Privacy Shield: FAQ del Comitato Europeo per la protezione dei dati

Milano, 12 agosto 2020 –  In esito alla sentenza C-311/18 della Corte di Giustizia che ha dichiarato l’invalidità del Privacy Shield, il meccanismo di autocertificazione per le società stabilite negli USA per poter ricevere dati personali dall’Unione europea, il 23 luglio scorso  il Comitato Europeo per la Protezione dei Dati (EDPB) ha predisposto delle FAQ relative alla sentenza e ai suoi effetti (https://edpb.europa.eu/our-work-tools/our-documents/other/frequently-asked-questions-judgment-court-justice-european-union_en).

 

Questi i punti principali toccati dall’EDPB:

 

·       Non è previsto alcun periodo di grazia durante il quale continuare a trasferire i dati verso gli USA senza valutare la base giuridica per il trasferimento: la Corte ha annullato la decisione relativa allo scudo per la privacy senza preservarne gli effetti, in quanto la normativa americana oggetto di valutazione da parte della Corte non fornisce un livello di protezione sostanzialmente equivalente a quello dell’UE. Tale valutazione deve essere tenuta presente con riguardo a ogni trasferimento verso gli Stati Uniti;

 

·       Venuto meno il Privacy Shield residua la possibilità di trasferire dati personali sulla base di clausole contrattuali standard (Standard Contractual Clauses, “SCC”). Tale possibilità, tuttavia, dipende dall’esito della valutazione che esportatore e importatore dei dati, nel caso delle SCC, o la capogruppo, nel caso delle BCR, dovranno compiere, tenuto conto delle circostanze del trasferimento e delle misure supplementari eventualmente da essi messe in atto. Le misure supplementari unitamente alle SCC o alle BCR, alla luce di un’analisi caso per caso delle circostanze del trasferimento, dovrebbero garantire che la normativa statunitense non interferisca con l’adeguato livello di protezione garantito dalle SCC/BCR e dalle misure supplementari stesse. Se si è giunti alla conclusione che, tenuto conto delle circostanze del trasferimento e delle eventuali misure supplementari, non vi sarebbero adeguate garanzie, occorre sospendere o porre fine al trasferimento di dati personali. Tuttavia, se si intende continuare ciononostante a trasferire i dati, occorre informarne la competente Autorità di controllo;

 

·       La valutazione della Corte si applica anche, all’interno di un gruppo di imprese, con riguardo alle norme vincolanti d’impresa (Binding Corporate Rules, “BCR”), in quanto la normativa statunitense prevarrà anche sull’applicazione di quest’ultimo strumento. Anche in questo caso la possibilità di trasferire o meno dati personali sulla base delle BCR dipenderà dall’esito della valutazione, tenuto conto delle circostanze del trasferimento e delle misure supplementari eventualmente messe in atto. Le misure supplementari unitamente alle BCR, alla luce di un’analisi caso per caso delle circostanze del trasferimento, dovrebbero garantire che la normativa statunitense non interferisca con l’adeguato livello di protezione garantito dalle BCR e dalle misure supplementari stesse. In caso contrario si perverrà alle stesse conclusioni già evidenziate per le SCC;

 

·       L’EDPB valuterà le conseguenze della sentenza sugli strumenti di trasferimento diversi dalle SCC e dalle BCR. La sentenza chiarisce che il parametro per l’adeguatezza delle garanzie di cui all’Art. 46 GDPR è costituito dalla “equivalenza sostanziale”. Come sottolineato dalla Corte, occorre rilevare che l’articolo 46 figura nel capo V del GDPR e, di conseguenza, deve essere letto alla luce dell’articolo 44 del Regolamento stesso, in base al quale “tutte le disposizioni di detto capo devono essere applicate al fine di garantire che non sia compromesso il livello di protezione delle persone fisiche garantito da tale regolamento”;

 

·       È, invece, ancora possibile trasferire dati dal SEE agli Stati Uniti sulla base delle deroghe previste dall’articolo 49 del GDPR, purché siano soddisfatte le condizioni di cui a tale articolo. In particolare:

 

(i)              quando i trasferimenti sono basati sul consenso dell’interessato, esso dovrebbe essere esplicito, – specifico con riguardo al particolare trasferimento o insieme di trasferimenti (il che significa che l’esportatore deve assicurarsi di ottenere un consenso specifico prima che il trasferimento sia messo in atto anche se ciò avviene dopo la raccolta dei dati),  – e informato, in particolare sui possibili rischi del trasferimento (il che significa che l’interessato dovrebbe essere informato anche dei rischi specifici derivanti dal trasferimento dei dati verso un paese che non fornisce una protezione adeguata, e dell’assenza di misure di salvaguardia adeguate volte a proteggere i dati);

(ii)             per quanto riguarda i trasferimenti necessari all’esecuzione di un contratto tra l’interessato e il titolare del trattamento, occorre tenere presente che i dati personali possono essere trasferiti solo su base occasionale. Dovrebbe essere stabilito caso per caso se i trasferimenti di dati in questione abbiano natura “occasionale” ovvero “non occasionale”. In ogni caso, tale deroga può essere invocata solo quando il trasferimento è oggettivamente necessario all’esecuzione del contratto. In relazione ai trasferimenti necessari per importanti motivi di interesse pubblico (che devono essere riconosciuti nella legislazione dell’UE o degli Stati membri), l’EDPB ricorda che il requisito essenziale per l’applicabilità di tale deroga è la constatazione della sussistenza di importanti motivi di interesse pubblico, e non già la natura del soggetto coinvolto nel trasferimento, e che, sebbene tale deroga non sia limitata ai dati aventi natura “occasionale”, ciò non significa che i trasferimenti di dati sulla base della deroga relativa alla sussistenza di importanti motivi di interesse pubblico possano configurarsi su larga scala e in modo sistematico. Occorre semmai rispettare il principio generale per cui le deroghe previste all’articolo 49 del regolamento generale sulla protezione dei dati non dovrebbero trasformarsi di fatto in una regola, essendo necessario limitarne l’applicazione a situazioni specifiche e purché ogni esportatore di dati garantisca che il trasferimento soddisfa un rigoroso test di necessità.

 

 

_________
DISCLAIMER
Il presente comunicato è divulgato a scopo conoscitivo per promuovere il valore dell’informazione giuridica. Non costituisce un parere e non può essere utilizzato come sostitutivo di una consulenza, né per sopperire all’assenza di assistenza legale specifica.