Il trasferimento di dati personali verso paesi terzi o organizzazioni internazionali

Il trasferimento di dati personali verso paesi terzi o organizzazioni internazionali

Sommario: 1. Premessa: il cd. doppio binario per il trasferimento dei dati – 2. La nozione di trasferimento: il caso Lindqvist – 3. Trasferimento dei dati extra-UE sulla base di una decisione di adeguatezza – 4. Trasferimento soggetto a garanzie adeguate – 4.1. Clausole contrattuali tipo della Commissione UE – 4.2. Norme vincolanti d’impresa – 4.3. Codici di condotta e certificazioni – 5. Deroghe in specifiche situazioni – 6. Conclusioni

 

1. Premessa: il cd. doppio binario per il trasferimento dei dati

Uno degli obiettivi dichiarati dal Regolamento UE n. 2016/679 (GDPR) consiste nel facilitare il traffico dei dati all’interno dei Paesi membri dell’Unione Europea; infatti, alla base di un simile intento vi è indubbiamente la considerazione che, in presenza di principi e garanzie condivise, la circolazione dei dati personali debba essere incentivata in ragione dei relativi, connessi ed indiscutibili effetti pro-concorrenziali, nonché in virtù del fatto che tale fenomeno agevola, in particolar modo, l’armonizzazione, a livello comunitario, della circolazione delle persone e delle merci, evitando così la creazione di barriere (ingiustificate) tra gli stati membri eurounitari[1].

Orbene, la ratio delle previsioni poc’anzi esposte consente di comprendere, in senso opposto, il divieto (o meglio, le limitazioni) imposte al Titolare e al Responsabile del trattamento ogniqualvolta il trasferimento dei dati personali avvenga al di fuori dell’UE: nello specifico, se da un lato il Considerando n. 101 del GDPR[2] afferma, in modo espresso, che il flusso dei dati personali risulta necessario per l’espansione del commercio e della cooperazione internazionale, per altro verso viene, comunque, precisato che, laddove si verifichi tale ipotesi, il livello di tutela delle persone fisiche, assicurato all’interno dell’UE dal GDPR, non debba subire alcuna compromissione.

A tal proposito, il Capo V del GDPR (intitolato “Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali”) si occupa, pertanto, di specificare il delicato punto di raccordo tra queste due differenti, seppur connesse, esigenze, attraverso l’elaborazione di una sticky regulation, la quale mantiene, di fatto, inalterata l’impostazione prevista dall’abrogata Direttiva n. 95/46/CE, pur introducendo alcuni peculiari correttivi[3].

Ne consegue, dunque, la formazione di un cd. doppio binario in materia di trasferimento dei dati in quanto alla libera circolazione che caratterizza il contesto comunitario si contrappone, in ambito extra-UE, un apparato normativo particolarmente articolato ed improntato, come vedremo di seguito, al criterio della sussidiarietà degli strumenti regolamentari, tesi ad assicurare una adeguata protezione dei dati oggetto di trasferimento.

2. La nozione di trasferimento: il caso Lindqvist

Ancor prima di affrontare la problematica relativa al trasferimento dei dati al di fuori dall’UE è bene fornire una definizione di trasferimento, dovendo immediatamente premettere che la disciplina eurounitaria ne risulta priva, benché l’European Data Protection Supervisor (EDPS) avesse richiesto, sin dal 2012, al Legislatore Europeo di chiarire, in sede di Regolamento, la portata di tale espressione[4].

In ogni caso, un ausilio interpretativo è rappresentato, a tal riguardo, da alcuni strumenti internazionali che, al loro interno, si sono occupati di disciplinare il fenomeno del flusso (internazionale) di dati a carattere personale, ossia la Convenzione di Strasburgo sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale del 28.1.1981 e le Linee guida privacy adottate dall’Organizzazione per la cooperazione e lo sviluppo economico del 2013: nello specifico, la prima definisce tale evento come quello che avviene “attraverso i confini nazionali, con qualunque mezzo, di dati a carattere personale oggetto di elaborazione automatica o raccolti allo scopo di sottoporli a tale elaborazione”, mentre la seconda li qualifica espressamente come “i movimenti di dati personali attraverso confini nazionali”.

