SEE;
• processi per l’identificazione e l’analisi delle eventuali norme locali, vigenti quindi nel Paese del data importer, applicabili ai fornitori, al fine di valutare le possibili “interferenze” e gli eventuali rischi per i diritti e le libertà dei soggetti interessati, e
• processi per la valutazione, l’identificazione e il test di adeguatezza e fattibilità circa l’applicazione delle supplementary measures.

[4] Si ricorda la violazione delle normative in tema di trasferimento rientra nello scaglione di sanzione del 4 % del fatturato mondiale totale annuo o fino a 20.000,000 euro (art. 83(5) GDPR).

In tal senso, si richiamano alcuni provvedimenti sul tema: CNIL sull’uso di Google Analytics; Bavarian DPA sull’uso di Mailchimp; Garante per la protezione dei dati personali nei confronti dell’Università Commerciale “Luigi Bocconi”.

[5] A tal fine si legga il fact sheet dove, in calce, si parla espressamente di Executive Order https://www.whitehouse.gov/briefing-room/statements-releases/2022/03/25/fact-sheet-united-states-and-european-commission-announce-trans-atlantic-data-privacy-framework/

[6] Pur se auspicabile, si ritiene che a fronte della recentissima sentenza della Corte Suprema USA, nel caso FBI v. Fazaga, tramite cui è stato limitato il diritto individuale di questionare le attività di sorveglianza governativa USA, la speranza che si incida sulla normativa in tema di sicurezza si sia notevolmente affievolita.