Il contributo esamina l’impatto della sentenza della Corte di giustizia relativa al caso Schrems II sugli obblighi di compliance degli esportatori di dati personali che ricorrono allo strumento delle clausole contrattuali tipo per realizzare trasferimenti di dati personali al di fuori dello SEE. Sancita infatti l’invalidità della decisione di adeguatezza relativa al regime di trasferimento dei dati verso gli Stati Uniti (cd. Privacy Shield), proprio lo strumento delle clausole contrattuali tipo assume un ruolo centrale nella regolazione (o autoregolazione) dei trasferimenti internazionali di dati personali oltre-oceano. Dopo aver illustrato i principali aspetti del regime applicabile a tali trasferimenti, il contributo mette in luce i passaggi chiave del ragionamento della Corte relativi alla declaratoria di validità della decisione 2010/87/UE relativa alle clausole contrattuali tipo. Ne emerge che la Corte pare trasferire sugli operatori l’adempimento (già di competenza della Commissione) relativo alla valutazione del livello di tutela garantito dal sistema giuridico del paese di destinazione, sia pur limitatamente ai poteri pubblici di accesso ai dati conservati sul loro territorio. Se ciò appare conforme ad una lettura della normativa vigente orientata alla massima tutela dei diritti fondamentali degli interessati, e rafforza quindi il processo di “costituzionalizzazione” dei meccanismi di sorveglianza pubblica sugli individui, l’impatto della sentenza sulla competitività dell’industria europea resta da valutare. Nonostante le divergenze di impostazione al tema della sorveglianza pubblica sui dati personali tra UE e Stati Uniti, l’Autore auspica uno sforzo per restaurare la legalità generale dei trasferimenti di dati oltre-oceano, attraverso i rilevanti meccanismi di cooperazione internazionale. Ciò anche nell’ottica di porre le basi per una governance digitale condivisa a livello transatlantico, ispirata a valori comuni, anche in contrapposizione ad altri modelli di governance digitale, assai meno protettivi di tali valori, che rischiano di continuare a proliferare.
The contribution addresses the impact of the judgement of the Court of Justice in the Schrems II case on compliance obligations of exporters relying on the tool of standard contractual clauses in order to transfer personal data outside the EEA. Indeed, having the Court declared the invalidity of the adequacy decision relating to the transfer of personal data towards USA (Privacy Shield), the tool of standard contractual clauses gains a central role in the regulation (or self-regulation) of international transfer of personal data over the ocean. After illustrating the main aspects of the discipline applicable to such transfers, the contribution highlights the key-elements of the reasoning of the Court relating to the declaration of validity of the Decision 2010/87/UE on standard contractual clauses. It is pointed out that the Court seems to transfer on operators the duty (traditionally performed by the Commission) of assessing the adequacy of the legal system of the Country of destination, yet with limited reference to the powers of public authorities to access personal data stored on their territories. If this seems coherent with a construction of the applicable rules inspired to the maximum protection of human rights of interested individuals, and thus strengthens the process of “constitutionalization” of mass surveillance mechanisms, the impact of the judgment on competitivity of European industry remains uncertain. Despite the acknowledgement of divergent approaches to mass surveillance regulation in EU and USA, the Author advocates an effort to restore of the general legality of transatlantic data transfers through the relevant international cooperation mechanisms. The above also with a view to build the grounds of shared digital governance at transatlantic level, inspired to common values, also in contraposition to other models of digital governance, even less conforming to such values, which risk to continue to proliferate.