Infine, ulteriori ed utili considerazioni in merito si rinvengono grazie alla Corte di Giustizia dell’Unione Europea (CGUE), la quale – trovatasi, in modo particolare, a dover stabilire se l’inserimento di dati personali all’interno di una pagina internet per il solo fatto di rendere tali dati accessibili alle persone che si trovano in un paese terzo costituisca un trasferimento di dati – ha espressamente chiarito, all’interno della sentenza del 6.11.2003 (C-101/2001, meglio conosciuta come “caso Lindqvist”), che “non si configura un trasferimento verso un paese terzo di dati […] allorché una persona che si trova in uno Stato membro inserisce in una pagina internet – caricata presso il suo fornitore di servizi di ospitalità (“web hosting provider”), stabilito nello Stato stesso o in un altro Stato membro – dati personali rendendoli così accessibili a chiunque si colleghi ad Internet, compresi coloro che si trovano in paesi terzi”.

3. Trasferimento dei dati extra-UE sulla base di una decisione di adeguatezza

Tenuto a mente quanto sopra premesso, occorre ora analizzare i principi che governano la disciplina di cui al Capo V del GDPR, la quale è, appunto, improntata al criterio di sussidiarietà, dato che le diverse norme del quadro normativo di riferimento devono essere lette secondo la rispettiva collocazione sistematica: in modo particolare, la regola per il trasferimento è rappresentata dalla decisione di adeguatezza ex art. 45 del GDPR, a cui seguono, in assenza di essa, i meccanismi alternativi previsti, successivamente, dagli artt. 46 e 47 del GDPR, dopo i quali trovano spazio, in via soltanto residuale, le ipotesi derogatorie previste ai sensi dell’art. 49 del GDPR.

L’analisi, dunque, deve muovere prioritariamente dalla valutazione di adeguatezza giacché, ai sensi dell’art. 45 del GDPR, il trasferimento dei dati personali è ammesso se la Commissione UE statuisce, mediante la cd. decisione di adeguatezza, che il paese terzo (o l’organizzazione internazionale) cui sono destinati i dati personali garantisca un livello di protezione adeguato[5], previa ricognizione, in particolar modo, della sussistenza di un cd. stato di diritto, del rispetto dei diritti umani e delle libertà fondamentali nonché, non da ultimo, delle norme in materia di protezione dei dati personali, ivi inclusa l’esistenza e l’effettivo funzionamento di una o più autorità di controllo competenti.

A tal riguardo, il concetto di “adeguatezza” è stato definito, di nuovo, all’interno della recente sentenza del 16.7.2020[6] (meglio nota come “Schrems II”) in cui la CGUE ha affermato che, senza dover esigere che il paese terzo considerato offra un livello di protezione identico a quello garantito nell’ordinamento giuridico dell’UE, il “livello di protezione adeguato” deve essere inteso, così come peraltro prescritto dal Considerando n. 104 del GDPR[7], nel senso che “tale paese assicuri effettivamente, in considerazione della sua legislazione nazionale o dei suoi impegni internazionali, un livello di protezione delle libertà e dei diritti fondamentali sostanzialmente equivalente a quello garantito all’interno dell’Unione in forza del Regolamento, letto alla luce della Carta”[8].

In ragione di quanto statuito all’interno dell’appena citata sentenza “Schrems II”, la CGUE – chiamata a pronunciarsi sull’interpretazione e sulla validità della Decisione n. 2016/1250 della Commissione UE del 12.7.2016 con cui era stato adottato il cd. Privacy Shield[9], strumento attraverso il quale era stata sancita l’adeguatezza della normativa degli Stati Uniti d’America – ha dichiarato, in modo definitivo ed immediato, la sua invalidità in ossequio ai Considerando n. 103 e 107 del GDPR, dato che la normativa statunitense contrasta con i principi di cui agli artt. 7, 8 e 47 della Carta dei Diritti Fondamentali dell’UE[10].

