Nella sentenza del 16/07/2020, causa C-311/18, la Corte di Giustizia Europea ha rivisto l’operato della Commissione Europea, dichiarando invalida la decisione 2016/1250 della Commissione sull'adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy, alla luce delle novità introdotte dal GDPR - Regolamento Generale sulla Protezione dei dati personali n. 2016/679.

La Corte ha considerato, anzitutto, che il GDPR dispone che per procedere al trasferimento di dati personali siano necessarie garanzie adeguate, diritti opponibili e mezzi di ricorso effettivi

Il Comitato Europeo per la Protezione dei Dati (EDPB), nelle faq di luglio 2020, sottolinea che secondo la Corte, i requisiti della normativa interna degli Stati Uniti, e in particolare taluni programmi che consentono l’accesso da parte delle autorità pubbliche statunitensi, per finalità di sicurezza nazionale, ai dati personali trasferiti dall’Unione europea verso gli Stati Uniti, determinano limitazioni della protezione dei dati personali che non sono inquadrate in modo da rispondere a requisiti sostanzialmente equivalenti a quelli richiesti nel diritto dell’Unione, e che questa legislazione non conferisce agli interessati diritti nei confronti delle autorità statunitensi azionabili dinanzi ai giudici.

Qualora i dati possano essere trasferiti verso gli Stati Uniti e non siano prevedibili misure supplementari atte a garantire che la legislazione statunitense non interferisca con il livello di protezione sostanzialmente equivalente a quello garantito nel SEE - Spazio Economico Europeo -  fornito dagli strumenti di trasferimento, né si applichino le deroghe di cui all’articolo 49 del RGPD, l’unica soluzione è negoziare una modifica o una clausola supplementare al contratto al fine di vietare i trasferimenti verso gli Stati Uniti. Non solo la conservazione, ma anche l’amministrazione, dei dati deve avvenire in un luogo diverso dagli Stati Uniti.

Nel caso in cui i dati possano essere trasferiti in un altro paese terzo, è necessario verificare anche la legislazione di tale paese terzo per accertarne la conformità ai requisiti della Corte e al livello di protezione dei dati personali atteso.
Qualora sia impossibile trovare un motivo appropriato per il trasferimento verso un paese terzo, i dati personali non dovrebbero essere trasferiti al di fuori del territorio del SEE e tutte le attività di trattamento dovrebbero avere luogo all’interno del SEE.

Le conseguenze della decisione della Corte di Giustizia causa C-311/18 sono dirompenti.

L’inadeguatezza delle protezioni al GDPR dei trasferimenti dei dati personali tra UE e USA hanno ripercussioni su qualsiasi operatore che tratti dati personali utilizzando software e servizi resi da aziende statunitensi o che comunque utilizzano server con sede negli USA.

I trasferimenti dei dati personali sulla base di questo quadro giuridico sono illegali. La valutazione della Corte si applica anche nel contesto delle norme vincolanti d’impresa, poiché la legislazione statunitense avrà la preminenza anche su questo strumento.

Il contratto concluso con un responsabile del trattamento a norma dell’articolo 28, paragrafo 3, del GDPR, deve stabilire se i trasferimenti sono autorizzati o meno. Va, infatti, considerato che anche fornire accesso ai dati da un paese terzo, ad esempio per finalità amministrative, costituisce un trasferimento.

Deve essere prevista, inoltre, un’autorizzazione riguardo ai responsabili del trattamento affinché possano affidare a subresponsabili il trasferimento dei dati verso paesi terzi. È necessario prestare attenzione e usare cautela poiché numerose soluzioni informatiche possono comportare il trasferimento di dati personali verso un paese terzo, ad esempio, per scopi di conservazione o manutenzione.

Non esiste, infine, un periodo di tolleranza durante il quale si possono continuare a trasferire i dati verso gli Stati Uniti senza valutare la base giuridica per il trasferimento a norma del GDPR.

Per evitare di incorrere in pesanti sanzioni, si consiglia, infine, di non utilizzare software delle big tech USA per il trattamento dei dati personali, la gestione degli stessi in cloud e la loro conservazione. Attenzione anche alla nomina di Responsabili o subresponsabili del trattamento situati in paesi extra SEE che potrebbero trasferire, indirettamente, i dati personali negli USA.           

  

Dott. Igino Addari

DPO