La sentenza “Schrems II” con cui è venuta meno la decisione di adeguatezza riguardante il Privacy Shield, sta producendo i suoi impatti su tutti gli operatori che operano trasferimenti dei dati verso gli Stati Uniti. Certamente, leggendo le motivazioni della Corte di Giustizia dell’Unione Europea, già avremmo ben potuto ritenere che lo scudo era tutt’altro che adamantino (contrariamente alla tradizione Marvel) bensì piuttosto scricchiolante. Difatti, le ingerenze che la legislazione statunitense consente nei confronti dell’impiego delle informazioni sono state quel prevedibile punto di rottura per le garanzie che il GDPR intende accordare agli interessati.
Quali sono ora le conseguenze da valutare per le organizzazioni che trasferiscono i dati negli Stati Uniti?
Prima di tutto, non è più possibile trasferire lecitamente i dati verso gli Stati Uniti ai sensi dell’art. 45 GDPR sulla base del Privacy Shield. L’EDPB ha chiarito inoltre che i trasferimenti basati su garanzie adeguate (art. 46 GDPR) e norme vincolanti d’impresa (art. 47 GDPR) richiedono alcune accortezze, per essere conformi ai rilievi emersi dalla sentenza della CGUE.
La principale chiave di interpretazione da impiegare per il “test di resistenza” delle basi del trasferimento giace dunque nella disposizione dell’art. 44 GDPR, in forza della quale “tutte le disposizioni di detto capo devono essere applicate al fine di garantire che non sia compromesso il livello di protezione delle persone fisiche garantito da tale regolamento” e dunque sia garantita una tutela sostanziale. In particolare, dovranno trovare attuazione le garanzie riguardanti i diritti azionabili e i mezzi di ricorso effettivi a disposizione degli interessati.
L’impiego di clausole contrattuali tipo (o SCC: Standard Contractual Clauses) deve essere così oggetto di un’analisi in concreto che faccia riferimento alle circostanze del trasferimento affinché possa essere garantito, anche attraverso la predisposizione di misure supplementari, un livello di protezione adeguato e la non interferenza da parte della normativa statunitense. Allo stesso modo deve svolgersi la valutazione del trasferimento dei dati basato sulle norme vincolanti d’impresa (o BCR: Binding Corporate Rules), con la previsione di tutte quelle misure supplementari per provvedere alle adeguate garanzie richieste alla luce della sentenza della CGUE.
Il venir meno del Privacy Shield non impatta particolarmente sui trasferimenti effettuati sulla base di una delle deroghe previste dall’art. 49 GDPR, le quali però, si ricorda, sono connotate da un carattere di eccezionalità. Con particolare riferimento alla base del consenso esplicito dell’interessato, sarà necessario che lo stesso sia non solo specifico bensì anche informato soprattutto in relazione ai rischi del trasferimento e all’assenza di una protezione adeguata e misure di salvaguardia a protezione dei suoi dati personali.
Si ricorda infine che il considerando n. 101 GDPR considera i flussi internazionali di dati come “necessari per l’espansione del commercio internazionale e della cooperazione internazionale”, per cui è richiesta una continua operazione di bilanciamento con le garanzie a tutela delle persone fisiche perché il trasferimento non possa comprometterne i diritti e le libertà fondamentali. Ed è proprio in quell’equilibrio che si trova il concetto di “adeguatezza” prescritto dalla norma con riferimento alle garanzie.