Sulla scorta di ciò, si ritiene, dunque, che – nel caso in cui per l’eventuale trasferimento dei dati personali negli USA sia stato utilizzato, come base giuridica, il Privacy Shield – è necessario verificare se sia possibile la modifica della stessa mediante l’utilizzo delle ipotesi contemplate ed elencate nell’art. 49 del GDPR (e meglio descritte al successivo § 5). In caso contrario, si consiglia di negoziare con il relativo importatore dei dati la stipula delle clausole contrattuali tipo ex art. 46 comma 2 lettera c) del GDPR[11], da integrare mediante l’inserimento di ulteriori misure di garanzia per i soggetti interessati coinvolti (es. la valutazione preventiva di quali dati è necessario trasferire secondo il principio di proporzionalità, di privacy by design e di minimizzazione; l’utilizzo della tecnica di criptografia e/o di pseudonimizzazione dei dati; la tracciabilità degli accessi etc.[12]), così come auspicato dalla CGUE nella pronunzia in parola.

4. Trasferimento soggetto a garanzie adeguate

Benché la sussistenza di una decisione di adeguatezza della Commissione UE costituisca, nell’intenzione del Legislatore europeo, l’ipotesi cardine in cui il trasferimento dei dati personali al di fuori dell’UE è considerato legittimo, in virtù del principio di non tassatività possono essere adottate, da parte del Titolare o dal Responsabile del trattamento, le “garanzie adeguate” ex art. 46 comma 1 del GDPR[13], le quali rendono possibile il trasferimento verso paesi terzi (o organizzazioni internazionali) che non siano stati sottoposti a una decisione di adeguatezza, senza che il trasferimento necessiti di autorizzazioni specifiche da parte di una Autorità di Controllo (DPA).

Nello specifico, esse consistono in una serie di strumenti giuridici tesi a garantire il fatto che i dati, oggetto di trattamento, rimarranno adeguatamente protetti anche laddove non vi sia stata, appunto, la decisione della Commissione UE, dal momento che essi – così come evidenziato nel Considerando n. 114 del GDPR – permettono al Titolare o al Responsabile del trattamento di assicurarsi che l’interessato abbia “diritti effettivi e azionabili in relazione al trattamento dei suoi dati personali nell’Unione, dopo il trasferimento, così da continuare a beneficiare dei diritti fondamentali e delle garanzie”.

4.1. Clausole contrattuali tipo della Commissione UE

L’art. 46 comma 2 lettera c) del GDPR prevede che, in mancanza di una decisione di adeguatezza, il trasferimento dei dati possa avvenire mediante l’utilizzo delle cd. clausole contrattuali tipo (standard model clause), adottate dalla Commissione UE con Decisione n. 2010/87/CE (poi modificata dalla Decisione n. 2016/2297/CE).

Queste consistono in testi contrattuali standard – sottoscritti da ambo le parti (esportatore ed importatore di dati), di solito allegati ai contratti di servizio o agli intercompany agreement e, soprattutto, potenzialmente integrabili mediante l’aggiunta, ai sensi del Considerando n. 109 del GDPR, di clausole o garanzie supplementari, a condizione che le stesse non contraddicano le clausole medesime in forza dei quali il trasferimento può avvenire verso soggetti collocati all’interno di paesi terzi non considerati adeguati dalla Commissione UE[14].

A tal riguardo, si rileva che il consolidato (e tradizionale) principio secondo cui la sottoscrizione delle clausole contrattuali in parola fosse sufficiente a garantire una tutela sostanzialmente equivalente a quella che è fornita ai dati personali all’interno dell’UE è stato radicalmente messo in discussione dalla citata sentenza “Schrems II” ove la CGUE ha chiaramente affermato che l’utilizzo di questo strumento può richiedere, in funzione della specifica situazione esistente nello stato cd. terzo ove viene effettuato il trasferimento, l’adozione delle già citate misure supplementari da parte del Titolare del trattamento, onde così fornire il rispetto di tal livello di protezione[15].

In conclusione, si assiste, di fatto, alla sostituzione dell’ordinamento comunitario all’autonomia dei privati, atteso il giudizio di inidoneità rispetto alla disciplina concreta del trasferimento dei dati che si evince anche dall’imposizione all’importatore e l’esportatore dei dati di una serie ulteriore di obblighi, adempimenti e responsabilità nell’ottica del principio di accountability.

