NEWS

Il 'Lato B' della sentenza ‘Schrems II’ è un pesante 'caveat' sul ricorso alle clausole tipo

E' sicuro che la decisione della Corte di Giustizia dell'Unione Europea nella causa C-311/18 del 16 luglio 2020 - la c.d. sentenza “Schrems II” - dovrà essere ricordata e metabolizzata per qualcosa di più che per il colpo di ghigliottina inferto al “Privacy Shield”.  C'è, in buona sintesi, un argomento/punto – certo non nuovo! - su cui deve/dovrà concentrarsi l'attenzione degli interpreti e degli operatori. Con la domanda di pronuncia pregiudiziale, il giudice del rinvio ha interrogato la CGUE sulla applicabilità del Regolamento UE 2016/679 (d'ora in poi anche solo 'Regolamento') a trasferimenti di dati personali fondati su clausole tipo di protezione contenute nella decisione 2010/87, sul livello di protezione richiesto nel quadro di un trasferimento siffatto e sugli obblighi correlativamente incombenti sulle autorità di controllo.

Trasferimenti di dati personali negli Usa, invalidato il Privacy Shield

La High Court irlandese ha quindi sollevato la questione della validità della decisione 2010/87/UE della Commissione del 5 febbraio 2010 (nel prosieguo della sentenza, semplicemente, 'decisione CPT') - quella, per intendersi, relativa alle clausole contrattuali tipo per il trasferimento di dati personali da titolari a responsabili del trattamento - come modificata dalla decisione di esecuzione 2016/2297 della Commissione del 16 dicembre 2016.

L'Alta Corte d'Irlanda si è chiesta se la decisione CPT possa essere considerata valida quantunque le sue clausole non abbiano carattere vincolante nei confronti delle autorità statuali del paese terzo e, pertanto, non siano idonee a porre rimedio alla eventuale assenza, in esso, di un livello di protezione adeguato. Per quanto sussistano situazioni in cui, a seconda dello stato del diritto e delle prassi vigenti nel paese terzo, il destinatario di un trasferimento siffatto è in grado di garantire la protezione dei dati necessaria sulla base delle sole clausole tipo di protezione dei dati, ve ne sono altre in cui quanto pattuito in tali clausole potrebbe non essere sufficiente a garantire, in concreto, la protezione dei dati personali oggetto di trasferimento. Ciò si verifica, ad esempio, quando l'ordinamento del paese terzo permetta alle autorità pubbliche ingerenze nei diritti delle persone interessate relativi a tali dati. Quindi, in particolare, il giudice irlandese ha chiesto alla Corte di precisare gli elementi da prendere in considerazione per determinare se tale livello di protezione sia garantito nel contesto di un trasferimento siffatto.

Le considerazioni della CGUE partono dalla constatazione che, per quanto l’art. 46 del Regolamento non precisi la natura dei requisiti che derivano dal riferimento alle “garanzie adeguate” ed alle condizionalità che ad esse debbono associarsi – cioè, cfr. art. 46.1, la disponibilità in capo agli interessati di “diritti azionabili” e di “mezzi di ricorso effettivi” -, detto articolo è pur sempre collocato all'interno del capo V e pertanto deve essere letto alla luce dell’art. 44 (“Principio generale per il trasferimento”), per il quale “tutte le disposizioni del presente capo sono applicate al fine di assicurare che il livello di protezione delle persone fisiche garantito dal presente regolamento non sia pregiudicato”.

In base al considerando 108, quelle garanzie adeguate che, in assenza di una decisione di adeguatezza, il titolare (o il responsabile) del trattamento deve adottare ai sensi dell'art. 46.1, devono compensare la carenza di protezione dei dati nel paese terzo e assicurare il rispetto dei requisiti in materia di protezione dei dati e dei diritti degli interessati “adeguato ai trattamenti all’interno dell’Unione”.

Orbene, la Corte afferma che la valutazione richiesta (evidentemente all'esportatore di dati) nel contesto di un trasferimento verso un importatore stabilito extra-UE, deve prendere in considerazione tanto le clausole contrattuali da convenire tra il titolare/responsabile del trattamento intra-UE e il destinatario del trasferimento stabilito nel paese terzo, quanto, per quel che riguarda un eventuale accesso delle autorità pubbliche di tale paese terzo ai dati personali trasferiti, gli elementi rilevanti del sistema giuridico di quest’ultimo. E aggiunge che “relativamente a quest’ultimo aspetto, gli elementi che occorre prendere in considerazione nel contesto dell’articolo 46 di tale regolamento corrispondono a quelli enunciati, in modo non esaustivo, all’articolo 45, paragrafo 2, di detto regolamento”.

