In seguito alla sentenza C-311/18 della Corte di giustizia dell’Unione europea (Data Protection Commissioner/Maximilian Schrems e Facebook Ireland) è stata dichiarata l’invalidità della decisione di adeguatezza riguardante il Privacy Shield, ovverosia l’accordo internazionale fra Unione Europea e Stati Uniti per regolare gli scambi di dati personali.
Già con la sentenza “Schrems I” del 2015, l’analogo trattato Safe Harbor era stato annullato per la mancanza di alcune garanzie fondamentali relative alla protezione dei dati personali. Ora, la sentenza “Schrems II” ha valutato come inadeguato il livello di tutela offerto dalla legislazione statunitense, andando per l’effetto ad annullare la decisione di adeguatezza relativa al Privacy Shield. Punto nevralgico della decisione è la mancata valutazione di proporzionalità dei programmi di sorveglianza da parte delle autorità statunitensi in materia di accesso e utilizzo dei dati personali, andando così a compromettere i diritti degli interessati escludendoli persino da una tutela giurisdizionale. È però fatta salva la decisione della Commissione circa le Clausole Contrattuali Tipo (previste dall’art. 46.2 lett. c) GDPR) per il trasferimento di dati personali a destinatari stabiliti in Paesi terzi.
Quali sono le principali conseguenze a livello pratico per le organizzazioni?
In generale, ogni trasferimento di dati dall’Unione Europea agli Stati Uniti fondato sul Privacy Shield come decisione di adeguatezza ai sensi dell’art. 45 GDPR ora deve trovare una differente condizione legittimante. Altrimenti, è un trasferimento di dati illecito ed espone l’organizzazione alle sanzioni richiamate dall’art. 83.5 GDPR (fino a 20 milioni di euro o il 4% del fatturato mondiale annuo).
Sul fronte europeo, è indispensabile attivare un controllo della filiera dei fornitori di servizi affinché si assicuri che il trasferimento dei dati personali, se svolto in tutto o in parte all’interno degli Stati Uniti, rispetti le condizioni di cui al Capo V del GDPR. Ciò comporta l’esigenza di un riesame della documentazione delle forniture di servizi e degli accordi redatti con i responsabili del trattamento, al fine di riscontrare tutte quelle evidenze necessarie a dimostrare il rispetto delle condizioni richiamate in forza dell’obbligo generale di accountability di cui all’art. 24 GDPR.
Sul fronte statunitense, i fornitori di servizi dovranno necessariamente attivarsi per implementare le clausole contrattuali tipo all’interno dei propri termini e condizioni (qualora già non abbiano provveduto in tal senso) nei confronti dei propri clienti che risiedono all’interno dell’Unione Europea. Altrimenti, dovranno valutare se stabilire alcuni dei datacenter destinati a clienti europei nel territorio dell’Unione, garantendo però misure perché tali dati siano inaccessibili da parte degli Stati Uniti.
Sembra più che prevedibile che dal punto di vista istituzionale quasi certamente ci sarà la ricerca di un nuovo accordo internazionale entro il 2020.