4.2. Norme vincolanti d’impresa

Per la circolazione dei dati all’interno di un gruppo di imprese multinazionali è prevista, ad opera del combinato disposto tra gli artt. 46 comma 2 lettera b) e 47 del GDPR, la possibilità di utilizzare lo strumento delle norme vincolanti d’impresa (Binding Corporate Rules, anche dette “BCR”), le quali si sostanziano ,in regole di comportamento in materia di protezione dei dati che vengono adottate ed impartite dalla società capogruppo in modo da vincolare tutte le altre imprese facenti parte del medesimo gruppo (ovvero che vengono implementate tra imprese differenti (non appartenenti ad un singolo gruppo di controllanti/controllate/collegate) che svolgono, tuttavia, “un’attività economica comune”).

La ratio dell’adozione delle BCR[16] risiede nel fatto che, trattandosi di rapporti continuativi tra diverse società e, quindi, tra diversi Titolari o Responsabili del trattamento, è utile –  anche al fine di agevolare i flussi di dati infra gruppo – non dover sottoscrivere le clausole contrattuali-tipo ogni qualvolta che vi sia un trasferimento dalla società controllante alla controllata (o tra le imprese accomunate dall’attività) che implichi un trattamento transfrontaliero, continuativo e condiviso di dati personali.

Orbene, esse si traducono in una singolare forma di standard model clause, subordinata, tuttavia, al provvedimento autorizzativo della DPA competente: dunque, se da un verso, le BCR appaiono preferibili, rispetto a queste ultime, in virtù della maggiore elasticità dei contenuti, per altro verso incontrano il limite dell’ambito soggettivo ristretto, cui si aggiunge, appunto, la necessità della citata autorizzazione preventiva.

Posto ciò su di un piano generale, l’art. 47 del GDPR disciplina accuratamente tanto i requisiti di adozione quanto i contenuti necessari delle BCR. Per quanto concerne i relativi requisiti, le norme in questione devono essere “giuridicamente vincolanti” (da intendersi che esse siano imposte ai membri attraverso la previsione di “sanzioni private” nel caso di infrazione delle regole da parte dei responsabili, ivi compreso il personale dipendente); allo stesso modo, le stesse devono applicarsi “a tutti i membri interessati del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attività economica comune”.

Infine, risulta opportuno osservare che gli ulteriori oneri fissati, di recente, dalla CGUE con la sopra descritta sentenza “Schrems II” (ovverosia, l’adozione di misure supplementari, da valutarsi in ragione delle specifiche caratteristiche dello stato terzo ove viene svolto il trasferimento di dati personali), devono essere applicati, in modo fedele, anche nel caso di utilizzo delle BCR, così come precisato, in tal senso, dall’European Data Protection Board (EDPB) all’interno delle proprie F.A.Q. del 23.7.2020[17].

4.3. Codici di condotta e certificazioni

La principale novità introdotta dal GDPR consiste nella possibilità che il trasferimento dei dati personali venga effettuato sulla base di un codice di condotta (art. 40) o su di un meccanismo di certificazione (art. 42), i quali costituiscono l’ennesima chiara espressione del cd. risk base approach fatto proprio dal Legislatore europeo (e, più in generale, di quell’ottica di prevenzione del rischio incorporata nel GDPR che comporta una crescente responsabilizzazione del Titolare e del Responsabile del trattamento).

In ambedue i casi, si rileva, da ultimo, che la mera sussistenza di una certificazione o di un codice di condotta non giustificherà, da sola, il trasferimento internazionale dei dati: infatti, si richiedono, in aggiunta, “l’impegno vincolante ed esecutivo da parte del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati”, da interpretarsi, in sostanza, alla stregua del medesimo vincolo giuridico di cui si è già parlato in riferimento alle BCR (ovverosia, la previsione di sanzioni in caso di infrazioni nonché la presenza di effettivi meccanismi di esercizio dei diritti dei soggetti interessati).

5. Deroghe in specifiche situazioni

Come sopra precisato in merito alla natura sussidiaria degli strumenti predisposti nel GDPR, a chiudere il sistema del trasferimento dei dati vi sono le c.d. ipotesi derogatorie dell’art. 49 del GDPR.

