Regolamento - 27/04/2016 - n. 679 art. 45 - Trasferimento sulla base di una decisione di adeguatezza 1

Criteri

L'art. 45.2 pone una serie di criteri che la Commissione deve valutare al fine di poter poi prendere la c.d. decisione di adeguatezza. Innanzitutto, dal momento che il Regolamento è adottato «a protezione delle persone fisiche con riguardo al trattamento dei dati personali», il primo dei criteri riguarda la considerazione dello stato di diritto e del rispetto dei diritti umani e delle libertà fondamentali. La Commissione, cioè, deve valutare «la pertinente legislazione generale e settoriale (anche in materia di sicurezza pubblica, difesa, sicurezza nazionale, diritto penale e accesso delle autorità pubbliche ai dati personali), così come l'attuazione di tale legislazione», poiché è essenziale innanzitutto capire se ci si trovi o meno di fronte ad un paese terzo (o organizzazione internazionale) che riconosce i diritti umani e le libertà fondamentali di cui alla Carta UE. Sempre al punto (a) dell'art. 45.2, quindi al medesimo livello delle garanzie generali in questione, viene collocata la valutazione delle norme in materia di protezione dei dati, le norme professionali e le misure di sicurezza, comprese le norme per il trasferimento successivo dei dati personali verso un altro paese terzo o un'altra organizzazione internazionale osservate nel paese o dall'organizzazione internazionale, la giurisprudenza nonché i diritti effettivi e azionabili degli interessati e la presenza o meno di un ricorso effettivo in sede amministrativa e giudiziaria per gli interessati i cui dati personali sono oggetto di trasferimento. La ragione di una simile ricerca di equivalenza tra diritti fondamentali e protezione dei dati è evidente: la protezione dei dati è un diritto fondamentale ex art. 8 Carta UE.

L'art. 45.2.b), in aggiunta, inserisce tra i predetti elementi da considerare anche l'esistenza e l'effettivo funzionamento di una o più autorità di controllo indipendenti nel paese terzo o a cui è soggetta l'organizzazione internazionale, con competenza per garantire e controllare il rispetto delle norme in materia di protezione dei dati e comprensiva di adeguati poteri di esecuzione, per assistere e fornire consulenza agli interessati in merito all'esercizio dei loro diritti e cooperare con le autorità di controllo degli Stati membri. Tale previsione è coerente sia con quanto detto relativamente al punto (a), sia con riguardo al principio di cooperazione internazionale per la protezione dei dati personali, secondo cui la «protezione delle persone fisiche con riguardo al trattamento dei dati personali» richiede una reciproca assistenza da parte della Commissione e delle DPA per il coordinamento con le autorità nazionali presenti in paesi terzi per facilitare l'applicazione del Regolamento. Si pensi, in proposito, a quanto si diceva con riferimento al concetto di adeguatezza: al fine di valutare se le misure adottate extra UE siano «efficaci, nella prassi, al fine di assicurare una protezione sostanzialmente equivalente a quella garantita all'interno dell'Unione», è opportuna – se non indispensabile – la collaborazione dell'autorità di controllo del paese terzo che dovrebbe, tra le altre cose, avere il compito di collaborare con la DPA europea nel valutare l'efficacia delle misure che il titolare deve adottare in virtù del principio di responsabilizzazione ex art. 5.2 e 24.1 del Regolamento.

In ultimo, l'art. 45.1.c) individua tra i criteri che la Commissione deve valutare nell'adozione della decisione di adeguatezza anche «gli impegni internazionali assunti dal paese terzo o dall'organizzazione internazionale in questione o altri obblighi derivanti da convenzioni o strumenti giuridicamente vincolanti come pure dalla loro partecipazione a sistemi multilaterali o regionali, in particolare in relazione alla protezione dei dati personali». Questi impegni, infatti, potrebbero risultare sia potenzialmente in contrasto con la normativa europea, in quanto non conformi ai nostri principi di protezione dei dati, sia, viceversa, perfettamente allineati ad essi o perfino più tutelanti. Ne è un esempio l'adesione, come ricorda il considerando 105, l'adesione da parte del paese terzo alla Convenzione 108 del Consiglio d'Europa, del 28 gennaio 1981, sulla protezione delle persone rispetto al trattamento automatizzato dei dati e al relativo protocollo addizionale (Bolognini, Pelino, Bistolfi).

Adeguatezza meramente territoriale o settoriale

Si precisa che, ai sensi dell'art. 45.1 GDPR, l'adeguatezza valutata dalla Commissione non deve necessariamente riguardare il Paese terzo nella sua interezza. Infatti, sia la valutazione sia l'adozione della successiva decisione di adeguatezza possono riferirsi anche solo a «un territorio o uno o più settori specifici all'interno di un Paese terzo» (Bolognini, Pelino, Bistolfi).

La decisione di adeguatezza e il riesame periodico

A seguito della valutazione di adeguatezza secondo i criteri di cui al punto 2, la Commissione, ex art. 45.3 adotta, «mediante atti di esecuzione» la decisione di adeguatezza. In questa sede preme evidenziare che tali atti seguono la procedura d'esame di cui all'art. 93.2 e che un atto di esecuzione deve essere riesaminato periodicamente «almeno ogni quattro anni» in modo da tenere conto «di tutti gli sviluppi pertinenti nel paese terzo o nell'organizzazione internazionale», coerentemente con il principio di valutazione e riesame da parte della Commissione di cui all'art. 97 (che le attribuisce il compito di riesaminare l'applicazione e il funzionamento «del capo V sul trasferimento di dati personali verso paesi terzi o organizzazioni internazionali, con particolare riguardo alle decisioni adottate ai sensi dell'art. 45, paragrafo 3, del presente regolamento, e alle decisioni adottate sulla base dell'art. 25, paragrafo 6, della direttiva 95/46/CE» – sulle decisioni adottate nel vigore della dir. 95/46/CE).

Infatti, ancorché adottate sulla base di criteri stringenti, potrebbe comunque accadere che il paese terzo o l'organizzazione internazionale non garantiscano più un «livello di protezione adeguato» tale per cui si possa proseguire nel trasferimento dei dati. Per la medesima ragione, l'art. 45.4 prescrive che la Commissione stessa sorvegli l'andamento della disciplina relativa alla protezione dei dati, cioè i suoi «sviluppi nei paesi terzi e nelle organizzazioni internazionali che potrebbero incidere sul funzionamento delle decisioni adottate a norma del paragrafo 3 del presente articolo e delle decisioni adottate sulla base dell'art. 25, paragrafo 6, della direttiva 95/46/CE». Si consideri, in ultimo, che la decisione di adeguatezza deve specificare il suo ambito di applicazione, dal momento che, come visto al punto 3, essa può riguardare sia l'ambito geografico (stato o territorio) sia quello settoriale, e che essa deve anche identificare, laddove presenti, la o le autorità di controllo ex art. 45.2.b) al fine di rendere possibile la collaborazione e il coordinamento tra questa (o queste) e le DPA europee. Una volta adottata la decisione di adeguatezza, i trasferimenti di dati personali verso il paese terzo o l'organizzazione internazionale «possono avere luogo senza ulteriori autorizzazioni» (cfr. considerando 103). Si consideri che, al fine di pubblicizzare tale decisione, l'art. 45.8 dispone la pubblicazione da parte della Commissione sulla Gazzetta ufficiale dell'Unione europea e sul suo sito web dell'«elenco dei paesi terzi, dei territori e settori specifici all'interno di un paese terzo, e delle organizzazioni internazionali per i quali ha deciso che è o non è più garantito un livello di protezione adeguato». Si presti attenzione al fatto che le decisioni di adeguatezza non coprono l'ambito dello scambio dei dati a fini di prevenzione e repressione dei reati (Bolognini, Pelino, Bistolfi).

La cessazione dell'adeguatezza

La decisione di adeguatezza può essere revocata dalla Commissione se, a seguito delle procedure di riesame periodico di cui all'art. 45.3 risulta che il paese terzo o l'organizzazione internazionale non garantiscono più un livello di protezione adeguato rispetto ai criteri fissati dall'art. 45.2. In presenza di simili condizioni non è detto che la Commissione debba necessariamente revocare la decisione di adeguatezza. Essa infatti può anche decidere di modificarla o sospenderla temporaneamente. In ciascuno di questi casi, l'art. 45.6 prevede che la Commissione avvii consultazioni con il paese terzo o l'organizzazione internazionale per porre rimedio alla situazione che ha motivato la decisione di revoca/sospensione/modifica in virtù del principio di cooperazione internazionale. La revoca, sospensione o modifica avvengono sempre attraverso un atto di esecuzione con la medesima procedura di esame di cui all'art. 93.2 del Regolamento; a quest'ultima, però, fanno eccezione i casi di estrema urgenza, che invece seguono la procedura di cui all'art. 93.3, rendendo l'atto di esecuzione immediatamente applicabile (Bolognini, Pelino, Bistolfi).

