Lo scorso 16 luglio 2020, la Corte di Giustizia dell’Unione Europea (“CGUE” o “Corte”) con la sentenza “Data Protection Commisioner v Facebook Ireland Limited, Maximilian Schrems C-311/18”, ha dichiarato invalida la Decisione n. 2016/1250 e, di conseguenza, l’accordo siglato tra l’Unione Europea e gli Stati Uniti d’America avente l’obiettivo di tutelare e disciplinare il trasferimento dei dati personali dei cittadini europei verso soggetti destinatari allocati nel territorio americano (“Privacy Shield”)“.
Sul punto il Comitato Europeo per la Protezione dei Dati (“European Data Protection Board” o “EDPB”) ha predisposto delle “Frequently Asked Questions” (“FAQ”) che l’Autorità Garante per la protezione dei dati personali (il “Garante”) ha provveduto a tradurre nella lingua italiana.
Con esse si sottolinea espressamente che possono essere ancora considerati strumenti adeguati a rendere legittimo il trasferimento dei dati personali verso destinatari stabiliti al di fuori del territorio dell’Unione Europea gli altri strumenti previsti dal Regolamento UE 2016/679 in materia di protezione dei dati personali (“Regolamento”), citando le Clausole Contrattuali Standard (“Standard Contractual Clauses” o “SCC”) e le Norme Vincolanti d’Impresa (“Binding Corporate Rules” o “BCR”). Viene evidenziato, inoltre, che è responsabilità delle parti valutare caso per caso i trasferimenti effettuati con la precisazione che: “Al momento il Comitato europeo per la protezione dei dati sta analizzando la sentenza della Corte per stabilire quali misure supplementari potrebbero essere fornite in aggiunta alle SCC o alle BCR, siano esse misure giuridiche, tecniche o organizzative, per trasferire dati verso paesi terzi in cui le SCC o le BCR non potranno assicurare isolatamente un livello sufficiente di garanzie”.
Ciò detto, le FAQ richiamano un ulteriore strumento quale base giuridica che legittima tali trasferimenti, ossia il consenso degli interessati. In particolare, si ribadisce che il linguaggio del consenso deve essere semplice e chiaro e deve informare in modo trasparente gli interessati sui possibili rischi che un trasferimento verso gli Stati Uniti, o comunque altre giurisdizioni estere, potrebbe comportare.
Per completezza di esposizione, si segnala che ulteriori strumenti previsti dal Regolamento quali basi giuridiche atte a legittimare i trasferimenti all’estero sono: (i) la presenza di una decisione di adeguatezza ai requisiti europei in materia di protezione dei dati personali e (ii) l’adesione a specifici Codici di condotta o, comunque, a meccanismi di certificazione i quali devono essere contestualmente applicati dal soggetto a cui i dati vengono trasferiti.
◊◊◊◊
In ogni caso, alla luce di quanto espresso dalla Corte con la sentenza in esame nonché dalle FAQ dell’EDPB, sarà compito di ciascuna organizzazione che effettua trasferimenti di dati verso destinatari stabiliti fuori dal territorio dell’Unione effettuare specifiche valutazioni dei trattamenti nonché dei rischi relativi individuando di volta in volta lo strumento adeguato a legittimazione del trasferimento svolto.
Altri Insights correlati:
Privacy Shield: la Corte di Giustizia Europea invalida l’Accordo UE – USA