In merito ai contenuti, si osserva, su un piano generale, che le deroghe in parola tendono a rendere legittimo il trasferimento dei dati ogniqualvolta (i) lo stesso risponda ad un interesse diretto dell’individuo o sia comunque espressione della sua autonomia decisionale (i.e. consenso (esplicito) dell’interessato; esecuzione di un contratto; esecuzione di un contratto in favore dell’interessato) ovvero (ii) sia, in ogni caso, volto a soddisfare un interesse di tipo generale (i.e. importanti motivi di interesse pubblico; esercizio o difesa di un diritto in sede giudiziaria; interesse vitale dell’interessato o di altre persone; esercizio di pubblici poteri).

6. Conclusioni

Alla luce di un analisi letterale e sistematica delle norme, così come interpretate nel tempo dal Working Party ex art. 29 nelle sue linee guida, è stato delineato un sistema nel quale al principio di libera circolazione per i trasferimenti di dati intraeuropei si contrappone l’imposizione di significativi limiti (e garanzie) laddove i dati personali dei soggetti interessati vengono trasferiti al di là dei confini dell’UE, rese ancor più stringenti e onerose alla luce delle recenti prescrizioni dettate dalla CGUE le quali, a parere di chi scrive, perseguono l’obiettivo eurocomunitario di creare uno spazio unico europeo dei dati, onde così consentire all’UE di divenire un economia dei dati maggiormente attraente, sicura e dinamica a livello mondiale.

 

 

 

 