Si tratta di un passaggio molto importante e vieppiù delicato, nella misura in cui la disamina preventiva richiesta appare analoga a quella prescritta alla Commissione UE per istruire e poter adottare una decisione di adeguatezza. Con quale/quanta differenza di risorse, mezzi e tempo/i a disposizione, rispetto ad una impresa, chiunque è in grado di rendersi conto.

E' un divario incolmabile, sol che si consideri che una simile indagine potrebbe rivelarsi complessa, costosa in termini di economia e di tempo - risorse che la Commissione UE, a differenza dell'impresa, ha/si concede in abbondanza – una vera e propria ricerca in ambito giuridico-istituzionale che potrebbe, di fatto, risultare irrealizzabile.

Ma andiamo, con un po' di pazienza, a completare tutto il ragionamento sviluppato dalla Corte.

Intanto, a confermare l'entità della questione, la Corte si sofferma su una importante distinzione tra decisione di adeguatezza e garanzie adeguate ai sensi dell'art. 46.2, lett. c). La prima mira, all'esito di un esame “della normativa del paese terzo interessato che tenga conto, in particolare, della legislazione pertinente in materia di sicurezza nazionale e di accesso delle autorità pubbliche ai dati personali, a constatare con effetto vincolante che un paese terzo, un territorio o uno o più settori determinati in quest’ultimo, garantisce un livello di protezione adeguato e che, pertanto, l’accesso a tali dati da parte delle autorità pubbliche del suddetto paese non osta ai trasferimenti di dati verso lo stesso paese terzo”.

Viceversa, nel secondo caso, quello di una decisione della Commissione che adotta clausole tipo come la decisione CPT, nei limiti in cui essa non riguarda un paese terzo, un territorio o uno o più settori determinati in quest’ultimo, non si può dedurre dall’art. 46.1, né dall’art. 46.2, lett. c), che la Commissione sia tenuta a procedere, prima dell’adozione di una decisione del genere, a una valutazione dell’adeguatezza del livello di protezione garantito dai paesi terzi verso i quali potrebbero essere trasferiti dati personali in base a tali clausole. Trattandosi all'evidenza - aggiungiamo noi - di clausole destinate ad essere applicate alle operazioni di trasferimento verso una platea vasta ed eterogenea di paesi terzi e/o organizzazioni internazionali.

Comunque, il 'mandato' affidato al potenziale esportatore è perentorio: spetta a questi (che sia il titolare o il responsabile del trattamento) prevedere le garanzie adeguate (cfr. anche i considerando 108 e 114); e tenere conto della circostanza per cui, come risulta dal punto 125 della sentenza, è intrinseco al carattere contrattuale delle clausole tipo che esse non possono vincolare le autorità pubbliche dei paesi terzi ma, appunto – per il combinato disposto degli artt 44, 46.1 e 46.2, lettera c), interpretati alla luce degli artt. 7, 8 e 47 della Carta dei Diritti Fondamentali dell'Unione Europea -, non per questo il livello di protezione delle persone fisiche garantito dal Regolamento deve essere pregiudicato. Per ciò, potrebbe rendersi necessario completare le garanzie contenute nelle dette clausole tipo.

Il Privacy Shield è stato invalidato dalla Corte di Giustizia UE

Poiché le clausole tipo di protezione dei dati non possono fornire garanzie che vadano al di là dell'obbligo contrattuale di vegliare sul rispetto del livello di protezione richiesto dal diritto dell’Unione, esse possono richiedere, in funzione della situazione esistente nell’uno o nell’altro paese terzo, l’adozione di misure supplementari al fine di garantire il rispetto di tale livello di protezione (essendo così confermata la modificabilità 'in melius', dal punto di vista della protezione dei dati e dei connessi diritti degli interessati, delle clausole tipo, del resto già espressamente contemplata dal considerando 109).

E' dunque compito del titolare (o del responsabile) del trattamento verificare, caso per caso, anche (preferibilmente, per chi scrive) in collaborazione con il destinatario del trasferimento, se il diritto del paese terzo di destinazione garantisca una protezione adeguata dei dati personali trasferiti sulla base di clausole tipo di protezione dei dati, fornendo, se necessario, garanzie supplementari rispetto a quelle offerte da tali clausole.