Keywords
GDPR – International Transfer of Personal Data – Schrems II – Model Contractual Clauses – Mass Surveillance – Human Rights – Digital Economy – Digital Governance
I. Introduzione - II. Il regime di trasferimento dei dati personali verso i paesi terzi e le organizzazioni internazionali in base al GDPR - III. In particolare, il trasferimento basato sulle clausole contrattuali tipo: natura e caratteristiche dello strumento - IV. La questione pregiudiziale di validità della decisione 87/2010 sulle clausole tipo - V. La decisione della Corte e il suo impatto sugli obblighi di compliance degli operatori - VI. Connecting the dots: regolazione, autoregolazione e accountability - NOTE
Con sentenza resa il 16 luglio 2020, nella causa Data Protection Commissioner c. Facebook Ireland e Schrems (cd. Schrems II), la Corte di giustizia ha esaminato la validità di due decisioni della Commissione europea relative al trasferimento dei dati personali verso Paesi terzi e organizzazioni internazionali, fornendo altresì una serie di chiarimenti in relazione all’interpretazione delle norme rilevanti in materia di tali trasferimenti (ai quali ci si riferirà, in appresso, anche con il termine di “trasferimenti internazionali”) [1]. Più precisamente, la Corte di giustizia ha dichiarato la nullità della Decisione di esecuzione UE 2016/1250 sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy (c. “privacy shield”), censurando così, per la seconda volta, il regime dei trasferimenti di dati personali oltre-oceano [2], e ha confermato, invece, la validità della Decisione 2010/87/UE relativa alle clausole contrattuali tipo per il trasferimento dei dati personali verso Paesi terzi. Giova precisare che entrambe le menzionate decisioni sono state adottate a norma della previgente direttiva 95/46/CE relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (in appresso anche la “Direttiva”) – oggi abrogata e sostituita dal regolamento 2016/679 (regolamento generale sulla protezione dei dati, meglio noto con l’acronimo inglese GDPR, General Data Protection Regulation). Poiché tuttavia i meccanismi di trasferimento dei dati personali fuori dallo Spazio Economico Europeo (“SEE”) sono rimasti in parte gli stessi, le menzionate decisioni erano destinate a mantenere il loro vigore e la loro funzione, in forza di quanto previsto dagli articoli 45.9 e 46.5 GDPR, quanto meno sino ad una loro revoca, abrogazione o sostituzione da parte della Commissione. Ciò non toglie che, dall’entrata in vigore del GDPR, l’industria ha convissuto con una situazione di incertezza circa la piena compatibilità di tali decisioni con il nuovo quadro giuridico di riferimento. Dubbio divenuto ancor più concreto con il radicamento della causa qui in esame presso la Corte di giustizia, avente ad oggetto proprio la legittimità di tali strumenti alla luce sia del diritto primario, sia dello [continua ..]
Il trasferimento internazionale di dati personali è il presupposto del funzionamento dell’economia (e della società) digitale globalizzata [5]. L’esigenza di assicurare la tutela dei dati personali si accompagna quindi necessariamente con quella di garantirne la libera circolazione oltre i confini territoriali degli Stati. Ciò trova un riscontro nella stessa formulazione dell’articolo 16 TFUE, nuova base giuridica della disciplina UE in materia di protezione dei dati personali introdotta dal Trattato di Lisbona, a norma del quale le istituzioni europee “stabiliscono le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale … e le norme relative alla libera circolazione di tali dati”. Tuttavia, il trasferimento dei dati personali al di fuori dall’UE (rectius, dal SEE), rappresenta un fenomeno particolarmente problematico dal punto di vista del legislatore europeo, proprio per la volontà (comprensibile, forse velleitaria, certamente ambiziosa) di non comprometterne la tutela, anche una volta che essi siano fuoriusciti dai confini territoriali degli Stati membri. Non stupisce quindi che il GDPR dedichi uno spazio ampio alla disciplina dei trasferimenti internazionali di dati personali. Si tratta in particolare di sette articoli (artt. 44-50 GDPR), contenuti nel capo V del regolamento, e sedici considerando (da 101 a 116) [6]. La conformità del trasferimento alla disciplina di cui al predetto capo V costituisce requisito di legittimità del trasferimento stesso, in assenza del quale il trasferimento deve considerarsi vietato. Giova peraltro ricordare che i criteri di applicazione territoriale della disciplina di cui al GDPR, come previsti all’art. 3 dello stesso, consentono in molti casi l’applicazione diretta delle sue norme nei confronti di operatori stabiliti in Paesi terzi [7]. L’interazione tra le norme relative all’applicazione territoriale del regolamento e le norme in materia di trasferimenti internazionali è dibattuta e si auspica, al riguardo, un intervento chiarificatore del Comitato europeo per la protezione dei dati personali [8]. Peraltro, proprio in forza dei criteri di applicazione territoriale estesa del regolamento, è possibile ritenere che un operatore economico stabilito fuori dal SEE, che effettua un trattamento di dati personali [continua ..]