La decisione di adeguatezza nel passaggio dalla Dir. 95/46 al Regolamento

Ai sensi dell'art. 25.6 della Dir. 95/46, la Commissione già possedeva il potere di assumere la cd. decisione di adeguatezza. La procedura di adozione di questo atto prevedeva che la Commissione sottoponesse la sua proposta al WP29 al fine dell'ottenimento di un parere in merito, per poi sottoporre la questione all'approvazione del comitato istituito ex art. 31 Dir. 95/46 secondo la procedura d'esame ivi prevista. Con l'entrata in vigore del Regolamento, la predetta metodologia è rimasta sostanzialmente invariata. Il WP29 è stato però sostituito dal comitato europeo per la protezione dei dati di cui all'art. 68, il quale ha tra i suoi compiti proprio quello di fornire alla Commissione «un parere per valutare l'adeguatezza del livello di protezione in un paese terzo o in un'organizzazione internazionale, così come per valutare se il paese terzo, il territorio o uno o più settori specifici all'interno di tale paese terzo, o l'organizzazione internazionale non assicurino più un livello adeguato di protezione. A tal fine, la Commissione fornisce al comitato tutta la documentazione necessaria, inclusa la corrispondenza con il governo del paese terzo, con riguardo a tale paese terzo, territorio o settore specifico, o con l'organizzazione internazionale» (cfr. art. 70.1.s del Regolamento). Il comitato di cui all'art. 31 Dir. 95/46 è analogamente previsto anche dal Regolamento in virtù dell'art. 93, il quale attiene appunto alla cd. procedura di comitato. Proprio in ragione del fatto che la decisione di adeguatezza era già presente nella Dir. 95/46, il considerando 106 e l'art. 45.9 prescrivono che le decisioni adottate dalla Commissione nel vigore della Direttiva ex art. 25.6 Dir. 95/46 (ad oggi nei confronti di Andorra, Argentina, Australia PNR, Canada, Faeroe Islands, Guernsey, Israele, Isle of Man, Jersey, Nuova Zelanda, Svizzera e Uruguay) restino in vigore «fino a quando non vengono modificate, sostituite o abrogate» da un'altra decisione della Commissione adottata a seguito della valutazione periodica.

Si consideri che, in effetti, l'opzione della “modifica” parrebbe essere stata introdotta proprio per dare seguito alle decisioni assunte nel vigore della Dir. 95/46, in quanto esse potrebbero dover essere riesaminate dal momento che i criteri introdotti dall'art. 45.2 GDPR sono più stringenti rispetto a quelli stabiliti dall'art. 25.2 della Direttiva, che invece era solo basata sulla valutazione delle circostanze relative ad un trasferimento o ad una categoria di trasferimenti di dati con particolare riferimento alla natura dei dati, alle finalità del o dei trattamenti previsti, al paese d'origine e al paese di destinazione finale, alle norme di diritto, generali o settoriali, vigenti nel paese terzo di cui trattavasi e alle regole professionali e le misure di sicurezza ivi osservate (Bolognini, Pelino, Bistolfi).

La revoca della decisione di adeguatezza per via giudiziale: il caso Schrems

Nella sentenza del CGUE 6 ottobre 2015, relativa alla causa C-362/15 (Schrems) la Corte ha dichiarato l'invalidità della decisione relativa all'accordo del Safe Harbor. Si consideri che, pur essendo una sentenza adottata nel vigore della dir. 95/46/CE, l'esito di tale caso può essere riferito per via interpretativa anche al quadro normativo introdotto dal Regolamento. La Corte, infatti, non ha messo in discussione le competenze della Commissione ad adottare ex art. 25.6 dir. 95/46/CE (secondo il Regolamento, ex art. 45.1) una decisione di adeguatezza vincolante per tutti gli Stati membri e i loro organismi, ma ha precisato che la revoca, l'annullamento o l'invalidazione può avvenire unicamente a seguito di decisione della CGUE, che è il solo organo competente al riguardo. Attenzione, tuttavia, a non confondere tale potere della Corte con quello previsto dall'art. 45.5, ai sensi del quale se un'organizzazione internazionale o un paese terzo, un territorio o uno o più settori all'interno di esso non garantiscono più un livello di protezione adeguato ai sensi dell'art. 45.2, la Commissione può certamente revocare, modificare o sospendere la decisione di adeguatezza. Ciò infatti non è in contrasto con quanto stabilito dalla CGUE rispetto alla revoca della decisione di adeguatezza. La posizione della Corte non è escludente rispetto alla possibilità prevista dall'art. 45.5, ma lo è, invece, rispetto ai poteri delle DPA nazionali. Seguendo la COM(2015) 566 della Commissione, infatti, la ratio della sentenza è quella di confermare le competenze delle DPA rispetto all'esame dei reclami presentati ai sensi dell'art. 77 da un interessato, o da un organismo, un'organizzazione o un'associazione, relativi alla conformità del trasferimento con i requisiti stabiliti dal Regolamento. In tal senso, la DPA ha il dovere (oltreché il potere) di verificare se il trasferimento rispetti i predetti requisiti, se del caso anche considerando insufficiente l'applicazione di una decisione della Commissione ai fini della salvaguardia dei diritti degli interessati, ma non può svolgere un accertamento volto a revocare o invalidare la decisione, a monte, la quale potrà essere annullata solo dalla CGUE a seguito di sottoposizione del caso da parte del giudice nazionale alla CGUE stessa, mediante una domanda di pronuncia pregiudiziale ai sensi dell'art. 267 del TFUE.

Il caso Schrems e il Privacy Shield

Il 6 ottobre 2015, con sentenza relativa al caso C-362/15 (Schrems) la CGUE ha dichiarato invalida la decisione della Commissione che attestava che gli Stati Uniti garantivano un adeguato livello di protezione dei dati personali trasferiti. Il caso aveva avuto origine dal fatto che il sig. Maximilian Schrems, un cittadino austriaco, utente Facebook dal 2008, aveva presentato una denuncia presso la DPA irlandese ritenendo che, alla luce delle rivelazioni del 2013 di Edward Snowden in merito alle attività dell'National Security Agency USA, il diritto e le prassi statunitensi non offrissero più una tutela adeguata contro la sorveglianza svolta dalle autorità pubbliche sui dati trasferiti verso tale paese. È bene ricordare, infatti, che, per coloro che risiedevano nell'Unione, i dati forniti a Facebook erano trasferiti, in tutto o in parte, a partire dalla filiale irlandese di Facebook, su server situati nel territorio degli Stati Uniti, dove sono poi oggetto di trattamento.

Tornando al caso Schrems, la DPA irlandese aveva respinto la denuncia, motivando tale riscontro con il fatto che la Commissione, con decisione del 26 luglio 2000 n. 2000/520/CE aveva ritenuto che gli Stati Uniti garantissero un livello adeguato di protezione dei dati personali trasferiti, dando così vita all'accordo del Safe Harbor. L'interessato, a seguito della decisione sfavorevole della DPA irlandese, aveva presentato ricorso alla High Court of Ireland, la quale si era rivolta alla CGUE per verificare se la decisione della Commissione relativa al Safe Harbor impedisse o meno a una DPA europea nazionale di indagare su di una denuncia con cui si lamentava che un paese terzo non assicurava un livello di protezione adeguato e, se necessario, di sospendere il trasferimento di dati contestato. Il verdetto della CGUE è stato molto chiaro: essa ha sottolineato che, malgrado fosse teoricamente tenuta a constatare che gli Stati Uniti garantissero effettivamente, in considerazione della loro legislazione nazionale o dei loro impegni internazionali, un livello di protezione dei diritti fondamentali sostanzialmente equivalente a quello garantito nell'UE ex art. 25, dir. 95/46/CE, la Commissione non aveva tuttavia proceduto a una simile constatazione nei fatti, mentre si era limitata ad esaminare solo la “bontà” astratta dell'accordo del Safe Harbor. Il tutto mirando a privare, peraltro, le DPA nazionali del loro potere, nel caso in cui un individuo avesse voluto contestare la compatibilità della decisione con la tutela della vita privata – senza che la Commissione avesse la competenza di effettuare una simile limitazione. In particolare, poi, senza entrare nel merito della decisione di adeguatezza in sé, la Corte ha rilevato come il Safe Harbor fosse esclusivamente applicabile alle imprese americane che vi aderivano e che, invece, le autorità pubbliche statunitensi non vi erano assoggettate se non, diremmo in via interpretativa della sentenza, “per mera collaborazione strumentale e collaterale”. Quindi, le esigenze relative alla sicurezza nazionale e all'osservanza delle leggi statunitensi finivano col prevalere sistematicamente sul regime del Safe Harbor, portando le imprese americane a disapplicarlo, senza limiti, laddove le tutele dell'accordo fossero entrate in conflitto con tali esigenze. Ecco, dunque, che il Safe Harbor rendeva possibili ingerenze da parte delle autorità pubbliche americane nei diritti fondamentali delle persone – la protezione dei dati personali – senza che la decisione della Commissione menzionasse l'esistenza negli USA di norme intese a limitare o assicurare una tutela giuridica contro queste possibili ingerenze. Con riferimento, poi, al livello di tutela “sostanzialmente equivalente” alle libertà e ai diritti fondamentali garantiti all'interno dell'UE, la Corte ha precisato che, nel diritto dell'Unione, una normativa non rispetta il principio di limitazione delle finalità né quello di proporzionalità e necessità se autorizza in maniera generalizzata la conservazione di tutti i dati personali di ogni individuo i cui dati sono trasferiti dall'UE verso gli USA, senza che sia operata alcuna differenziazione rispetto all'obiettivo perseguito e senza che siano fissati criteri oggettivi intesi a definire l'accesso e il trattamento dei dati da parte delle autorità pubbliche. Una normativa di questo tipo, evidentemente, consentendo alle autorità pubbliche l'accesso generalizzato e indiscriminato ai dati personali degli individui deve essere considerata lesiva del diritto fondamentale al rispetto della vita privata e, quindi, ai principi cardine della normativa europea in materia di protezione dei dati personali e della privacy. Parimenti, la CGUE ha osservato che in siffatto contesto non vi era alcuna facoltà per il singolo di potersi avvalere di rimedi giuridici per l'esercizio del diritto di accesso ai dati personali che lo riguardavano, tantomeno a ottenerne la rettifica o la cancellazione.

