Dichiarato invalido l’accordo “Privacy Shield” per il trasferimento dei dati personali dalla UE agli USA

di lettura

La decisione della Corte di Giustizia del 17 luglio 2020 è destinata ad avere pesanti ripercussioni sia politiche, nei rapporti UE/USA, che pratiche, per i provider USA e le aziende italiane.

Image

Il Privacy Shield è un accordo tra la Commissione europea e il Segretario al Commercio USA che consentiva la comunicazione del dato del soggetto residente in Europa verso le aziende statunitensi aderenti a tale accordo.

Il Privacy Shield è nato a seguito dell’annullamento del precedente accordo Safe Harbour, verificatosi a seguito di una sentenza della Corte di Giustizia europea nel 2015.

La decisione

Ai sensi del regolamento generale sulla protezione dei dati (di seguito “RGDP”) il trasferimento dei dati verso un Paese posto al di fuori dell’UE può avvenire, in linea di principio, solo se il Paese terzo considerato garantisce un adeguato livello di protezione.

Secondo tale regolamento, la Commissione può constatare che, grazie alla sua legislazione nazionale o a impegni internazionali, un Paese terzo assicura un livello di protezione adeguato (la decisione 206/1250, oggetto di annullamento, riguarda proprio l’export di dati in USA).

In mancanza di una decisione di adeguatezza, un trasferimento può essere effettuato solo se l’esportatore dei dati personali, stabilito nell’Unione, preveda garanzie adeguate, le quali possono risultare, in particolare, da clausole contrattuali tipo adottate dalla Commissione (decisione 2010/87) e se gli interessati dispongono di diritti azionabili e di mezzi di ricorso effettivi.

In mancanza di una decisione di adeguatezza o di garanzie adeguate, il RGDP stabilisce, in via ultimativa, a quali condizioni possa avvenire un trasferimento siffatto.

Il livello di protezione richiesto nell’ambito di un trasferimento extra UE è sostanzialmente equivalente a quello garantito all’interno dell’Unione dal RGPD, letto alla luce della Carta dei diritti fondamentali dell’UE.

La valutazione del livello di protezione riguarda:

  • sia quanto stipulato contrattualmente tra le parti (esportatore dei dati stabilito nell’Unione e il destinatario del trasferimento stabilito nel Paese terzo)
  • sia l’eventuale accesso da parte delle pubbliche autorità di tale Paese terzo ai dati così trasferiti, oltre agli elementi pertinenti del sistema giuridico del paese di approdo dei dati.

Nello specifico, la normativa che disciplina i programmi di sorveglianza USA non minimizza il trattamento dei dati dei residenti in UE, anzi dall’analisi della stessa non emerge in alcun modo l’esistenza di limiti all’autorizzazione dell’attuazione di tali programmi e neppure l’esistenza di garanzie per gli stranieri che possono esserne potenzialmente oggetto.

La Corte aggiunge che la normativa non conferisce agli interessati diritti nei confronti delle autorità statunitensi azionabili dinanzi ai giudici e anzi, in caso di controversie, è previsto il ricorso a un meditatore che non offre garanzie di imparzialità.

Per tutte queste ragioni la Corte ha dichiarato invalida la decisione 2016/1250 sull’accordo Privacy Shield.

La Corte ha dichiarato inoltre che, in assenza di una decisione di adeguatezza validamente adottata dalla Commissione, il Garante Privacy è tenuto a sospendere o vietare un trasferimento di dati personali verso un Paese terzo quando ritenga, alla luce delle circostanze proprie di tale trasferimento, che non sussistano i presupposti di cui sopra.

La Corte ha giudicato invece valida la decisione 2010/87 relativa alle clausole contrattuali tipo per il trasferimento di dati personali a soggetti stabiliti in Paesi terzi. Certo è che le motivazioni dell’annullamento del Privacy Shield avranno effetti anche sulle clausole contrattuali standard, a parità di condizioni.

Quindi i provider USA che sino ad oggi hanno utilizzato la base giuridica del Privacy Shield per il trasferimento dati dall’UE agli USA dovranno adottare una diversa soluzione, come ad esempio le clausole contrattuali standard.

L’azienda italiana, in qualità di esportatore del dato, e il Garante Privacy,  dovranno effettuare una valutazione complessa in merito all’adeguatezza delle garanzie offerte dal soggetto che importa i dati e dalla normativa vigente in tale paese, con i conseguenti profili di responsabilità.

Implicazioni pratiche sulle attività aziendali

  • La decisione 2016/1250 non riguarda i trasferimenti di dati necessari verso gli USA (ad es. invio di e-mail a un soggetto in USA, prenotazione viaggio in USA)
  • Quando si esternalizza in USA, per motivi di convenienza anche se tecnicamente i dati potrebbero essere memorizzati all'interno dell'UE/SEE, non esiste una deroga generale (ai sensi dell'articolo 49 del GDPR) per il trasferimento di dati verso gli Stati Uniti, ma deve essere utilizzato uno strumento legale alternativo come le clausole contrattuali standard o le norme vincolanti di impresa. A seguito della decisione in commento il Privacy Shield non è più utilizzabile. Di conseguenza, le aziende interessate dovranno eliminare, dalle loro informative privacy, qualsiasi riferimento al Privacy Shield, rivedere i flussi di dati e le nomine ai vari responsabili.
  • Le aziende possono continuare a utilizzare provider USA? Al momento la risposta appare negativa, poiché tutti i principali provider sono sottoposti alla potenziale sorveglianza del governo USA.
  • Le aziende possono continuare a utilizzare provider USA con sedi in UE? In questi casi, le società europee hanno la responsabilità di garantire che i flussi di dati personali "interni al Gruppo" verso gli USA siano conformi al RGDP. Le aziende dovranno ora esaminare attentamente tutti questi flussi di dati e stabilire se conservare i dati in Europa o in qualsiasi altro paese che garantisca una migliore protezione della privacy, invece di essere trasferiti negli Stati Uniti e, quindi, essere oggetto di una potenziale sorveglianza governativa.

