Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

L’impatto della sentenza Schrems II: come trasferire i dati negli USA?

Vediamo quali sono, ora, le condizioni per trasferire lecitamente i dati personali negli Stati Uniti.

Sono passati quasi due mesi (16 luglio 2020) dalla pronuncia della Corte di Giustizia dell’Unione Europea che annullava la decisione di adeguatezza del c.d. Privacy Shield[1].

Nella sostanza, i controlli effettuati dal Governo USA non garantiscono sufficienti tutele idonee ad assicurare il rispetto dei diritti previsti dalla normativa UE in materia di privacy e trattamento dati personali. Pertanto, il meccanismo di certificazione non può più essere ritenuto valido.

Come potranno adeguarsi le imprese che quotidianamente trasferiscono dati dall’UE agli Stati Uniti, o viceversa? Cosa fare se si hanno filiali negli USA? Cerchiamo di fare il punto.

Trasferire i dati all’esterno dello Spazio Economico Europeo non è mai stato un problema per gli operatori economici (salvo eccezioni derivanti da Stati con regimi non democratici). Ciò è consentito, in linea di principio, se lo Stato destinatario garantisce delle tutele analoghe a quelle previste dal GDPR, e dalla normativa UE.

Alla luce di quanto dettato dall’art. 45 GDPR le precedenti operazioni sono consentite a condizione che l’adeguatezza del Paese terzo o dell’organizzazione internazionale, destinatari dei dati, sia riconosciuta tramite una decisione della Commissione europea.

Così è stato per il Privacy Shield ritenuto idoneo dalla Commissione, con proprio provvedimento del 12 luglio 2016[2] (Decisione UE 2016/1250).

Si trattava di un meccanismo di autocertificazione per le società con sede negli Stati Uniti oggetto di trasferimento di dati personali dall’Unione europea, a scopi commerciali. Le Aziende si impegnavano, certificandosi, a garantire i principi stabiliti dall’UE in materia di privacy, e garantire agli interessati delle tutele paragonabili a quelle europee.

Senza ulteriori adempimenti le Società USA potevano ricevere dati personali di cittadini UE per finalità commerciali provenienti dall’Europa.

Ora la situazione è cambiata.

In assenza di tale decisione, infatti, il trasferimento è consentito qualora il Titolare o il Responsabile del trattamento forniscano garanzie adeguate a fornire un sistema di tutele analoghe a quello europeo.

Senza un espresso provvedimento del Garante, ciò è possibile attraverso:

  1. strumenti giuridici vincolanti ed esecutivi tra soggetti pubblici (art. 46, par. 2, lett. a) GDPR;
  2. norme vincolanti d’impresa (art. 46, par. 2, lett. b) GDPR;
  3. clausole contrattuali tipo (art. 46, par. 2, lett. c e lett. d) GDPR;
  4. codici di condotta (art. 46, par. 2, lett. e) GDPR;
  5. meccanismi di certificazione (art. 46, par. 2, lett. f) GDPR.

A livello operativo, risultano di più frequente applicazione le norme vincolanti di impresa art. 47 GDPR e le clausole contrattuali tipo art. 46, par. 2, lett. c e lett. d) GDPR o ad hoc art. 46, par. 3, lett. a) GDPR.

Vediamo di cosa si tratta.

Le norme vincolanti di impresa (usando la terminologia anglosassone binding corporate rules – B.C.R.) permettono il trasferimento di dati personali verso Paesi extra UE nell’ambito di un gruppo imprenditoriale, o di un gruppo di imprese, che svolgano un’attività economica congiuntamente.

In breve, si tratta di un insieme di regole comuni adottate da un gruppo imprenditoriale che opera a livello internazionale che vincolano tutti i membri al rispetto dei medesimi principi in tema di privacy e trattamento dati personali.

Le clausole contrattuali tipo, o ad hoc, sono, invece, delle clausole contrattuali, i cui modelli sono stati approvati preventivamente dalla Commissione Europea, in cui l’esportatore dei dati garantisce che questi ultimi siano trattati conformemente ai principi stabiliti dall’Unione, in materia di privacy.

Trattandosi di modelli approvati precedentemente dalla Commissione non saranno possibili modifiche di alcun tipo, e dovranno essere accettate in toto dalle parti.

Precisiamo, infine, che alla luce dell’art. 49 GDPR il trasferimento potrà essere effettuato alla presenza del consenso espresso dell’interessato che, tuttavia, dovrà essere sempre debitamente informato di questa specifica attività, e dei rischi ad essa connessi.

Attendiamo i prossimi sviluppi.

[1] https://ec.europa.eu/commission/presscorner/detail/en/IP_16_2461

[2] https://ec.europa.eu/commission/presscorner/detail/en/IP_16_2461