Tutto ciò premesso, la CGUE ha dichiarato dunque invalido l'accordo del Safe Harbor.

Il vuoto normativo internazionale nei trasferimenti UE/USA è stato colmato il 2 febbraio 2016 grazie al raggiungimento dell'accordo politico denominato Privacy Shield, che si è, peraltro, innestato perfettamente in parallelo rispetto al processo di adozione del Regolamento. Gli obiettivi principali del summenzionato accordo riguardano sia le garanze di un elevato livello di protezione dei dati trasferiti, sia la continuazione lecita dei trasferimenti sia, ancora, una uniforme applicazione del diritto UE da parte delle organizzazioni statunitensi attraverso il coordinamento con la Commissione e le DPA.

Si consideri che il progetto di “decisione di adeguatezza” fu adottato dalla Commissione il 29 febbraio 2016 e il WP29, che doveva presentare un parere su predetta decisione in quanto sottoposta alla procedura di comitato di cui all'art. 93 GDPR, ha emesso la op. 1/16 nella quale aveva espresso le sue perplessità circa la decisione di adeguatezza stessa.

Il regime del Privacy Shield, concretamente, prevedeva:

– l'imposizione di obblighi precisi alle organizzazioni statunitensi e una robusta applicazione delle regole mediante meccanismi di vigilanza, sanzioni o esclusione in caso di inadempienza, al fine di garantire che le società rispettino i loro obblighi, anche con riferimento ai trasferimenti successivi effettuati verso altri partner delle organizzazioni aderenti;

– una garanzia scritta da parte degli Stati Uniti, precisamente da parte dell'Ufficio del Direttore dell'intelligence nazionale (NSA), e pubblicata nello U.S. Federal Register, che tutti i diritti di accesso delle autorità pubbliche per fini di sicurezza nazionale sarebbero stati soggetti a precisi limiti, garanzie e meccanismi di controllo, impedendo così l'accesso generalizzato ai dati personali contrario ai principi di necessità e proporzionalità. È stato inoltre previsto un mediatore (Ombudsman) all'interno del Dipartimento di Stato in totale indipendenza dai servizi di sicurezza nazionali, al fine di trattare i reclami e le richieste di informazioni da parte di singoli cittadini dell'UE e di informarli se le normative in materia sono state rispettate;

– la fissazione di un termine di risoluzione da parte delle imprese per i reclami, da risolversi entro 45 giorni, e un sistema di composizione delle controversie su tre diversi livelli. Innanzitutto, in via extragiudiziale e gratuita. Inoltre, i cittadini dell'UE potevano anche rivolgersi alla DPA nazionale (era stata inoltre prevista la collaborazione con la FTC per assicurare che i reclami dei cittadini dell'UE venissero esaminati e risolti). Infine, in subordine alla risoluzione extragiudiziale o mediante collaborazione tra DPA e FTC, subentrava un meccanismo di arbitrato, con decisione esecutiva;

– le imprese aderenti dovevano impegnarsi obbligatoriamente a rispettare i pareri delle DPA nazionali in caso di trattamento di dati relativi alle risorse umane (sulla base di Interesse legittimo del titolare o di terzi) e, in generale, potevano assumere tale impegno per gli altri pareri delle DPA;

– l'istituzione del cd. meccanismo annuale di riesame congiunto che permetteva di monitorare il funzionamento del Privacy Shield, compresi gli impegni e le garanzie relative all'accesso ai dati a fini della sicurezza nazionale. Era previsto che sia la Commissione sia la FTC procedessero al riesame, con anche la partecipazione di esperti USA di intelligence e esperti delle DPA europee. In base al riesame annuale, la Commissione avrebbe presentato poi una relazione al Parlamento e al Consiglio;

– l'organizzazione, da parte della Commissione, di una conferenza annuale sulla privacy in partnership con le organizzazioni non governative e tutti gli stakeholder interessati per discutere gli sviluppi nel settore del diritto alla privacy statunitense e il loro impatto sui cittadini dell'UE.

Rispetto a tale quadro, definito il 29 febbraio 2016, come si anticipava, già il 13 aprile 2016 il WP29 aveva pubblicato un parere (op. 1/16) nel quale aveva sollevato diverse questioni, non ultima la necessità di rivedere la proposta di decisione di adeguatezza alla luce dell'approvazione del Regolamento avvenuta nell'aprile 2016 (op. 1/2016 on the EU – U.S. Privacy Shield draft adequacy decision – 13 aprile 2016). Inoltre, il WP29 aveva esaminato gli aspetti relativi alle garanzie offerte dal Privacy Shield rilevando che, alla luce del verdetto della CGUE nel caso Schrems (cfr. punto 141) che fissa la necessità che il paese terzo assicuri «effettivamente, in considerazione della sua legislazione nazionale o dei suoi impegni internazionali, un livello di protezione delle libertà e dei diritti fondamentali sostanzialmente equivalente a quello garantito all'interno dell'Unione», l'accordo non sembrava fornire il suddetto livello di protezione “sostanzialmente equivalente”. Infatti, il Privacy Shield per il WP29 non prevedeva sufficienti garanzie con riguardo al principio cardine della limitazione della conservazione dei dati ex art. 5.1.e) del Regolamento e al principio di limitazione delle finalità di cui all'art. 5.1.b) GDPR.

Sempre con riferimento al progetto di decisione di adeguatezza, il WP29 sollevava dei dubbi circa la possibilità effettiva per gli interessati di far valere i propri diritti, poiché giudicava il sistema generale di composizione delle controversie troppo complesso. Ad esempio, sottolineava come, nel caso della strada di risoluzione in via extragiudiziale, i soggetti non muniti di esperienza fossero difficilmente in grado di autorappresentare i propri interessi, peraltro tenendo conto della difficoltà di comunicazione sia scritta sia orale in lingua inglese. Sulla scorta di simili considerazioni l'op. 1/16 esortava proprio le DPA europee ad agire come “contact point” in ogni caso, al fine di agevolare la comunicazione tra interessato e organizzazioni statunitensi.

In ultimo, il WP29 evidenziava che a suo giudizio, a prescindere dalla garanzia scritta da parte dell'Ufficio del Direttore dell'NSA, nessuna acquisizione di dati personali massiva e indiscriminata può essere considerata proporzionata e strettamente necessaria in una società democratica.

Si consideri, dunque, che, ancorché non vincolante, il parere del WP29 ha condotto ad uno slittamento inevitabile nell'adozione da parte della Commissione di una decisione di adeguatezza.

Finalmente, comunque, in data 12 luglio 2016 la Commissione Europea ha adottato la decisione di adeguatezza (Decisione C(2016) 4176) e il Privacy Shield è stato formalmente approvato. Esso è stato applicato a decorrere dall'1 agosto 2016 (Bolognini, Pelino, Bistolfi).