[1] Cfr. testo del Considerando n. 2 del GDPR “…Il presente regolamento è inteso a contribuire alla realizzazione di uno spazio di libertà, sicurezza e giustizia e di un’unione economica, al progresso economico e sociale, al rafforzamento e alla convergenza delle economie nel mercato interno e al benessere delle persone fisiche” e del Considerando n. 3 del GDPR “La direttiva 95/46/CE del Parlamento europeo e del Consiglio ha come obiettivo di armonizzare la tutela dei diritti e delle libertà fondamentali delle persone fisiche rispetto alle attività di trattamento dei dati e assicurare la libera circolazione dei dati personali tra Stati membri”.
[2] Cfr. testo del Considerando n. 101 del GDPR “I flussi di dati personali verso e da paesi al di fuori dell’Unione e organizzazioni internazionali sono necessari per l’espansione del commercio internazionale e della cooperazione internazionale. L’aumento di tali flussi ha posto nuove sfide e problemi riguardanti la protezione dei dati personali. E’ opportuno però che, quando i dati personali sono trasferiti dall’Unione a titolari del trattamento e responsabili del trattamento o altri destinatari in paesi terzi o organizzazioni internazionali, il livello di tutela delle persone fisiche assicurato nell’Unione dal presente regolamento non sia compromesso, anche nei casi di trasferimenti successivi dei dati personali dal paese terzo all’organizzazione internazionale verso titolari del trattamento e responsabili del trattamento nello stesso o in un altro paese terzo o presso un’altra organizzazione internazionale. In ogni caso, i trasferimenti verso paesi terzi e organizzazioni internazionali potrebbero essere effettuati soltanto nel pieno rispetto del presente regolamento. Il trasferimento potrebbe aver luogo soltanto se, fatte salve le altre disposizioni del presente regolamento, il titolare del trattamento o il responsabile del trattamento rispetta le condizioni stabilite dalle disposizioni del presente regolamento in relazione al trasferimento di dati personali verso paesi terzi o organizzazioni internazionali”.
[3] E’ infatti cambiato l’ambito di applicazione oggettivo, in quanto il GDPR non abbraccia, come al Direttiva n. 95/46/CE, solo i trasferimenti dall’UE ad un paese terzo, ma altresì i trasferimenti successivi da un paese terzo (o un’organizzazione internazionale) verso un altro paese terzo (o un’altra organizzazione internazionale); ai sensi dell’art. 30 del GDPR, è necessario indicare, all’interno del Registro delle attività di trattamento, l’eventuale trasferimento internazionale; ai sensi dell’art. 13 del GDPR, l’informativa deve includere l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o un’organizzazione internazionale, l’esistenza di una decisione di adeguatezza ovvero, in alternativa, la sussistenza di appropriate garanzie per l’interessato ed i mezzi per ottenerle.
[4] Cfr. Opinion of the European Data Protection Supervisor of 7 March 2012 on the Data Protection Reform Package.
[5] La decisione di adeguatezza deve essere riesaminata periodicamente, almeno ogni quattro anni, in modo da tenere conto di tutti gli sviluppi pertinenti nel paese terzo o nell’organizzazione internazionale. In ragione del fatto che la decisione di adeguatezza era già presente nella Direttiva n. 95/46/CE, il Considerando n. 106 e l’art. 45 comma 9 del GDPR prescrivono che le decisioni adottate dalla Commissione UE nel vigore della previgente citata Direttiva (ad oggi, nei confronti di Andorra, Argentina, organizzazioni commerciali del Canada, Faeroe Islands, Guernsey, Israele, Isle of Man, Jersey, Nuova Zelanda, Svizzera ed Uruguay) restano in vigore fino a quando non vengono modificate, sostituite o abrogate.
[6] Causa C-311/2018, ove le questioni pregiudiziali, affrontate dalla CGUE, vertevano sui seguenti tre aspetti: (i) interpretazione dell’art. 3 paragrafo 2 primo trattino degli artt. 25 e 26 nonché dell’art. 28 paragrafo 3 della Direttiva n. 95/46/CE, letti alla luce dell’art. 4 paragrafo 2 del TUE e degli artt. 7, 8 e 47 della Carta dei diritti fondamentali dell’UE; (ii) interpretazione e validità della Decisione n. 2010/87/UE della Commissione UE, così come modificata dalla Decisione n. 2016/2297 della Commissione UE del 16.12.2016; (iii) interpretazione e validità della Decisione n. 2016/1250 della Commissione UE del 12.7.2016.
[7] Cfr. testo del Considerando n. 104 del GDPR: “In linea con i valori fondamentali su cui è fondata l’Unione, in particolare la tutela dei diritti dell’uomo, è opportuno che la Commissione, nella sua valutazione del paese terzo, o di un territorio o di un settore specifico all’interno di un paese terzo, tenga conto del modo in cui tale paese rispetta lo stato di diritto, l’accesso alla giustizia e le norme e gli standard internazionali in materia di diritti dell’uomo, nonché la legislazione generale e settoriale riguardante segnatamente la sicurezza pubblica, la difesa e la sicurezza nazionale, come pure l’ordine pubblico e il diritto penale […] Il paese terzo dovrebbe offrire garanzie di un adeguato livello di protezione sostanzialmente equivalente a quello assicurato all’interno dell’Unione…”
[8] Tale concetto di adeguatezza era stato, in passato, definito nella sentenza della CGUE del 6.10.2015 (cd. sentenza “Schrems I”) (causa C-362/2015) ove, al punto 73, quest’ultima rilevava che nel vigore della previgente Direttiva – in virtù della quale era prevista la medesima decisione di adeguatezza ex art. 26 – il termine “adeguato” “implica che non possa esigersi che un paese terzo assicuri un livello di protezione identico a quello garantito nell’ordinamento giuridico dell’Unione”.
