I trasferimenti dati verso gli Stati Uniti dopo l’annullamento del “Privacy Shield”
Nella presente newsletter analizziamo la pronuncia del Garante bavarese del 15 marzo 2021, la prima in assoluto dopo lo smantellamento del c.d. “Privacy Shield” tra UE e USA da parte della Corte di Giustizia UE, nella quale trovano applicazione le recenti FAQ e raccomandazioni dell’EDPB in materia di trasferimento dati a paesi terzi.
Come ormai noto, la Corte di Giustizia dell’Unione Europea con la sentenza “Schrems II” del 16 luglio 2020 – causa C-311/18 – ha dichiarato invalida la decisione 2016/1250 della Commissione europea sull’adeguatezza dell’accordo circa il trasferimento dei dati tra l’Unione europea e gli Stati Uniti (il c.d. “Privacy Shield”), che da quel momento è risultato inapplicabile.
Di conseguenza, dal momento che gli Stati Uniti non sono attualmente ritenuti dall’UE un paese terzo avente un regime di tutela dei dati personali adeguato ex art. 45 del GDPR, ai sensi del successivo articolo il trasferimento di dati personali oltreoceano può essere effettuato solo se il titolare o il responsabile del trattamento ha fornito garanzie adeguate, tra le quali è annoverato anche l’utilizzo di clausole contrattuali tipo (le cosiddette “SCC” – Standard Contractual Clauses) adottate dalla Commissione europea, ed a condizione che gli interessati dispongano di diritti azionabili e di mezzi di ricorso effettivi.
Ad integrare il dato normativo, l’European Data Protection Board – nelle FAQ inerenti alla sentenza “Schrems II” del 24 luglio 2020 – affermato che il trasferimento di dati verso gli USA sulla base delle SSC dipenderà dal risultato di una valutazione concreta, da eseguire tenendo conto delle circostanze dei trasferimenti e delle misure supplementari eventualmente attuabili. I passaggi da seguire nell’operare questa valutazione sono stati illustrati dall’EDPB nelle Raccomandazioni 1/2020, non ancora formalmente pubblicate, nelle quali sono illustrati anche esempi di misure supplementari e le condizioni di efficacia delle stesse.
La prima autorità nazionale a pronunciarsi in questo nuovo contesto normativo è stato il Garante Bavarese, il quale il 15 marzo 2021 ha dichiarato illecito il trasferimento dei dati effettuato da MailChimp per conto di un editore tedesco, poiché quest’ultimo non ha valutato se oltre alle SCC fosse necessario adottare ulteriori misure di sicurezza per rispettare a pieno la normativa europea, circostanza che appare probabile se si considera che i servizi di intelligence statunitensi possono avere accesso ai dati dei c.d. Electronic Communications Service Provider con sede negli USA (come MailChimp). Il Garante bavarese non ha multato il fornitore tedesco per l’esiguità dei dati trasferiti e perché le Raccomandazioni EDPB 1/2020 non sono state ancora ufficialmente pubblicate, ma gli ha ordinato di cessare l’utilizzo di MailChimp.
Tale pronuncia deve costituire senza dubbio un campanello d’allarme per le tante attività italiane che utilizzano fornitori di servizio statunitensi, i quali trasferiscono dati nel paese in cui risiedono. In attesa di un quadro normativo più chiaro, è molto probabile che il nostro Garante segua l’esempio dell’autorità bavarese e chieda ai titolari del trattamento l’applicazione delle FAQ e Raccomandazioni fornite dall’EDPB.
Non basterà dunque “fidarsi” delle garanzie offerte dai fornitori americani – ad esempio MailChimp ha aggiunto un Data Processing Addendum alle proprie condizioni contrattuali ove assicura all’utilizzatore europeo un livello di protezione adeguato – bensì occorrerà compiere un’approfondita analisi delle misure di sicurezza applicate e applicabili al trattamento, oppure, in via cautelare, affidarsi a fornitori europei.