Il caso Schrems II e l'invalidazione del Privacy Shield

Il sig. Schrems non si è fermato e, a seguito della sentenza Schrems I, ha riformulato la sua denuncia presso l'autorità di controllo irlandese, tenendo in conto l'intervenuta dichiarazione di invalidità dell'accordo Safe Harbour. In particolare, ha sostenuto che gli Stati Uniti non offrissero protezione sufficiente e ha chiesto che fosse sospeso o vietato il trasferimento dei suoi dati da parte di Facebook Ireland verso Facebook Inc. Poiché, invalidato il Safe Harbour, il trasferimento veniva operato da Facebook sulla base delle Standard Contractual Clauses adottate dalla Commissione Europea con la decisione 2010/87/UE, l'autorità irlandese ha avviato un procedimento presso la High Court, chiedendo che la stessa presentasse una richiesta pregiudiziale alla Corte di Giustizia in ordine alla validità della decisione 2010/87/UE. Poiché nel frattempo la Commissione aveva emesso anche la decisione 2016/1250 sull'adeguatezza della protezione offerta dal regime del Privacy Shield, la High Court ha sollevato anche la questione pregiudiziale relativa alla validità di tale decisione. Con sentenza del 16 luglio 2020, la Corte da un lato ha confermato la validità della decisione sulle Standard Clauses, non essendo emersi elementi tali da inficiarla, ma dall'altro ha invalidato il Privacy Shield, rendendo di fatto illegittimi i trasferimenti basati su tale decisione.

In particolare, nell'analizzare il contenuto della Decisione sul Privacy Shield, la Corte al punto 164 della sentenza sottolinea come la stessa preveda (al punto I.5. del suo allegato II rubricato «Principi del regime dello scudo [Unione europea-Stati Uniti] per la privacy») che l'adesione ai principi del Privacy Shield possa essere limitata nel caso in cui lo richiedano esigenze di sicurezza nazionale, interesse pubblico, o amministrazione della giustizia. Da ciò ne deriva, secondo la Corte, che “detta decisione, al pari della decisione 2000/520, sancisce il primato delle suddette esigenze rispetto a tali principi, primato in forza del quale le organizzazioni statunitensi autocertificate che ricevono dati personali dall'Unione sono tenute a disapplicare, senza limiti, tali principi allorché questi ultimi interferiscono con tali esigenze e risultano dunque incompatibili con le medesime”. Inoltre, al punto 165 viene evidenziato che “alla luce del suo carattere generale, la deroga contenuta al punto I.5. dell'allegato II, della decisione «scudo per la privacy» rende pertanto possibili ingerenze, fondate su esigenze connesse alla sicurezza nazionale e all'interesse pubblico o alla legislazione interna degli Stati Uniti, nei diritti fondamentali delle persone i cui dati personali sono o potrebbero essere trasferiti dall'Unione verso gli Stati Uniti”.

In particolare, le ingerenze sono ricollegate all'accesso ai dati trasferiti dall'Unione Europea agli Stati Uniti, che le autorità pubbliche statunitensi possono effettuare sulla base della Section 702 del Foreign Intelligence Surveillance Act (FISA) e dell'Executive order 12333.

Per quanto riguarda la prima norma, tale articolo “consente al procuratore generale e al direttore dell'intelligence nazionale di autorizzare congiuntamente, previa approvazione della Corte FISA, la sorveglianza di cittadini stranieri che si trovano al di fuori del territorio degli Stati Uniti e serve, in particolare, quale fondamento dei programmi di sorveglianza PRISM e UPSTREAM. Nell'ambito del programma PRISM, i fornitori di servizi Internet sono tenuti, secondo le constatazioni di tale giudice, a fornire alla NSA tutte le comunicazioni inviate e ricevute da un «selettore», e parte di esse è trasmessa anche allo FBI e alla Central Intelligence Agency (CIA) (agenzia centrale per l'intelligence). Per quanto riguarda il programma UPSTREAM, detto giudice ha constatato che, nell'ambito di tale programma, le imprese di telecomunicazioni che gestiscono la «dorsale» di Internet – vale a dire la rete di cavi, commutatori e router - sono costrette a consentire alla NSA di copiare e filtrare i flussi di traffico Internet al fine di raccogliere comunicazioni inviate da, dirette a o riguardanti il cittadino straniero interessato da un «selettore». Nell'ambito di tale programma, la NSA, secondo le constatazioni del medesimo giudice, ha accesso tanto ai metadati quanto al contenuto delle comunicazioni interessate” (cfr. punti 61 e 62 della sentenza).

La seconda norma, invece, “consente alla NSA di accedere a dati «in transito» verso gli Stati Uniti, accedendo ai cavi sottomarini posti sul fondale dell'Atlantico, nonché di raccogliere e conservare tali dati prima che essi giungano negli Stati Uniti e siano ivi soggetti alle disposizioni del FISA. Esso precisa che le attività fondate sull'E.O. 12333 non sono disciplinate dalla legge” (cfr. punto 63 della sentenza).

In merito a tali previsioni, la Corte nella sentenza ripercorre i ragionamenti seguiti nella decisione sul Privacy Shield dalla Commissione che, analizzate le limitazioni e le garanzie previste dalla normativa statunitense, aveva ritenuto che la stessa garantisse comunque un livello di protezione adeguato, ritenendo che le ingerenze delle autorità nei diritti e nelle libertà fondamentali si limitassero a quanto strettamente necessario a conseguire l'obiettivo ricercato. Non è di questo avviso la Corte di Giustizia, per cui “l'articolo 702 del FISA non fa emergere in alcun modo l'esistenza di limitazioni all'autorizzazione che esso comporta per l'attuazione dei programmi di sorveglianza ai fini dell'intelligence esterna, né l'esistenza di garanzie per i cittadini stranieri potenzialmente oggetto di tali programmi. In tali circostanze, e come sostanzialmente rilevato dall'avvocato generale ai parr. 291, 292 e 297 delle sue conclusioni, tale articolo non è idoneo a garantire un livello di tutela sostanzialmente equivalente a quello garantito dalla Carta, come interpretata dalla giurisprudenza ricordata ai punti 175 e 176 della presente sentenza, secondo cui, per soddisfare il principio di proporzionalità, una base giuridica che consente ingerenze nei diritti fondamentali deve definire essa stessa la portata della limitazione dell'esercizio del diritto di cui trattasi e prevedere norme chiare e precise che regolino la portata e l'applicazione della misura e impongano requisiti minimi” (cfr. punto 180 della sentenza). Quanto all'E.O 12333, “neppure tale decreto conferisce diritti nei confronti delle autorità statunitensi azionabili dinanzi ai giudici”. Se ne conclude, dunque, che le due norme esaminate non rispettano i requisiti minimi connessi al principio di proporzionalità, posto che realizzano programmi di sorveglianza massiva (e non singole misure di sorveglianza) non strettamente limitati a quanto necessario.

La Corte si pronuncia anche con riferimento al rispetto dell'articolo 47 della Carta dei diritti fondamentali, secondo cui ogni persona le cui libertà e diritti riconosciuti dal diritto dell'Unione Europea siano stati violati ha diritto al ricorso effettivo innanzi a un giudice indipendente e imparziale: la Commissione aveva infatti evidenziato le carenze della legislazione USA in merito, posto che non riconosce diritti azionabili dinnanzi ai giudici nei confronti delle autorità, ma aveva ritenuto che il meccanismo di mediazione istituto dal Privacy Shield vi ponesse rimedio, ovviando alle limitazioni. Non è così per la Corte, che evidenzia come il mediatore previsto dal Privacy Shield sia in realtà nominato dal Segretario di Stato, a cui riferisce direttamente, e non sia prevista alcuna garanzia per il caso di revoca del mediatore o di annullamento della sua nomina. Inoltre, “sebbene il punto 120 della decisione «scudo per la privacy» menzioni un impegno del governo statunitense a far sì che la componente interessata dei servizi di intelligence sia tenuta a rettificare qualsiasi violazione delle norme applicabili individuata dal Mediatore dello scudo per la privacy, detta decisione non contiene alcuna indicazione che tale Mediatore sia autorizzato ad adottare decisioni vincolanti nei confronti dei suddetti servizi e non menziona neppure garanzie giuridiche da cui sarebbe contornato il suddetto impegno e delle quali potrebbero avvalersi gli interessati” (cfr. punto 196 della sentenza).

Sulla base di queste considerazioni, dunque, la Corte conclude che “nel constatare, all'art. 1, paragrafo 1, della decisione «scudo per la privacy», che gli Stati Uniti assicurano un livello adeguato di protezione dei dati personali trasferiti dall'Unione verso organizzazioni stabilite in tale paese terzo nell'ambito dello scudo Unione europea-Stati Uniti per la privacy, la Commissione ha disatteso i requisiti di cui all'articolo 45, paragrafo 1, del GDPR, letto alla luce degli artt. 7, 8 e 47 della Carta”. Il Privacy Shield viene quindi invalidato.

