La sentenza C-311/18 della Corte Europea invalida il Privacy Shield: le FAQ dell’European Data Protection Board per chiarirne le conseguenze
Lo European Data Protection Board ha fornito risposta alle domande frequenti che sono state sottoposte alle autorità di controllo dei diversi paesi europei inseguito alla decisione della Corte Europea di invalidare il Privacy Shield. Di seguito si riportano i quesiti più frequenti.
1) Oggetto della decisione della Commissione
La Commissione Europea nella sentenza C-311/18 ha esaminato da un lato la validità della sentenza n. 2010/87/CE della Commissione europea sulle clausole contrattuali tipo (“Standard Contractual Clauses”) e dall’altro la validità della decisione relativa al Privacy Shield (Decisione 2016/1250 sull’adeguatezza della protezione offerta dallo scudo UE-USA per la privacy).
Relativamente alla prima questione, la Corte ha dichiarato la validità delle SCC. Queste, infatti, avendo natura puramente contrattuale, non sono vincolanti per le autorità del paese terzo verso il quale i dati possono essere trasferiti; tuttavia, la loro validità è subordinata al rispetto da parte del paese terzo di un livello di protezione equivalente a quello garantito dal GDPR.
Relativamente alla seconda questione, la Corte ha dichiarato l’invalidità dello scudo UE-USA per la protezione dei dati, creato grazie alla decisione di adeguatezza che era stata resa sul Privacy Shield. La decisione della Corte trova fondamento nel fatto che il diritto interno degli USA non garantisce, specialmente con riguardo all’esercizio dei diritti degli interessati, tutele equivalenti a quelle del GDPR.
2) In caso di Trasferimento di dati in America verso importatori aderenti allo scudo per la privacy, cosa si deve fare?
I trasferimenti che fino ad ora sono avvenuti in forza del Privacy Shield sono ora illegali: devono cessare o se se si intende proseguirli bisogna attenersi alle indicazioni date dalla Corte e trovare una diversa base giuridica.
3) È previsto un periodo di grazia durante il quale continuare a trasferire i dati verso gli USA senza valutare la base giuridica per il trasferimento?
No, la sentenza invalida con efficacia immediata lo scudo del Privacy Shield; dunque, per continuare a trasferire dati verso gli USA sarà necessario valutare la presenza di una ulteriore base giuridica.
4) Si può continuare a trasferire dati negli USA tramite SCC e BCR (clausole contrattuali standard e norme vincolanti d’impresa)?
Chiaramente la decisione delle Corte investe anche l’utilizzo di SCC e BCR, perché costituisce una valutazione globale sul sistema di tutela dei dati statunitense. Se si stanno trasferendo dati in USA tramite questi due strumenti sarà necessario effettuare delle valutazioni caso per caso. Se le garanzie offerte dalle SCC e dalle BCR e dalle misure supplementari sono tali da non subire interferenze dalla normativa statunitense esse restano uno strumento adeguato. Se l’esito della valutazione dovesse, invece, essere negativo, il trasferimento dei dati oltreoceano dovrebbe cessare.
5) Si possono usare le SCC e le BCR per trasferire dati verso paesi diversi dagli USA?
E’ ancora possibile utilizzare le SCC e le BCR per trasferire dati in un paese terzo; tuttavia, la soglia di garanzia di tutela per la protezione dei dati fissata dalla Corte per i trasferimenti verso gli Stati Uniti si applica a qualsiasi paese terzo. La Corte ha sottolineato che spetta all’esportatore e all’importatore di dati valutare se il livello di protezione richiesto dal diritto dell’UE sia rispettato nel paese terzo in questione al fine di determinare se le garanzie fornite dalle SCC o dalle BCR possano essere rispettate nella pratica.
6) Che succede rispetto agli altri strumenti di trasferimento previsti dall’articolo 46 del GDPR?
La validità degli altri strumenti di trasferimento dei dati di cui all’art. 46, quali i codici di condotta o i meccanismi di certificazione, sarà a breve valutata dall’EDPB. Di certo, il presupposto per il loro utilizzo rimane la necessità di fornire una garanzia di tutela dei dati sostanzialmente equivalente al GDPR.
7) Si può utilizzare una delle deroghe di cui all’articolo 49 del GDPR al fine di trasferire i dati negli Stati Uniti?
Si, è ancora possibile purchè si rispettino le condizioni indicate da tale articolo.
8) Come si fa a sapere se il proprio responsabile del trattamento trasferisce i dati verso gli Stati Uniti o un altro paese terzo? Come si può continuare ad usare i servizi del responsabile del trattamento se nel contratto con esso stipulato è stato autorizzato al trasferimento di dati verso gli USA?
Il contratto stipulato con il proprio responsabile del trattamento può autorizzare o meno un tal tipo di trasferimenti ed occorre un’autorizzazione anche per consentire a un responsabile di affidare a sub-responsabili del trattamento il trasferimento di dati verso paesi terzi.
Per continuare ad usare i servizi del proprio responsabile del trattamento negli USA o che effettua trasferimenti verso gli USA, sarà necessario introdurre misure di garanzia supplementari. Se ciò non sarà possibile sarà necessario emendare il contratto stipulato vietando il trasferimento. Se è previsto che i dati siano trasferiti verso un altro paese terzo, occorre analizzare anche la legislazione di tale paese terzo per verificarne la conformità ai requisiti indicati dalla Corte.