Impatto sui diritti dei consumatori

  • Gli utenti sono liberi di inviare consapevolmente i propri dati personali direttamente a un paese terzo, ad esempio quando utilizzano un sito web cinese o USA. Tuttavia, non è possibile condividere direttamente i dati di altre persone (ad es. amici, colleghi) con un fornitore statunitense, a meno che non si sia ottenuto il loro consenso libero, specifico, informato ed inequivocabile.

Andrea Antognini

Contrattualistica
Franchising internazionale "immateriale": strategia digitale per le partnership commerciali
Franchising internazionale "immateriale": strategia digitale per le partnership commerciali
Progettare il piano di internazionalizzazione dell’insegna significa rendere performante il modello di business non solo per la singola unità di vendita, ma forse ancora di più per il partner commerciale, che avrà la responsabilità di avviarne alcune e/o di sviluppare il nuovo mercato.
Giurisprudenza inglese in tema liquidated damages: questioni ricorrenti e nuove criticità
Giurisprudenza inglese in tema liquidated damages: questioni ricorrenti e nuove criticità
Il tema dei liquidated damages nei contratti internazionali continua a essere oggetto di accesi contenziosi e decisioni rilevanti rese dalle corti inglesi e in altri sistemi di common law.
Supply chain e obblighi di due diligence: nuova proposta di direttiva in materia di sostenibilità
Supply chain e obblighi di due diligence: nuova proposta di direttiva in materia di sostenibilità
Il 23 febbraio 2022 è stata pubblicata la proposta di Direttiva UE relativa al dovere di diligenza delle imprese in materia di sostenibilità.
Arabia Saudita: agenzia commerciale, distribuzione e franchising
Arabia Saudita: agenzia commerciale, distribuzione e franchising
Un'azienda straniera non ha bisogno di creare una presenza stabile in Arabia Saudita allorché le sue merci sono importate per la vendita o la rivendita attraverso un distributore, un agente commerciale, o a seguito di un contratto di franchising.
Contratto con mezzi elettronici: attenzione alla terminologia da adottare sul pulsante di inoltro dell’ordine
Contratto con mezzi elettronici: attenzione alla terminologia da adottare sul pulsante di inoltro dell’ordine
La Corte di Giustizia dell’Unione Europea, con sentenza del 7 aprile 2022 nella causa C-249/21, si è espressa circa l’importanza dell’espressione da utilizzare sui pulsanti di inoltro degli ordini, quando il contratto è concluso con mezzi elettronici dal consumatore.
Imposizione  unilaterale di aumenti di prezzo e ritardi nelle consegne dei fornitori: rinegoziare le clausole contrattuali
Imposizione unilaterale di aumenti di prezzo e ritardi nelle consegne dei fornitori: rinegoziare le clausole contrattuali
Le problematiche concernenti i ritardi nelle consegne da parte dei fornitori italiani o esteri determina, a cascata, problemi per le aziende che non riescono ad assemblare i propri impianti e a consegnare in base a contratti già stipulati, determinando problematiche che possono sfociare nell’applicazione di penali o nella risoluzione del contratto di vendita col cliente finale.
Nuovo Regolamento sulle intese verticali: cosa cambia per l’e-commerce?
Nuovo Regolamento sulle intese verticali: cosa cambia per l’e-commerce?
Il 10 maggio 2022 la Commissione europea ha adottato il nuovo Regolamento sulle intese verticali n. 2022/720 che sostituisce il Regolamento 2010/330 e le nuove Linee Guida sulle restrizioni verticali.
Limiti alla responsabilità del venditore nella vendita internazionale
Limiti alla responsabilità del venditore nella vendita internazionale
La vendita internazionale di beni mobili tra professionisti è regolata dalla Convenzione delle Nazioni Unite sulla vendita internazionale di beni mobili, adottata a Vienna nel 1980 (Convenzione di Vienna).
Digital Services Act: proposta di Regolamento EU sui servizi digitali
Digital Services Act: proposta di Regolamento EU sui servizi digitali
Il 23 aprile il parlamento Europeo e il Consiglio d’Europa hanno raggiunto un accordo sul testo della proposta di Regolamento UE sui servizi digitali, il Digital Services Act (DSA).
Pratiche commerciali sleali nella filiera agricola e alimentare
Pratiche commerciali sleali nella filiera agricola e alimentare
Con D.lgs. dell’8 novembre 2021 n. 198 è stata data attuazione in Italia alla direttiva UE 2019/633 del 17 aprile 2019 in materia di pratiche commerciali sleali nei rapporti tra imprese nella filiera agricola e alimentare, che ha abrogato l’art.