Il caso Schrems II e i trasferimenti fondati sulle clausole tipo di protezione dei dati

Come anticipato supra, tra le varie questioni sottoposte in via preliminare alla Corte e decise nell'ambito della sentenza Schrems II vi è anche quella relativa al livello di protezione necessario allorché si proceda ad un trasferimento di dati personali ai sensi dell'art. 46 GDPR, sulla base delle clausole tipo di protezione dei dati adottate dalla Commissione, nonché quella relativa quali elementi sia necessario prendere in considerazione per effettuare tale valutazione. A tal proposito, si ritiene utile citare alcuni passaggi della sentenza: “per quanto riguarda il livello di protezione richiesto, dal combinato disposto di tali disposizioni risulta che, in assenza di una decisione di adeguatezza adottata ai sensi dell'art. 45, paragrafo 3, di tale regolamento, il titolare del trattamento o il responsabile del trattamento può trasferire dati personali verso un paese terzo solo se ha previsto «garanzie adeguate» e a condizione che gli interessati dispongano di «diritti azionabili e mezzi di ricorso effettivi», potendo tali garanzie adeguate essere fornite, segnatamente, mediante clausole tipo di protezione dei dati adottate dalla Commissione. Sebbene l'art. 46 del RGPD non precisi la natura dei requisiti che derivano da tale riferimento a «garanzie adeguate», «diritti azionabili» e «mezzi di ricorso effettivi», occorre rilevare che tale articolo è contenuto nel capo V del suddetto regolamento e deve essere pertanto letto alla luce dell'articolo 44 di detto regolamento, rubricato «Principio generale per il trasferimento», il quale dispone che «[t]utte le disposizioni [di detto capo] sono applicate al fine di assicurare che il livello di protezione delle persone fisiche garantito dal [medesimo] regolamento non sia pregiudicato». Tale livello di protezione deve, di conseguenza, essere garantito indipendentemente da quale sia la disposizione di detto capo sul cui fondamento viene effettuato un trasferimento di dati personali verso un paese terzo” (cfr. punti 91 e 92 della sentenza).

Ne deriva che, ove un paese terzo non garantisca più un livello adeguato di protezione dei dati, in mancanza di una decisione di adeguatezza, il titolare ed il responsabile dovrebbero adottare garanzie adeguate in grado di compensare la carenza di tutela e assicurare comunque un livello adeguato di protezione dei dati, sostanzialmente equivalente a quello garantito all'interno dell'Unione, anche nel caso di trasferimento fondato sulle clausole tipo di protezione dei dati o su altro meccanismo di cui all'art. 46 GDPR.

Quanto agli elementi da prendere in considerazione per valutare il livello di protezione nel contesto di un trasferimento di dati verso un paese terzo, la Corte, investita della questione, evidenzia come l'art. 46 GDPR, pur non enumerando i diversi elementi di cui tener conto per valutare l'adeguatezza, faccia comunque riferimento alla necessità che all'interessato siano garantiti diritti azionabili e mezzi di ricorso effettivi, in aggiunta all'offerta di garanzie adeguate. “La valutazione richiesta, a tal fine, nel contesto di un trasferimento siffatto deve, in particolare, prendere in considerazione tanto le clausole contrattuali convenute tra il titolare del trattamento o il responsabile del trattamento stabiliti nell'Unione e il destinatario del trasferimento stabilito nel paese terzo considerato quanto, per quel che riguarda un eventuale accesso delle autorità pubbliche di tale paese terzo ai dati personali trasferiti, gli elementi rilevanti del sistema giuridico di quest'ultimo. Relativamente a quest'ultimo aspetto, gli elementi che occorre prendere in considerazione nel contesto dell'articolo 46 di tale regolamento corrispondono a quelli enunciati, in modo non esaustivo, all'articolo 45, paragrafo 2, di detto regolamento” (cfr. punto 104 della sentenza). Dovranno quindi essere presi in considerazioni gli stessi elementi previsti dall'art. 45 GDPR per la decisione di adeguatezza.

In questi casi, inoltre, ove il trasferimento sia effettuato in assenza di una valida decisione di adeguatezza, l'autorità di controllo è tenuta a vietare o sospendere il trasferimento effettuato sulla base delle clausole di protezione tipo “qualora detta autorità di controllo ritenga, alla luce del complesso delle circostanze proprie di tale trasferimento, che le suddette clausole non siano o non possano essere rispettate in tale paese terzo e che la protezione dei dati trasferiti richiesta dal diritto dell'Unione, segnatamente dagli artt. 45 e 46 del RGDP e dalla Carta, non possa essere garantita con altri mezzi, ove il titolare del trattamento o il responsabile del trattamento stabiliti nell'Unione non abbiano essi stessi sospeso il trasferimento o messo fine a quest'ultimo” (cfr. punto 121 della sentenza).

Oltre a pronunciarsi in generale sulla validità e i requisiti dei trasferimenti basati sulle clausole di cui all'art. 46 GDPR, la sentenza Schrems II si pronuncia nello specifico anche sulla decisione 2010/87, relativa alle clausole tipo “controller to processor”, in quanto espressamente interpellata in merito a questo punto dal giudice di rinvio, che aveva evidenziato il carattere non vincolante delle clausole nei confronti delle autorità dei paesi terzi.

Nella sua analisi la Corte sottolinea la diversa natura delle decisioni di adeguatezza ai sensi dell'art. 45 rispetto alle decisioni sulle clausole contrattuali tipo previste dall'art. 46 GDPR: nel primo caso, infatti, la Commissione verifica puntualmente la normativa dello stato terzo al fine di stabilire con effetto vincolante che la stessa garantisce un livello di protezione adeguato e che quindi l'eventuale accesso ai dati da parte delle autorità pubbliche di detti stato non ostacola il trasferimento dei dati; nel secondo caso la Commissione adotta delle clausole tipo applicabili in modo uniforme in tutti i paesi e, poiché la decisione non riguarda un paese terzo, non è tenuta a verificare l'adeguatezza del livello di protezione di tutti i paesi terzi verso i quali potrebbe essere effettuato un trasferimento sulla base di tali clausole. Spetta invece al titolare e al responsabile del trattamento stabiliti nell'Unione valutare se sussistano le garanzie adeguate ed eventualmente compensare la carenza di tutela del paese terzo. La legislazione del paese terzo andrà dunque verificata caso per caso dal titolare e dal responsabile, se del caso con l'assistenza del destinatario del trattamento, e, in caso di carenze, dovranno essere adottate misure ulteriori e supplementari ad integrazione di quelle fornite dalle clausole. Infatti al punto 132 della sentenza è precisato quanto segue: “Poiché, come risulta dal punto 125 della presente sentenza, è intrinseco al carattere contrattuale delle clausole tipo di protezione dei dati che queste ultime non possano vincolare le autorità pubbliche dei paesi terzi, e poiché tuttavia l'art. 44, l'art. 46, paragrafo 1, e l'art. 46, paragrafo 2, lettera c), del RGPD, interpretati alla luce degli artt. 7, 8 e 47 della Carta, esigono che il livello di protezione delle persone fisiche garantito da tale regolamento non sia compromesso, può rivelarsi necessario completare le garanzie contenute in tali clausole tipo di protezione dei dati. A tal riguardo, il considerando 109 di tale regolamento enuncia che «[l]a possibilità che il titolare del trattamento (...) utilizzi clausole tipo di protezione dei dati adottate dalla Commissione (...) non dovrebbe precludere ai titolari del trattamento (...) di aggiungere altre clausole o garanzie supplementari» e precisa, in particolare, che questi ultimi «dovrebbero essere incoraggiati a fornire garanzie supplementari (...) che integrino le clausole tipo di protezione [dei dati]». Nel caso in cui tali misure supplementari non possano essere adottate, il titolare o il responsabile, o in subordine l'autorità, devono sospendere o interrompere il trasferimento.

Una volta premesso e chiarito quanto sopra, con riferimento allo specifico quesito posto, la Corte conclude stabilendo che il solo fatto che le clausole tipo di protezione dei dati non siano vincolanti nei confronti delle autorità pubbliche dello stato terzo non è sufficiente ad inficiarne la validità. Ciò che conta, infatti, è che le clausole prevedano dei meccanismi che consentano di garantire il rispetto del livello di protezione richiesto dall'Unione e che, nel caso di violazione o di impossibilità di rispettare le clausole, sia prevista la possibilità di vietare o sospendere il trasferimento. E, con riferimento alle clausole di cui alla decisione n 2010/87 la Corte identifica la presenza di tali meccanismi: la previsione di cui alla clausola 5 a), per cui il destinatario del trasferimento si impegna a informare prontamente il titolare del trattamento nell'Unione Europea della sua eventuale impossibilità di conformarsi all'obblighi contrattuali; la dichiarazione che il ricevente deve fare ai sensi della clausola 5 b), di non aver motivo di ritenere che la normativa applicabili gli impedisca di adempiere agli obblighi che gli incombono ai sensi del contratto e l'impegno a comunicare eventuali modifiche della normativa nazionale che possa pregiudicare le garanzie delle clausole contrattuali tipo; il diritto del titolare del trattamento, nelle due ipotesi indicate, di sospendere il trasferimento e risolvere il contratto; l'obbligo previsto dalla clausola 4 di informare l'interessato del trasferimento prima dello stesso, o non appena possibile, ove potrebbero essere trasferite categorie particolari di dati verso un paese terzo che non offre un livello di protezione adeguato; l'obbligo previsto dalla clausola 4 per cui il titolare, ricevuta la notifica di una modifica normativa che potrebbe comportare il mancato rispetto del contratto, deve comunicarlo all'autorità di controllo, che potrà procedere a verifiche.