[9] Il Privacy Shield prevedeva, tra le altre cose, obblighi maggiormente severi per le imprese statunitensi che importano dati personali di cittadini europei, un controllo periodico del rispetto di tali obblighi con conseguente applicazione di sanzioni e la previsione di garanzie e di obblighi di trasparenza per l’accesso del governo e delle autorità pubbliche americane ai dati personali trasferiti per fini di contrasto e sicurezza nazionale.
[10] In via sintetica, deve rilevarsi che l’inadeguatezza della sistema normativo americano è dovuta al fatto che il programma di sorveglianza (attuabile per esigenze di sicurezza nazionale ed interesse pubblico) richiede un massivo (incontrollato ed illimitato) trattamento di dati e, per altro verso, dalla circostanza che al cittadino europeo non vengono offerti mezzi di ricorso effettivi e dinnanzi ad un organo giudicante indipendente.
[11] Meglio analizzate nel successivo  § 4.1.
[12] Con comunicato stampa del 3.9.2020, l’EDPB ha affermato di aver creato una task force specifica con il compito di elaborare raccomandazioni per Titolari e Responsabili del trattamento nell’individuazione e nell’attuazione di adeguate misure supplementari finalizzate a garantire un’adeguata protezione in caso di trasferimento di dati verso paesi terzi: nello specifico, Andrea Jelinke, Presidente dell’EDPB, ha espressamente dichiarato che: “Il comitato è ben consapevole del fatto che la sentenza Schrems II attribuisce ai titolari del trattamento una responsabilità importante. Oltre alla dichiarazione e alle FAQ pubblicate subito dopo la sentenza, elaboreremo raccomandazioni per supportare titolari e responsabili del trattamento nella necessaria individuazione e attuazione di adeguate misure supplementari di natura giuridica, tecnica e organizzativa al fine di soddisfare il requisito di “equivalenza sostanziale” nel trasferimento di dati personali verso paesi terzi. Tuttavia, la sentenza ha implicazioni di ampia portata e i contesti dei trasferimenti di dati verso paesi terzi sono molto diversi. Pertanto, non si può pensare a una soluzione unica e di immediata soluzione. Ciascun titolare o responsabile dovrà valutare i trattamenti svolti e i relativi trasferimenti, adottando le misure opportune”.
[13] Quanto alla natura dell’elencazione, si ritiene che la tassatività della stessa oltre ad essere imposta dall’interpretazione letterale della norma (che non utilizza l’espressione “in particolare”) risulta, altresì, preferibile giacché l’adozione di uno strumento atipico rischierebbe di esporre il Titolare o il Responsabile del trattamento ad una sanzione per il caso in cui lo strumento in questione non dovesse assicurare garanzie adeguate.
[14] Si consideri che le predette clausole erano già state previste nel vigore della Direttiva 95/46/CE e che la Commissione UE aveva adottato due set di clausole tipo: quelle per i trasferimenti da un Titolare del trattamento ad un altro Titolare collocato al di fuori dell’UE; quelle per i trasferimenti da un Titolare a un Responsabile del trattamento situato al di fuori dell’UE.
[15] Cfr. punto 133 della sentenza “Schrems II”: “Appare quindi che le clausole tipo di protezione dei dati adottate dalla Commissione ai sensi dell’articolo 46, paragrafo 2, lettera c), dello stesso regolamento mirano unicamente a fornire ai titolari del trattamento o ai responsabili del trattamento stabiliti nell’Unione garanzie contrattuali che si applicano in modo uniforme in tutti i paesi terzi e, pertanto, indipendentemente dal livello di protezione garantito in ciascuno di essi. Poiché tali clausole tipo di protezione dei dati non possono, tenuto conto della loro natura, fornire garanzie che vadano al di là di un obbligo contrattuale di vegliare a che sia rispettato il livello di protezione richiesto dal diritto dell’Unione, esse possono richiedere, in funzione della situazione esistente nell’uno o nell’altro paese terzo, l’adozione di misure supplementari da parte del titolare del trattamento al fine di garantire il rispetto di tale livello di protezione”.  In premessa a ciò, la CGUE ha, peraltro, chiarito che la validità della Decisione n. 2010/87/CE non è messa in discussione dal fatto che le clausole tipo di protezione dei dati contenute in quest’ultima, per il loro carattere contrattuale, non vincolano le autorità del paese terzo verso il quale potrebbe essere effettuato un trasferimento di dati personali.
[16] Cfr. art. 4 n. 20) del GDPR: “norme vincolanti d’impresa”: “Le politiche in materia di protezione dei dati personali applicate da un titolare del trattamento o responsabile del trattamento stabilito nel territorio di uno Stato membro al trasferimento o al complesso di trasferimenti di dati personali a un titolare del trattamento o responsabile del trattamento in uno o più paesi terzi, nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune”.
[17] L’EDPB ha ulteriormente precisato che la prescrizione espressa dalla CGUE si applica a tutte le garanzie adeguate previste dall’art. 46 del GDPR.

Salvis Juribus – Rivista di informazione giuridica
Direttore responsabile Avv. Giacomo Romano
Listed in ROAD, con patrocinio UNESCO
Copyrights © 2015 - ISSN 2464-9775
Ufficio Redazione: redazione@salvisjuribus.it
Ufficio Risorse Umane: recruitment@salvisjuribus.it
Ufficio Commerciale: info@salvisjuribus.it
***
Metti una stella e seguici anche su Google News

Articoli inerenti