Che fare, però, alla fine di questo (faticoso) iter, quando ci si dovesse rendere conto che la protezione adeguata non può essere garantita? Per la Corte è chiaro che “qualora il titolare del trattamento o il responsabile del trattamento, stabiliti nell’Unione, non possano adottare misure supplementari sufficienti a garantire tale protezione, essi o, in subordine, l’autorità di controllo competente, sono tenuti a sospendere o mettere fine al trasferimento di dati personali verso il paese terzo interessato. Tale ipotesi ricorre, in particolare, nel caso in cui il diritto di tale paese terzo imponga al destinatario di un trasferimento di dati personali proveniente dall’Unione obblighi in contrasto con dette clausole e, pertanto, atti a rimettere in discussione la garanzia contrattuale di un livello di protezione adeguato contro l’accesso delle autorità pubbliche di detto paese terzo a tali dati”.

Correlativamente, però, il fatto che le clausole tipo di protezione dei dati contenute in una decisione della Commissione non vincolino le autorità dei paesi terzi verso i quali i dati personali possono essere trasferiti, non può di per sé inficiare la validità di tale decisione. Quella validità dipende, per contro, dalla questione se, conformemente al requisito risultante dagli artt. 46,1 e 46.2, lett. c), interpretati alla luce degli artt. 7, 8 e 47 della Carta, la decisione contenga meccanismi efficaci che consentano, in pratica, di garantire il rispetto del livello di protezione richiesto dal diritto dell’Unione e che i trasferimenti di dati personali, fondati su determinate clausole, siano sospesi o vietati in caso di violazione di tali clausole o di impossibilità di rispettarle.

La Corte, eseguita una ampia disamina (peraltro assai utile per chi desideri accedere nel concreto al meccanismo delle clausole tipo) del contenuto della decisione CPT, accerta che la stessa instaura i meccanismi richiesti e, a tal proposito, sottolinea che la decisione stabilisce un obbligo per l’esportatore dei dati e il destinatario del trasferimento di verificare, preliminarmente, che tale livello di protezione sia rispettato nel paese terzo considerato; inoltre la decisione impone al suddetto destinatario di informare l’esportatore dei dati della sua eventuale impossibilità di conformarsi alle clausole tipo di protezione, con l’onere, in tal caso, per quest’ultimo di sospendere il trasferimento di dati e/o di risolvere il contratto concluso con il primo.

Quanto al ruolo delle autorità di controllo, la Corte statuisce che l’art. 58.2, lettere f) e j), deve essere interpretato nel senso che, a meno che esista una decisione di adeguatezza adottata dalla Commissione europea, l’autorità di controllo competente è tenuta a sospendere/vietare un trasferimento di dati verso un paese terzo eseguito sulla base di clausole tipo adottate dalla Commissione, qualora detta autorità di controllo ritenga, in base alle circostanze del trasferimento, che le suddette clausole non siano o non possano essere rispettate nel paese terzo e che la protezione dei dati trasferiti richiesta dal diritto dell’Unione non possa essere garantita con altri mezzi, ove il titolare del trattamento o il responsabile del trattamento esportatori non abbiano essi stessi sospeso il trasferimento o messo fine a quest’ultimo.

Per ciò che riguarda, poi, l’esame della decisione 2010/87/UE della Commissione, del 5 febbraio 2010, come modificata dalla decisione di esecuzione 2016/2297 della Commissione del 16 dicembre 2016, alla luce degli articoli 7, 8 e 47 della Carta, per la CGUE non è emerso alcun elemento idoneo ad inficiarne la validità. L'esame è stato, per così dire, superato.

Quell'esame sul campo che, invece, anche sulla scorta di questa pronuncia, attende imprese ed operatori economici ogni volta che debbano programmare trasferimenti di dati in assenza di decisioni di adeguatezza, conferma - se ve n'era bisogno - il carattere accentuatamente problematico e complesso degli adempimenti ante-trasferimenti, la fondatezza delle preoccupazioni connesse, la certezza di una spesso imponente responsabilità.

Note Autore

Paolo Marini Paolo Marini

Avvocato civilista in Firenze, consulente di imprese ed enti pubblici per l’attuazione della normativa in materia di protezione dei dati personali, della responsabilità amministrativa degli enti e delle persone giuridiche, e l’implementazione di Sistemi di gestione ai sensi degli standard ISO 9001 e SA8000.

Prev E' Pasquale Stanzione il nuovo Presidente del Garante per la Privacy

Umberto Rapetto: più tutelati con Gdpr ma non bisogna abbassare la guardia

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
captcha 
Privacy e Termini di Utilizzo