La vicenda giudiziaria
La vicenda giudiziaria affonda le sue radici nel lontano 2008, quando Maximillian Schrems, cittadino UE residente in Austria, presentò alla Data Protection Authority irlandese di controllo una denuncia finalizzata a sospendere i trasferimenti dei propri dati personali da Facebook Ireland verso server appartenenti a Facebook Inc., situati nel territorio degli Stati Uniti, sostenendo che il diritto e le prassi degli Stati Uniti non assicurassero una protezione sufficiente contro l’accesso, da parte delle pubbliche autorità, ai dati trasferiti verso tale paese.
Come è andata a finire è ormai storia nota, ma per chi volesse approfondire sono disponibili i documenti della causa QUI.
Le conseguenze pratiche della sentenza Schrems II
I flussi di dati personali verso e da paesi al di fuori dello SEE sono necessari per sostenere il commercio internazionale, ma ogni trasferimento verso un paese terzo non può che avvenire nel rispetto delle disposizioni dettate in materia dal Regolamento (UE) 679/206 (“GDPR”).
È necessario, dunque, che Titolari e Responsabili del trattamento individuino le garanzie più idonee, tra quelle previste dal GDPR, per poter continuare a trasferire in modo sicuro (e lecito) dati personali verso gli USA.
IL GDPR dedica un intero titolo, il V, al trasferimento dei dati personali al di fuori dell’UE, affinché venga assicurato agli interessati il medesimo livello di protezione di cui godono all’interno dell’UE.
In esecuzione del principio di responsabilizzazione (c.d. accountability), Titolari e Responsabili del trattamento devono identificare puntualmente i trasferimenti dei dati personali da loro trattati verso un paese extra-SEE ed annotare tale informazione nel Registro delle attività di trattamento.
Fondamentale, per tale attività di identificazione, è predisporre e aggiornare una mappatura dei soggetti destinatari dei dati personali e mantenere un controllo attento sulla filiera dei Responsabili del trattamento, anche tramite l’inserimento di specifiche clausole nei contratti con i fornitori.
Il trasferimento di dati personali verso paesi che non siano stati oggetto di decisione di adeguatezza da parte della Commissione, come risultano gli USA alla luce della sentenza Schrems II, va valutato come vero e proprio elemento di rischio nello svolgimento dell’analisi sul trattamento finalizzata ad individuare le misure di sicurezza più idonee a garantire la protezione dei dati personali.
Questo implica che anche l’adozione delle SCCs – che, giova ricordarlo, sono uno strumento contrattuale con cui un esportatore (es. azienda europea) ed un importatore (es. provider statunitense) determinano le condizioni del trattamento di dati e le garanzie per il rispetto della normativa europea – debba essere preceduta da una valutazione (rectius: analisi dei rischi o, nello specifico, Transfer Impact Assessment) da parte dell’esportatore.
Infatti, laddove il livello di tutela non sia pari a quello garantito nell’Unione Europea, la sottoscrizione delle clausole standard non potrà ritenersi garanzia idonea a consentire un trasferimento sicuro (e, dunque, lecito) dei dati personali oggetto del trattamento. L’importatore, alla luce dell’analisi, potrà e dovrà prevedere misure di sicurezza ulteriori rispetto a quelle incluse nelle SSCs.
Con riferimento alle SCCs, inoltre, è importante considerare che le due versioni adottate dalla Commissione prevedono che sia il Titolare il soggetto esportatore dei dati personali verso un importatore con sede extra-SEE e, pertanto, occorre valutare l’applicabilità di questo strumento all’ipotesi – tutt’altro che infrequente – in cui sia il Responsabile il soggetto esportatore (es. verso un Sub-responsabile importatore). Su questo tema, vi invito a leggere il mio articolo dedicato QUI.
In alternativa alle SCCs è possibile valutare l’applicabilità di altri strumenti quali l’adozione di Binding Corporate Rules (“BCR”) per i trasferimenti infragruppo ovvero l’adesione a codici di condotta approvati ai sensi dell’art. 40 GDPR.
Restano, infine, applicabili le deroghe previste dall’art. 49 GDPR, per esempio con riferimento al caso dei trasferimenti necessari all’esecuzione di un contratto concluso tra l’interessato e il titolare o all’esecuzione di misure precontrattuali adottate su richiesta dell’interessato (c.d. “necessary flows”). In quanto eccezioni di un principio generale, le deroghe di cui all’art. 49 GDPR devono essere interpretate in modo restrittivo ed applicate in via residuale.