Alla luce di tutto quanto sopra, la Corte conclude quindi di non rinvenire alcun elemento tale da inficiare la validità della decisione 2010/87. Seppur con tutte le attenzioni e le condizioni indicate, le clausole tipo vengono confermate come un meccanismo valido per il trasferimento.

La sentenza Latombe del 3 settembre 2025

  Il Tribunale dell'Unione Europea (General Court) si è pronunciato nuovamente il 3 settembre 2025 sulla validità dell' EU-US Data Privacy Framework nella causa numero  T-553/23 (anche nota come “caso Latombe”). In particolare, Philippe Latombe, parlamentare francese, chiedeva l'annullamento della decisione della Commissione Europea riguardante il nuovo quadro per il trasferimento dei dati personali tra Unione Europea e Stati Uniti (EU-US Data Privacy Framework), con una controversia che riguardava in particolare la valutazione del livello di protezione garantito dagli Stati Uniti ai dati personali trasferiti dall'UE, alla luce delle modifiche normative introdotte negli USA, che hanno rafforzato le garanzie sulla privacy e istituito la Data Protection Review Court (DPRC). Latombe ha contestato nello specifico l'indipendenza e l'imparzialità della DPRC, sostenendo che tale organismo sarebbe soggetto all'influenza del potere esecutivo statunitense. Inoltre, ha criticato la prassi delle agenzie di intelligence USA che raccolgono dati personali provenienti dall'UE su larga scala, senza autorizzazione preventiva da parte di un'autorità indipendente.

La Corte, esaminata la normativa e le garanzie offerte dal nuovo quadro transatlantico, ha tuttavia ritenuto:

• che la nomina e il funzionamento dei giudici della DPRC siano accompagnati da misure sufficienti a garantirne l'indipendenza, posto che  i giudici possono essere rimossi solo per giusta causa e sono tutelati da interferenze indebite da parte delle agenzie di intelligence;
• che comunque la Commissione Europea è tenuta a monitorare costantemente l'applicazione del framework e può intervenire qualora le condizioni negli Stati Uniti dovessero cambiare;
• che la giurisprudenza europea (Schrems II) non impone necessariamente un'autorizzazione preventiva da parte di un'autorità indipendente, ma richiede almeno un controllo successivo da parte di un organo giurisdizionale;
• che negli USA tale controllo è affidato alla DPRC, che garantisce una supervisione ex post sulle attività di intelligence.

Alla luce di queste considerazioni, la Corte ha respinto tutte le obiezioni sollevate da Latombe, confermando che, “al momento dell'adozione della decisione”, gli Stati Uniti offrivano un livello di protezione dei dati personali sostanzialmente equivalente a quello previsto dal diritto dell'Unione Europea. Il ricorso è stato quindi integralmente respinto. Visto l'inciso temporale, a parere di chi scrive, non si esclude, tuttavia, che in futuro la Corte possa esprimere un giudizio diverso, ove la situazione dovesse mutare e comportare un maggiore livello di rischio per la tutela dei dati personali.

I trasferimenti verso paesi terzi dopo la sentenza Schrems II

A seguito della sentenza Schrems II la maggior parte delle autorità di controllo nazionali si è limitata a prenderne atto, attendendo ulteriori indicazioni dagli organi comunitari. Occorre evidenziare invece la rigida interpretazione dell'autorità di controllo di Berlino, che nel comunicato stampa del 17 luglio 2020, ha invitato espressamente le agenzie di elaborazione dati di Berlino a trasferire in Europa i dati personali memorizzati negli USA. Visti gli ampi diritti di accesso delle autorità pubbliche statunitensi ai dati, che vanno al di là di quanto consentito dal diritto europeo, le clausole contrattuali standard non sarebbero più sufficienti per consentire l'esportazione dei dati. Addirittura il comunicato in oggetto indica che i titolari del trasferimento di dati personali negli USA “soprattutto quando si utilizzano servizi cloud” sono tenuti “a passare immediatamente ai fornitori di servizi nell'Unione Europea o in un paese con un livello di protezione adeguato. Viene inoltre evidenziato che sarà necessario “verificare se esistono problemi simili o addirittura maggiori in altri paesi come la Cina, la Russia o l'India”.

Il Comitato Europeo per la protezione dei dati non si è fatto attendere e ha provveduto a fornire i primi chiarimenti in data 23 luglio 2020 con il documento relativo alle domande frequenti sulla sentenza della Corte di giustizia dell'Unione europea nella causa C-311/18. In primo luogo ha chiarito come, a seguito della sentenza Schrems II non sia previsto alcun “periodo di grazia”: la normativa statunitense non garantisce un livello di tutela adeguato a quanto richiesto dall'Unione Europea e pertanto i trasferimenti sulla base del Privacy Shield sono illegali. È dunque necessario valutare una diversa base giuridica per il trasferimento. Peraltro, il Comitato sottolinea come la sentenza non abbia implicazioni solo sul Privacy Shield, ma anche sugli altri strumenti di trasferimento. Infatti il livello di protezione richiesto dalla Corte, e la soglia da questa fissata, si applica a tutti gli strumenti dell'articolo 46 e nei confronti di qualsiasi paese terzo (non solo gli USA).

La possibilità di trasferire i dati dipenderà quindi dalla valutazione fatta caso per caso dal titolare/responsabile del trattamento che intenda trasferirli: se, analizzate le circostanze del trasferimento, il livello di protezione offerto nel paese terzo, le garanzie offerte dalle clausole contrattuali tipo (o dall'altro strumento eventualmente scelto) e le misure supplementari risulta che sussistono adeguate garanzie, allora si potrà procedere. Qualora invece all'esito dell'analisi risulti che il livello di protezione non è equivalente a quello dell'Unione Europea, allora bisognerà sospendere il trasferimento (o, in alternativa, informare l'autorità competente). Il Board ha anche fornito indicazioni relativamente ai rapporti con i responsabili del trattamento consigliando quanto segue: nel contratto ai sensi dell'art. 28 GDPR deve essere stabilito se sono o meno consentiti i trasferimenti verso gli USA o verso paesi terzi (considerando che anche un accesso da un paese terzo a fini amministrativi costituisce un trasferimento); deve essere prevista un'autorizzazione affinché il responsabile possa affidare il servizio a sub-responsabili in paesi terzi (considerando che nei servizi informatici la manutenzione o la conservazione possono implicare tale trasferimento); se il contratto prevede che il responsabile possa trasferire i dati verso gli USA o un paese terzo, è necessario valutare e eventualmente prevedere misure supplementari; se non è possibile adottare misure supplementari, l'unica soluzione è negoziare una modifica contrattuale e vietare il trasferimento di dati verso gli USA; se è prevista la possibilità di trasferire i dati ad altro paese, è necessario valutare il livello di protezione di quel paese e, se non adeguato, fare in modo che le attività di trattamento siano svolte all'interno del SEE.

Infine, occorre sottolineare che, per quanto il Comitato confermi che la valutazione della legislazione del paese di destinazione spetta in primis all'esportatore (se del caso di concerto con l'importatore), invita comunque anche le autorità (nel momento in cui svolgano il ruolo fondamentale di adottare decisioni in materia di trasferimenti verso paesi terzi) ad adottare decisioni convergenti e approcci coerenti.

Allo scopo di aiutare gli esportatori di dati (sia i titolari che i responsabili del trattamento) nella valutazione dei Paesi terzi e nell'individuazione di adeguate misure supplementari, il Comitato Europeo ha successivamente elaborato le Raccomandazioni 01/2020, delineando sei passi da seguire, indicando alcune potenziali fonti di informazione su cui basarsi e fornendo alcuni esempi di misure supplementari che i titolari e responsabili del trattamento possono attuare.

In primo luogo, è necessario mappare tutti i trasferimenti di dati personali verso Paesi terzi, a partire dal registro dei trattamenti redatto ai sensi dell'art. 30 GDPR e delle informazioni fornite agli interessati ai sensi degli artt. 13 e 14. In particolare, è necessario tenere in considerazione anche i trasferimenti successivi, ad esempio nel caso in cui il responsabile situato al di fuori dell'Unione trasferisca a sua volta i dati ad un sub-responsabile in un altro o nello stesso paese. Le raccomandazioni sottolineano che l'accesso remoto da un paese terzo per fornire supporto tecnico oppure lo storage dei dati in cloud situati al di fori dell'Unione Europea costituiscono un trasferimento di dati personali. In particolare, se si utilizza un'infrastruttura cloud internazionale, è necessario valutare se i dati saranno trasferiti in Paesi terzi e dove, a meno che il fornitore del servizio cloud non dichiari specificamente nel suo contratto che i dati non saranno elaborati in Paesi terzi (cfr. EDPB, 1/2020, punti 8-13).

