Le sentenze Schrems sono dei provvedimenti adottati dalla Corte di giustizia dell'Unione europea, per riorganizzare gli accordi, tra UE e USA, riguardo il trattamento di dati personali. Il 6 ottobre 2015, la sentenza Schrems I portò all'annullamento del trattato preesistente di Safe Harbor, che consentiva alle aziende americane di gestire dati personali dei loro utenti europei su server americani. Il 16 luglio 2020, la sentenza Schrems II portò all'annullamento del Privacy Shield e al riconoscimento della legalità delle clausole contrattuali tipo (SCC).
Entrambe le sentenze si rifanno alla normativa europea che afferma che uno Stato membro dell'Unione Europea può verificare la richiesta di garanzia di protezione, fatta dall'interessato, riguardo alla tutela dei suoi dati personali, nel caso questi vengano trasferiti da uno Stato membro verso un paese terzo e non venga garantito un livello di protezione almeno equivalente a quello europeo.
Che cosa ha stabilito la Corte di giustizia europea nella sua sentenza?
La Corte di giustizia europea ha ritenuto la validità della decisione n. 2010/87/CE della Commissione europea sulle clausole contrattuali tipo (Standard Contractual Clauses, cd. SCC) poiché le clausole tipo di protezione dei dati di cui alla suddetta decisione non sono vincolanti per le autorità del paese terzo verso il quale i dati possono essere trasferiti, avendo esse natura contrattuale. La Corte di giustizia europea ha inoltre esaminato la validità della decisione relativa al Privacy Shield (Decisione 2016/1250), ritenendo che i requisiti del diritto interno degli Stati Uniti, e in particolare determinati programmi che consentono alle autorità pubbliche degli Stati Uniti di accedere ai dati personali trasferiti dall'UE agli Stati Uniti ai fini della sicurezza nazionale, comportino limitazioni alla protezione dei dati personali che non sono configurate in modo da soddisfare requisiti sostanzialmente equivalenti a quelli previsti dal diritto dell'UE e che tale legislazione non accordi ai soggetti interessati diritti azionabili in sede giudiziaria nei confronti delle autorità statunitensi. Alla luce di tale grado di ingerenza nei diritti fondamentali delle persone i cui dati sono trasferiti verso il suddetto paese terzo, la Corte ha dichiarato invalida la decisione sull'adeguatezza dello scudo per la privacy. In definitiva la Corte di giustizia europea ha stabilito che la normativa americana non fornisce un livello di protezione sostanzialmente equivalente a quello dell'UE e pertanto tale valutazione deve essere tenuta presente con riguardo a ogni trasferimento di dati verso gli Stati Uniti e pertanto i trasferimenti sulla base dell’attuale quadro giuridico sono illegali.
Come devono comportarsi i titolari del trattamento che utilizzo le norme vincolanti d'impresa ("BCR") con un soggetto stabilito negli Stati Uniti?
La possibilità di trasferire o meno dati personali sulla base delle BCR dipenderà dall'esito della valutazione del titolare del trattamento. Se tenuto conto delle circostanze del trasferimento e delle eventuali misure supplementari, non ci sono adeguate garanzie per gli interessati, occorre sospendere o porre fine al trasferimento di dati personali.
E’ possibile continuare ad utilizzare le SCC o le BCR per il trasferimento dei dati verso un paese terzo diverso dagli Stati Uniti?
La Corte di giustizia europea ha indicato che è ancora possibile utilizzare le SCC per trasferire dati in un paese terzo. Lo stesso vale per le norme vincolanti d'impresa (BCR). Purtuttavia spetta ai soggetti coinvolti dal trattamento dei dati valutare se il livello di protezione richiesto dal diritto dell'UE sia rispettato nel paese terzo in questione al fine di determinare se le garanzie fornite dalle SCC o dalle BCR possano essere rispettate nella pratica. In caso contrario, occorre valutare se sia possibile prevedere misure supplementari per garantire un livello di protezione sostanzialmente equivalente a quello previsto nel SCC e se la legislazione del paese terzo non consenta ingerenze nei riguardi delle suddette misure supplementari tali da comprometterne di fatto l'efficacia.
Conclusioni: gli analytics di Google e le sentenze Schrems
Gli analytics sono uno strumento molto utilizzato per il tracciamento del comportamento dei navigatori con particolare riferimento alle propensioni d'acquisto. Le Big Tech USA che rientrano nel FISA 702 e EO 12.333, secondo le leggi sulla sicurezza nazionale U.S.A., debbono permettere alle autorità americane di accedere ai dati da essi trattati per motivi di sorveglianza e sicurezza. Di contro il GDPR non permette questa totale discrezionalità nel trattamento dei dati. Alcuni Big Tech come Microsoft, Facebook, Amazon, Google hanno deciso di aggirare tale sentenza con le clausole contrattuali standard CSS, uno strumento previsto dal GDPR. Ma le CSS, essendo policy aziendali nulla possono fare contro una decisione federale USA con il risultato di ignorare la Corte di giustizia con un accorgimento del tutto maldestro come quello di aggiungere semplicemente del testo alle loro politiche sulla privacy. Invero la soluzione più pertinente sarebbe quella di sostituire Google analytics con un provider europeo. Vale la pena ricordare che in Europa, qualcosa si è già mosso. Per l’autorità austriaca DSB, Google Analytics non rispetterebbe le regole europee sul trasferimento dei dati. Le misure tecniche, organizzative e contrattuali adottate da Google, infatti, risulterebbero – secondo il garante austriaco – insufficienti a garantire la libertà e i diritti degli interessati. La vicenda si contestualizza nelle attività conseguenti alla sentenza Schrems II che ha dichiarato illegittimo il Privacy Shield.
Potrebbero interessarti anche i seguenti argomenti:
- Conformità legale al GDPR,.
- Cyber Threat Assessment,
- GDPR DOX il software cloud per la gestione degli adempimenti privacy