Le clausole tipo adottate dalla Commissione risultano lo strumento di gran lunga più utilizzato nell’industria, soprattutto in assenza di decisioni di adeguatezza [18]. Ciò non solo perché il loro uso è ormai confortato da almeno un ventennio di prassi, ma anche per la loro particolare fruibilità da parte degli operatori. Infatti, da un lato, si tratta di uno strumento che, almeno sino all’entrata in vigore del GDPR, non pareva richiedere particolare dispendio di risorse all’esportatore, nella misura in cui le “garanzie adeguate” si consideravano incorporate nel testo delle clausole stesse, così come approvate dalla Commissione ai sensi dell’ex art. 26, par. 4 della Direttiva 95/46. Si trattava quindi di uno strumento … “pronto all’uso”. Come si dirà, oggi il GDPR impone all’esportatore oneri maggiori in relazione al loro utilizzo (infra, § 5). Inoltre, le clausole contrattuali tipo hanno un campo di applicazione potenzialmente universale, nel senso che esse possono giustificare trasferimenti nei confronti di importatori stabiliti in qualunque Paese terzo o nei confronti di qualunque organizzazione, a differenza delle decisioni di adeguatezza che, invece, coprono solo trasferimenti verso determinati Stati terzi o organizzazioni. Chiaramente, le clausole tipo trovano applicazione rispetto a specifici flussi di dati, segnatamente quelli governati dai contratti che le recepiscono, e non invece rispetto alla generalità dei flussi verso un determinato Paese, come avviene per le decisioni di adeguatezza. Tuttavia, il loro utilizzo non è limitato ai trasferimenti tra una cerchia definita di soggetti, come avviene per le norme vincolanti di impresa. Queste ultime, infatti, pur semplificando notevolmente i trasferimenti internazionali infra-gruppo, incontrano un limite applicativo quando il trasferimento ha come destinatario/importatore dei dati una società che non appartiene al gruppo imprenditoriale, o al gruppo di imprese che svolge attività economica comune [19]. Il ricorso alle clausole contrattuali tipo consente così alle parti di inserire un contenuto precostituito all’interno di un contratto relativo al trasferimento internazionale di dati, atto a garantire la legalità del trasferimento stesso. Può anche trattarsi di un contratto più ampio, quale quello che [continua ..]
La vicenda che ha dato origine alla sentenza in commento non è che il sequel della precedente questione che si era risolta nella sentenza Schrems I [26]. Maximilian Schrems, studente viennese di giurisprudenza e iscritto a Facebook, chiede al Commissario per la protezione dei dati irlandese di vietare a Facebook Ireland il trasferimento dei suoi dati personali verso Facebook Inc., negli Stati Uniti, sostenendo che il diritto e la prassi in vigore in tale Paese non offrono una protezione sufficiente dei dati personali conservati sul territorio americano, soprattutto rispetto ad attività di sorveglianza di massa che le Autorità statunitensi impongono ai dati trattati dagli operatori economici ivi stabiliti. La domanda viene respinta dal Commissario in ragione dell’esistenza della decisione di adeguatezza della Commissione 2000/520, che dichiara adeguata la tutela garantita dagli Stati Uniti. Adito sull’impugnazione di tale decisione di rigetto del Commissario, il giudice nazionale rinvia alla Corte di giustizia una prima questione pregiudiziale circa l’interpretazione e la validità della menzionata decisione di adeguatezza della Commissione, che – come ricordato – viene infine annullata (sentenza Schrems I). L’esame della denuncia del sig. Schrems è quindi rimesso al Commissario dei dati personali irlandese. Nel corso di tale seconda fase della procedura, emerge che Facebook Ireland trasferisce la gran parte dei dati a Facebook Inc. sulla base delle clausole contrattuali tipo adottate dalla Commissione. Emerge così una questione sulla validità della decisione della Commissione che adotta tali clausole tipo, con riferimento in particolare all’idoneità di tale strumento a garantire la protezione adeguata ai dati trasferiti, in una situazione nella quale le autorità pubbliche del Paese destinatario non possono esserne vincolate. Ci si chiede in altre parole come un accordo tra le parti, qualunque sia il suo contenuto, possa fornire garanzie utili a rimediare a un ecosistema nazionale incompatibile con uno standard di tutela adeguato a quello dell’ordinamento UE, laddove l’importatore è assoggettato alle leggi del Paese ove è stabilito. Il giudice irlandese si rivolge nuovamente alla Corte di giustizia formulando varie questioni pregiudiziali relative inter alia a: (i) gli elementi da prendere in considerazione, [continua ..]