In secondo luogo, occorre identificare gli strumenti di trasferimento su cui si fa affidamento: per i trasferimenti verso Paesi che non hanno ottenuto una decisione di adeguatezza, si deve fare affidamento su uno degli strumenti di trasferimento di cui all'art. 46 GDPR, quando il trasferimento è regolare e ripetitivo; per i trasferimenti non ripetitivi e solo occasionali, ricorrendone i presupposti è possibile invocare una deroga ai sensi dell'art. 49 GDPR; per i trasferimenti verso Paesi che hanno ricevuto una decisione di adeguatezza ancora in vigore, non è necessario adottare ulteriori misure (cfr. EDPB, 1/2020, punti 14-27).

Il terzo passaggio previsto è quello di valutare se lo strumento di trasferimento ai sensi dell'art. 46, e su cui ci si basa, è efficace alla luce di tutte le circostanze del trasferimento: si tratta in particolare di valutare se qualcosa nella legge o nella prassi del Paese terzo può influenzare l'efficacia delle garanzie appropriate dello strumento di trasferimento su cui si fa affidamento. Tale valutazione dovrebbe concentrarsi sulla legislazione del Paese terzo applicabile al trasferimento, la quale può avere un impatto negativo sul livello di protezione dello strumento su cui si basa il trasferimento ex art. 46 GDPR. Ove appropriato sarà l'importatore a fornire le fonti di informazione rilevanti relative al paese dove è stabilito e alle leggi applicabili al trasferimento, ma il Comitato stesso fornisce un elenco non esaustivo di fonti di informazione nell'Allegato 3 delle raccomandazioni. Inoltre, evidenzia come la valutazione debba tenere in conto le circostanze del trasferimento quali le finalità del trattamento, il tipo di entità coinvolte (pubbliche o private), il settore interessato (es. telecomunicazioni, finanziario ecc.), le categorie di dati trasferiti (es. se sono trattati dati di minori, soggetti a legislazione specifica), la circostanza che i dati siano fisicamente conservati presso il paese terzo oppure vi sia solo un accesso da remoto a dati conservati in Europa; il formato dei dati (es. se sono pseudonimizzati), la possibilità che i dati siano oggetto di trasferimenti successivi. La valutazione dovrebbe essere effettuata con la dovuta diligenza, in quanto i titolari del trattamento e i responsabili del trattamento saranno ritenuti responsabili delle decisioni prese sulla base di tale valutazione. Le raccomandazioni precisano inoltre che, in assenza di una legislazione che disciplini le circostanze in cui le autorità pubbliche possano accedere ai dati personali, se si desidera ancora procedere con il trasferimento, è necessario esaminare altri fattori pertinenti e oggettivi, e non è possibile basarsi su fattori soggettivi come la probabilità che le autorità pubbliche accedano dati in modo non conforme agli standard dell'UE (cfr. EDPB, 1/2020, punti 28-38).

Per valutare la legislazione del Paese terzo in relazione all'accesso ai dati da parte delle autorità pubbliche a fini di sorveglianza, il Comitato rimanda alle raccomandazioni 02/2020, sulle garanzie essenziali europee per le misure di sorveglianza. In tali raccomandazioni sono indicati gli elementi da valutare per determinare se il quadro legislativo relativo all'accesso ai dati da parte delle autorità pubbliche nel paese terzo possa rappresentare un'interferenza giustificabile (e quindi che non ha impatto sulla validità degli impegni assunti con gli strumenti dell'art. 46 GDPR) o meno. In particolare, il Comitato, sulla base della giurisprudenza della Corte di Giustizia relativa agli artt. 7, 8, 47 e 52 della Carta dei diritti fondamentali, individua quattro “garanzie essenziali europee”, che costituiscono i “pilastri” necessari al fine di poter valutare che le limitazioni alla tutela dei dati personali e alla riservatezza siano giustificabili: il trattamento deve basarsi su norme chiare, precise e accessibili; devono essere dimostrate la necessità e proporzionalità rispetto agli obiettivi legittimi perseguiti; deve essere previsto un meccanismo di controllo indipendente; devono essere previsti mezzi di ricorso effettivi per l'individuo. Tali elementi dovranno essere valutati con particolare attenzione ove la legislazione del paese di destinazione sia ambigua o non disponibile (cfr. EDPB, 2/2020 punto 23; 1/2020 punto 39).

Fondamentale è inoltre il quarto step, ovvero l'adozione di misure supplementari, che devono essere determinate caso per caso al fine di garantire un livello di protezione dei dati trasferiti sostanzialmente equivalente a quello dell'UE. La valutazione delle potenziali misure supplementari deve essere documentata e va effettuata con la dovuta diligenza. Esempi pertinenti di misure supplementari si trovano nell'allegato 2 delle Raccomandazioni 01/2020, che distinguono tra misure tecniche, contrattuali e organizzative. Quanto alle prime, vengono suggerite soluzioni quali la crittografia (nei casi di back up dei dati o di servizi che non richiedano l'accesso in chiaro); la pseudonimizzazione; la crittografia in transito (ove il paese terzo sia solo “di passaggio” verso una destinazione “adeguata” ai sensi dell'art. 45; la trasmissione verso un soggetto protetto dalla legislazione del paese terzo (es. nel caso di privilegio legale o di segreto professionale medico); la suddivisione dei dati tra soggetti diversi e localizzati in diverse giurisdizioni, in modo che nessuno di loro sia in grado di ricostruire le informazioni. Tuttavia, le raccomandazioni rappresentano anche alcuni scenari in cui non è possibile individuare misure effettive: ad esempio nel caso di trasferimento dei dati a cloud provider o altri responsabili che necessitino l'accesso ai dati in chiaro per rendere il servizio, oppure il caso di accesso da remoto per motivi di business (ad esempio nei gruppi societari). Quanto alle misure contrattuali, occorre in primo luogo evidenziare il passaggio di cui al punto 48 delle raccomandazioni: le misure contrattuali e organizzative da sole non saranno generalmente sufficienti a impedire l'accesso ai dati da parte delle pubbliche autorità nel paese terzo, mentre le misure tecniche, in alcuni casi, saranno in grado di rendere inefficace l'accesso da parte delle autorità pubbliche (e le misure contrattuali/organizzative potranno in tal caso rafforzare il livello generale di tutela). Nell'allegato è fornito anche un elenco di clausole contrattuali aggiuntive, ad esempio clausole che obbligano l'importatore ad adottare specifiche misure tecniche, che gli impongono obblighi di trasparenza, che facilitano l'esercizio dei diritti degli interessati. Infine, quanto alle misure organizzative, vengono in considerazione le procedure interne per la gestione dei trasferimenti nei gruppi di imprese, le misure volte a garantire la trasparenza, la minimizzazione e la responsabilizzazione; l'adozione di standard e best practices.

Come quinta fase, devono essere attuate le procedure per l'adozione delle misure supplementari efficaci che siano state identificate: le misure possono essere di natura legale-contrattuale, tecnica od organizzativa. Per alcune di esse potrebbe anche essere necessario consultare le autorità di controllo locali (cfr. EDPB, 1/2020 punti 55-61).

Infine, l'ultimo passo consiste nel revisionare le misure a intervalli appropriati (tramite lo svolgimento di audit, anche di seconda parte) al fine di rivalutare il livello di protezione dei dati trasferiti verso Paesi terzi e controllare se vi siano stati o vi saranno sviluppi che possano influenzarli (cfr. EDPB, 1/2020 punti 62-63).

Alla luce delle modifiche intervenute, è evidente come, in assenza di una decisione di adeguatezza, non sia più sufficiente basarsi su altro meccanismo dell'art. 46 GDPR. Ogni trasferimento dovrà infatti essere valutato, misurato e soppesato con attenzione dall'esportatore, che dovrà “cucire” per ogni trasferimento il “vestito” di tutele su misura per il caso concreto.

