Una barriera UE a difesa della privacy
Più di sei mesi dopo la sentenza “bomba” della Corte di Giustizia dell’Unione Europea (CGUE) del 16 luglio 2020 (la sentenza “Schrems II”, dal nome dell’avvocato austriaco che ha promosso questa (seconda) causa contro Facebook), che ha sancito l’invalidità del regime di trasferimento dei dati personali tra l’Unione Europea e gli Stati Uniti, il cosiddetto Privacy Shield, vi è ancora molta incertezza relativa al trasferimento di dati personali al di fuori dello Spazio Economico Europeo (SEE).
L’incertezza deriva soprattutto dal fatto che nella sentenza Schrems II la Corte si è pronunciata anche in relazione alle Clausole Contrattuali Standard (CCS) adottate dalla Commissione Europea, che costituiscono il “tool” principale utilizzato dagli operatori per legittimare il trasferimento di dati personali fuori See, ivi compreso negli Stati Uniti, vista l’invalidità del Privacy Shield. La Cgeu ha infatti specificato che, pur essendo valide, le Ccs non sono di per sé sufficienti per garantire un livello adeguato di protezione dei dati personali conforme al Regolamento (UE)2016/679 (GDPR); pertanto, in assenza di una specifica decisione di adeguatezza della Commissione valida per il Paese terzo di destinazione, chi esporta dati personali fuori See utilizzando le Ccs ha anche l’obbligo di valutare se il livello di protezione richiesto dal Gdpr possa essere garantito nel Paese terzo, considerata la normativa vigente nel medesimo, con particolare riferimento alle attività di sorveglianza e controllo svolte dalle pubbliche autorità in nome della sicurezza nazionale.
Se da tale valutazione dovesse emergere che il livello di protezione richiesto dal Gdpr non è garantito, ad oggi, si realizzano due diversi scenari: l’importatore e l’esportatore implementano misure di garanzia e sicurezza supplementari rispetto a quelle previste dalle Ccs tali per cui viene raggiunto il livello di protezione dei dati richiesto dal Gdpr; in alternativa, i dati personali non possono essere lecitamente trasferiti verso il paese terzo.
È evidente come Schrems II abbia un impatto dirompente nei confronti non solo di Facebook, ma anche di tutte quelle realtà per cui il trasferimento di dati extra See è la base, forse imprescindibile, del business aziendale e del profitto.
La battaglia tra Facebook e le Autorità Garante irlandese e belga
A seguito di Schrems II, l’Autorità Garante (AG) irlandese ha avviato un’indagine sulle modalità di trasferimento dei dati adottate da Facebook, basate sulle Ccs, e, in agosto 2020, ha emesso nei suoi confronti un’ordinanza preliminare di sospensione del trasferimento dei dati dei cittadini dell’Unione europea negli Stati Uniti, in ottemperanza al Gdpr.
Facebook ha contestato l’ordinanza presso l’High Court irlandese per ottenerne l’annullamento, sostenendo, in particolare, che l’avvio delle indagini da parte dell’Ag irlandese e la successiva emissione dell’ordinanza stessa avrebbero violato il suo diritto a un equo processo.
Ad oggi, si attende ancora la pronuncia dei giudici irlandesi.
Nella sua qualità di Autorità Garante capofila, l’AG irlandese ha in corso un gran numero di indagini transfrontaliere, molte delle quali sono proprio relative a Facebook. In questo contesto, assume particolare interesse il recente parere dell’Avvocato Generale della Cgeu (non vincolante ma di grande autorevolezza) nell’ambito di una diversa controversia tra l’Ag belga e Facebook, secondo il quale, malgrado il principio per cui l’Ag capofila competente sia un one-stop-shop (tale principio stabilisce che le imprese, e in genere i titolari del trattamento, avranno a che fare con una sola Ag, quella del paese dove hanno la sede principale), le norme europee consentono all’Ag di uno Stato membro diverso dall’Ag capofila di agire dinanzi a un giudice di tale stato per violazioni relative al trattamento transfrontaliero di dati, purché siano rispettate le procedure del Gdpr. Così potrebbe aprirsi la porta anche per ulteriori iniziative contro Facebook ad opera di altre Ag europee, con possibili nuove conseguenze sulla legittimità del trasferimento di dati personali al di fuori del See in generale.
Le nuove Clausole Contrattuali Standard
Come già accennato, le Ccs rappresentano da anni il principale strumento utilizzato per garantire un adeguato livello di protezione dei dati personali trasferiti fuori See ma, dopo Schrems II, non sono più considerate sufficienti a tale scopo. In base alle considerazioni della Cgue in Schrems II, la Commissione Europea ha proposto per consultazione pubblica una nuova versione delle Ccs. Sul nuovo testo si sono espressi congiuntamente, in maniera piuttosto critica e proponendo diverse modifiche, lo European Data Protection Board (EDPB) e lo European Data Protection Supervisor (EDPS); si prevede per fine marzo l’adozione del testo definitivo della Commissione. L’Edpb ha, inoltre, pubblicato delle Raccomandazioni, specificando da un lato - ai fini della valutazione della normativa vigente nel Paese terzo destinatario dei dati personali da trasferire con riferimento alle attività di sorveglianza svolte dalle pubbliche Autorità - quali siano le Garanzie Essenziali Europee che la legge di tale Paese deve fornire e, dall’altro, alcune misure di sicurezza supplementari alle CCS da adottare allo scopo di rafforzare la protezione dei dati personali qualora le norme applicabili nel Paese di destinazione non fossero in grado di garantire il livello di protezione richiesto dal Gdpr.
La valutazione della normativa del Paese terzo alla luce delle Garanzie Essenziali Europee e la messa in atto di eventuali misure di sicurezza supplementari (eg. criptazione o pseudonimizzazione dei dati), oltre agli obblighi nuovi di informativa e trasparenza proposti a carico dell’importatore dei dati nel Paese terzo sono tutti elementi che rendono onerosi se non fortemente problematici i trasferimenti fuori SEE, non solo per Facebook, il quale spera, forse, nella risoluzione del problema a livello politico.