La Corte offre un’interpretazione sistematica delle norme contenute nel capo V GDPR, alla luce in particolare del principio secondo il quale l’obiettivo di tutte le disposizioni in esame è quello di assicurare la continuità del livello di protezione delle persone garantito dal regolamento, a prescindere dallo strumento utilizzato ai fini del trasferimento. Come già chiarito in Schrems I, il livello di protezione richiesto non deve necessariamente tradursi in una tutela “identica” a quella garantita dall’ordinamento UE, ma deve essere “sostanzialmente equivalente a quello garantito all’interno dell’Unione”. Sicché, in mancanza di una decisione di adeguatezza, spetta all’esportatore il compito di predisporre le “garanzie adeguate” per assicurare tale protezione, pena il divieto di procedere al trasferimento [27]. Vero è che l’art. 46 GDPR non elenca gli elementi che occorre valutare a tal fine, come avviene invece per quanto riguarda le decisioni di adeguatezza della Commissione, ai sensi dell’art. 45 GDPR. La Corte ritiene però che, proprio in ragione della ratio comune a tutte le norme del capo V, la valutazione richiesta all’esportatore in un trasferimento siffatto debba prendere in considerazione sia la tutela assicurata dalle clausole tipo convenute tra esportatore e importatore, sia gli elementi rilevanti del sistema giuridico del Paese di destinazione, in riferimento al regime di accesso delle autorità pubbliche di tale Stato terzo ai dati personali ivi trasferiti. Al riguardo, rilevano gli elementi enunciati, in modo non esaustivo, dall’art. 45.2 GDPR, in relazione alle decisioni di adeguatezza. In questo caso, però, a dover operare la valutazione non è più la Commissione europea, bensì, in prima battuta, i singoli esportatori e, in seconda battuta, le autorità di controllo degli Stati membri [28]. In questa cornice di riferimento si colloca la questione di validità della decisione della Commissione 2010/87 relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento (cd. “Decisione CPT”). Al riguardo, la Corte muove dalla considerazione (inevitabile) secondo cui, per natura, tali clausole vincolano solo le parti del contratto e non le autorità pubbliche del Paese di destinazione dei [continua ..]
La gravità dell’onere posto a carico degli esportatori ha indotto alcuni ad individuare proprio nel mantenimento dei dati sul territorio del SEE la soluzione più credibile per ottemperare ai principi affermati nella sentenza qui esaminata (cd. “localizzazione dei dati”) [34]. Non si può escludere che tale scenario possa verificarsi in alcuni settori, soprattutto alla luce del programma della Commissione europea di investire nella costruzione di un’infrastruttura dei dati europea (si pensi al progetto del cd. cloud europeo), proprio per ridurre la dipendenza della società e del mercato europei da infrastrutture digitali straniere [35]. Poco persuasivo è però che la Corte abbia inteso “allinearsi” alle priorità politiche della Commissione, o comunque promuoverne la realizzazione attraverso la propria giurisprudenza. Piuttosto, essa sembra promuovere un’interpretazione rigorosa di elementi che sono già insiti nella disciplina vigente, caratterizzata, su questo tema, da un bilanciamento tutto a favore della tutela dei diritti degli interessati. Si tratta in particolare del principio di accountability dei titolari e responsabili del trattamento che, trovando nel regolamento varie declinazioni (si pensi allo stesso principio di privacy by design), non solo li vincola, ma dovrebbe anche guidarne le scelte strategiche verso la massima tutela dei diritti fondamentali. Ciò anche e proprio in relazione ad uno dei trattamenti più delicati, ossia quello rivolto al trasferimento dei dati personali fuori dal territorio degli Stati membri, troppo spesso caratterizzato da un approccio solo “formalistico” alla compliance [36]. A ben vedere, tale responsabilizzazione appare il necessario pendant del ruolo “d’onore” riconosciuto proprio agli operatori nell’ambito della disciplina dei trasferimenti internazionali: come visto, infatti, l’art. 46 GDPR individua un’ampia gamma di strumenti di cd. autoregolazione del settore, fortemente voluti – benché non ancora del tutto esplorati nella prassi – dai gruppi multinazionali in fase di adozione del GDPR [37]. Ciò in una situazione nella quale il sistema incentrato sulle decisioni di adeguatezza della Commissione ha invece dimostrato la propria … “inadeguatezza” (a tacere della natura potenzialmente [continua ..]
Iscrivendoti alla newsletter di Giappichelli non riceverai spam, ma bensì gli aggiornamenti sulle nuove uscite di tuo interesse, sconti e iniziative promozionali.
Copyright G. Giappichelli Editore - 2020
EISSN 2465-2474 / ISSN 1125-8551 - Il Diritto dell'Unione Europea (Online)
Iscrizione al R.O.C. n. 25223
Per informazioni: ufficioabbonamenti@giappichelli.it