In conclusione, vale la pena notare come il sistema delineato dal GDPR per i trasferimenti di dati verso paesi terzi, unitamente alle tutele previste dall'EDPB in conseguenza della sentenza Schrems II, appaia ben più restrittivo e rigido rispetto a quello in precedenza delineato dalla direttiva 95/46 su questo tema. Infatti l'art. 25 paragrafo 2 della direttiva prevedeva che l'adeguatezza del livello di protezione garantito un paese terzo fosse valutata, dalla Commissione Europea, “con riguardo a tutte le circostanze relative ad un trasferimento o ad una categoria di trasferimenti di dati” e che fossero presi in considerazione, in particolare, la natura dei dati e le finalità del o dei trattamenti previsti, oltre che ii paese d'origine e il paese di destinazione finale, le norme di diritto, generali o settoriali, vigenti nel paese terzo nonché le regole professionali e le misure di sicurezza ivi osservate. La direttiva quindi, che adottava in generale un approccio tendenzialmente prescrittivo, nello specifico campo dei trasferimenti di dati verso paesi terzi si apriva invece ad un approccio “risk based”, che imponeva di distinguere i casi anche a seconda della natura dei dati trattati e delle specifiche circostanze. Appare dunque singolare che tale approccio sia stato abbandonato proprio a seguito dell'entrata in vigore del GDPR, il quale, in modo speculare alla direttiva, adotta invece un approccio basato sulla valutazione del rischio nella totalità dei casi, tranne che per la specifica ipotesi dei trasferimenti verso paesi terzi, ove responsabilizzazione e “ risk based approach ” sembrano essere stati dimenticati a favore di un rigido atteggiamento prescrittivo. Al momento infatti, almeno in apparenza, sembra non debbano rientrare nelle valutazioni dei titolari considerazioni relative al tipo di dati trattati, al volume degli stessi o alle finalità del trattamento, con la paradossale conseguenza di dover attuare misure di tutela aggiuntive (con dispendio di risorse e energie) o addirittura di dover bloccare i trasferimenti, tanto nel caso di trattamenti di grandi quantità di dati particolari (si immagini, ad esempio, una piattaforma per la gestione di dati attinenti alla salute) quanto nel caso di trattamenti di una esigua quantità di dati comuni (ad esempio, si pensi al caso di un software per la gestione degli organigrammi, che contenga ed elabori unicamente dati professionali o aziendali) Sul punto, si auspica un intervento interpretativo ulteriore da parte dell'EDPB o una applicazione della disciplina delle autorità nazionali in chiave di flessibilità e di valutazione dei rischi: la chiave per salvare il “risk based approach” anche nelle valutazioni di adeguatezza dei paesi di destinazione, oltre che nell'identificazione di eventuali misure di salvaguardia addizionali a quelle previste negli artt. 46-48 GDPR, potrebbe rintracciarsi nell'art. 44 che fa da cappello logico a tutto il Capo V, laddove fa “salve le altre disposizioni del presente regolamento”. Come a dire che, pur nel silenzio degli articoli seguenti, l'interpretazione e l'applicazione ragionevoli della disciplina sul trasferimento dei dati extra-SEE non potranno non considerare i rischi effettivamente implicati dall'esportazione delle informazioni e, pertanto, dovrà tenere in debito conto le caratteristiche fattuali del trattamento (natura dei dati personali e altre circostanze rilevanti).

In tal senso, si segnala che la prima decisione sul tema, emessa dall'autorità bavarese nel marzo 2021, ha ritenuto di non applicare alcuna sanzione, pur riconoscendo l'illegittimità di un trasferimento d dati verso gli Sati Uniti basato esclusivamente su Standard Contractual Clauses e in assenza di misure di tutela aggiuntive (cfr. comunicato EDPB al link https://edpb.europa.eu/news/national-news/2021/bavarian-dpa-baylda-calls-german-company-cease-use-mailchimp-tool_en) Il caso riguardava l'invio di campagne pubblicitarie tramite newsletter mediante servizio fornito dalla società americana Mailchimp. Il Garante bavarese ha confermato l'illegittimità del trasferimento confermando che a seguito della sentenza Scherms II è comunque necessaria l'adozione di misure ulteriori per il trasferimento. Tuttavia, non ha ritenuto necessario adottare misure sanzionatorie in quanto è stata valorizzata l'argomentazione sollevata dalla società in questione, ovvero il carattere non definitivo delle raccomandazioni 1/2020 dell'EDPB (che non potevano quindi essere prese come punto di riferimento). Inoltre, è stato dato rilievo al fatto che nel caso di specie si trattasse di pochi dati e di soli due invii di newsletter, e che si fosse tempestivamente interrotto il trattamento. Ben più impattante la decisione del Garante irlandese adottata in data 12 maggio 2023 nei confronti di Meta Ireland per i trasferimenti di dati relativi al social network Facebook. Come comunicato dal Data Protection Commissioner (DPC) irlandese, la decisione ha rilevato che Meta Ireland ha violato l'articolo 46, paragrafo 1, del GDPR quando ha continuato a trasferire dati personali dall'UE/SEE agli Stati Uniti in seguito alla pronuncia della sentenza Schrems II della CGUE. Sebbene Meta Ireland abbia effettuato tali trasferimenti sulla base delle clausole contrattuali standard (“SCC”) aggiornate che sono state adottate dalla Commissione europea nel 2021 in combinazione con ulteriori misure supplementari implementate da Meta Ireland, il DPC ha rilevato che tali accordi non indirizzavano a sufficienza i rischi per i diritti e le libertà fondamentali degli interessati, già individuati dalla CGUE nella sua sentenza. L'inchiesta è stata inizialmente avviata nell'agosto 2020 ed è stata successivamente sospesa dall'ordinanza della High Court of Ireland, in attesa della risoluzione di una serie di procedimenti legali, fino al 20 maggio 2021. A seguito di un'indagine approfondita, il DPC ha preparato un progetto di decisione datato 6 luglio 2022. In particolare, ha rilevato che: 1. i trasferimenti di dati in questione sono stati effettuati in violazione dell'articolo 46, paragrafo 1, del GDPR; 2. in tali circostanze, i trasferimenti di dati dovrebbero essere sospesi. Nell'ambito di una procedura di cooperazione imposta dal GDPR (articolo 60), il progetto di decisione preparato dal DPC è stato presentato alle altre autorità di protezione dei dati nell'UE/SEE (Concerned Supervisory Authorities, “CSA”). La natura del trattamento oggetto dell'istruttoria era tale che tutte le altre Autorità di controllo UE/SEE sono state impegnate come CSA ai fini della procedura di cooperazione. Sulla questione della non conformità di Meta Ireland al GDPR e sulla proposta del DPC di emettere un ordine per sospendere i trasferimenti di dati, i CSA hanno concordato con la decisione del DPC. Un piccolo numero (4) dei 47 CSA ha sollevato obiezioni in relazione al potere correttivo che il DPC si proponeva di esercitare attraverso la bozza di decisione. All'interno di questo sottoinsieme di CSA, tutti e quattro i CSA hanno ritenuto che Meta Ireland dovesse essere soggetta a una sanzione amministrativa pecuniaria per l'infrazione accertata. Due di tali CSA hanno inoltre ritenuto che si dovesse ordinare a Meta Ireland di agire per trattare i dati personali che erano già stati illecitamente trasferiti negli Stati Uniti, vale a dire i dati trasferiti dal luglio 2020 ad oggi. Il DPC non era d'accordo, riflettendo la sua opinione secondo cui l'esercizio di ulteriori poteri correttivi, oltre all'ordine di sospensione proposto, avrebbe superato la portata dei poteri che dovevano essere “appropriati, proporzionati e necessari” per affrontare la violazione dell'articolo 46, paragrafo 1 GDPR. A seguito di un processo di consultazione informale, è emerso chiaramente che non era possibile raggiungere un consenso. Il DPC ha allora deferito le obiezioni al Comitato europeo per la protezione dei dati (“EDPB”) per la determinazione ai sensi del meccanismo di risoluzione delle controversie dell'articolo 65 GDPR. L'EDPB ha adottato la sua decisione il 13 aprile 2023. Coerentemente con i suoi obblighi di adottare la sua decisione finale “sulla base” della decisione dell'EDPB, la decisione del DPC del 12 maggio 2023 registra l'esercizio dei seguenti poteri correttivi da parte del DPC:

- un ordine, emesso ai sensi dell'articolo 58, paragrafo 2, lettera j) del GDPR, che richiede a Meta Ireland di sospendere qualsiasi futuro trasferimento di dati personali negli Stati Uniti entro il termine di cinque mesi dalla data di notifica della decisione del DPC a Meta Ireland;

- una sanzione amministrativa dell'importo di 1,2 miliardi di euro (riflettendo la determinazione dell'EDPB che dovrebbe essere irrogata una sanzione amministrativa, per punire la violazione accertata. Il DPC ha determinato l'importo della sanzione da irrogare facendo riferimento a valutazioni e determinazioni che sono state incluse nella decisione dell'EDPB);

- un ordine, emesso ai sensi dell'articolo 58, paragrafo 2, lettera d), del GDPR, che impone a Meta Ireland di conformare le proprie operazioni di trattamento al Capo V del GDPR, cessando il trattamento illecito, inclusa la memorizzazione negli Stati Uniti di dati personali dell'UE /SEE trasferiti in violazione del GDPR, entro 6 mesi dalla data di notifica della decisione del DPC a Meta Ireland.

Il nuovo Data Privacy Framework USA-UE

Si rinvia alla Sezione Speciale del presente volume, a firma di Luigi Montuori, per l'approfondimento relativo al nuovo accordo USA-UE denominato Data Privacy Framework, e alla relativa Decisione di Adeguatezza della Commissione Europea, adottata in data 10 luglio 2023 (cfr. https://commission.europa.eu/system/files/2023-07/Adequacy%20decision%20EU-US%20Data%20Privacy%20Framework_en.pdf).