Nelle scorse settimane, i membri del parlamento europeo (MEPs, Members of the European Parliament) sono intervenuti su due tematiche di rilievo entrambe con importanti conseguenze sui trasferimenti dei dati personali al di fuori del SEE (spazio economico europeo).
I MEPs hanno dapprima formulato una formale richiesta alla Commissione europea perché emetta delle linee guida sui trasferimenti di dati personali verso gli Stati Uniti, alla luce di quanto statuito dalla Corte di giustizia dell’Unione europea con la sentenza del 16 luglio 2020 Data Protection Commissioner contro Facebook Ireland Limited e Maximillian Schrems, C-311/18, c.d. “Schrems II“, precisando che la Commissione non dovrebbe emettere alcuna decisione di adeguatezza senza tenere in dovuta considerazione la sentenza della Corte.
Successivamente, il 20 maggio scorso, i MEPs hanno richiesto alla stessa Commissione di modificare la decisione sull’adeguatezza del Regno Unito, rilevando, anche in questo caso, la necessità di adempiere ai principi dettati dalla Sentenza Schrems II e dare riscontro alle preoccupazioni già manifestate dallo European Data Protection Board (EDPB) nei suoi pareri.
Indice degli argomenti
Trasferimenti dati extra UE: impatti sulle imprese
La tematica dei trasferimenti dei dati personali fuori dall’Unione Europea è complessa e ha forti impatti sulle imprese che devono trasferire i dati personali in UK e in USA, e non solo, poiché i principi dettati dalla sentenza Schrems II, così come le opinion e le raccomandazioni dell’EDPB riguardano, in generale, tutti i trasferimenti di dati personali al di fuori dell’Unione Europea e dello Spazio Economico Europeo.
Nel quadro normativo incerto, si inseriscono anche le prime pronunce delle Autorità Garanti volte a bloccare o sospendere i trasferimenti: tra le altre, si vedano la sentenza della High Court irlandese che ha confermato la legittimità delle procedure seguite dall’Autorità di controllo Data Protection Commission nella decisione relativa ai trasferimenti dei dati dei propri utenti da parte di Facebook Ireland Ltd, la decisione dell’Autorità portoghese per la protezione dei dati, Comissão Nacional de Proteção de Dados, che ha ordinato all’Istituto Nazionale di Statistica di sospendere l’invio dei dati personali relativi al Censimento 2021 verso gli Stati Uniti, la pronuncia dell’Autorità di controllo svedese che ha emesso una sanzione nei confronti dell’Università di Umeå in relazione a dati personali archiviati in una piattaforma cloud che si trovava negli Stati Uniti, il provvedimento dell’Autorità di controllo bavarese nei confronti di Mailchimp.
Di recente, anche il Garante Europeo ha avviato due indagini riguardanti l’uso dei servizi cloud forniti da Amazon Web Services e Microsoft da parte delle istituzioni dell’Unione Europea e l’uso di Microsoft Office 365 da parte della Commissione europea, al fine di accertare che le istituzioni dell’UE si conformino alla sentenza “Schrems II”.
Trasferimento dati transfrontaliero: perché è cruciale per l’UE
La possibilità di trasferire i dati personali a livello transfrontaliero è evidentemente cruciale per l’innovazione, la produttività e la competitività economica dell’UE, soprattutto in questo periodo di pandemia, che rende i trasferimenti essenziali per garantire la continuità delle operazioni commerciali, delle funzioni governative e delle interazioni sociali.
In questo scenario, le decisioni di adeguatezza risultano strumenti estremamente importanti perché sono in grado di agevolare significativamente l’attività economica, in particolare per le PMI, che, a differenza delle grandi imprese, spesso non hanno le capacità finanziarie, giuridiche e tecniche necessarie per ricorrere ad altri strumenti di trasferimento.
Tuttavia, rimane la necessità di garantire un livello di protezione dei dati adeguato e, a tal fine, il Parlamento ha invitato la Commissione ad adottare tutte le misure necessarie per garantire che qualsiasi nuova decisione di adeguatezza relativa agli Stati Uniti sia pienamente conforme non solo al GDPR, e alla Carta, ma anche a quanto statuito nella sentenza della CGUE, sottolineando l’importanza di un accordo con gli Stati Uniti, poiché nessun contratto tra imprese può fornire protezione dall’accesso indiscriminato delle autorità di intelligence al contenuto delle comunicazioni elettroniche, né può fornire sufficienti mezzi di ricorso giuridici contro la sorveglianza di massa.
Per questo motivo, il Parlamento auspica una riforma delle leggi e delle prassi statunitensi in materia di sorveglianza, finalizzata a garantire che l’accesso da parte delle autorità di sicurezza ai dati trasferiti dall’UE sia limitato a quanto necessario e proporzionato e che gli interessati europei abbiano accesso a un effettivo ricorso giudiziario dinanzi ai tribunali statunitensi.
Il relatore Juan Fernando López Aguilar (S&D, ES) ha affermato: “La Commissione non deve ripetere gli stessi errori negoziando accordi di trasferimento dei dati personali con gli Stati Uniti. Non vogliamo assistere a un caso “Schrems III”, quindi è fondamentale che la Commissione faccia bene questa volta”.
L’amministrazione Biden ha nominato un esperto di privacy a capo delle negoziazioni con l’UE per individuare un meccanismo sostitutivo del Privacy Shield, dimostrando un forte impegno a risolvere la questione dei trasferimenti di dati tra UE e US; auspicabilmente, dopo la risoluzione del Parlamento, il dialogo tra la Commissione e le sue controparti statunitensi, già avviato dopo la sentenza Schrems II, si intensificherà.
In mancanza, i MEPs invitano gli Stati membri a concludere accordi di “non spionaggio” con USA e UK.
Decisione di adeguatezza per il Regno Unito: i dubbi dei MEPs
In questo scenario si inserisce l’attesa decisione di adeguatezza per il Regno Unito, sulla quale sono ancora molti i dubbi e le verifiche richieste sia dall’EDPB che dai MEPs, che risulta di estrema importanza dato che molte imprese europee che forniscono beni e servizi a livello internazionale effettuano scambi commerciali attraverso la Manica e hanno bisogno di certezza giuridica per poter gestire i trasferimenti di dati personali.
La Commissione europea ha pubblicato una bozza della decisione di adeguatezza per il Regno Unito il 19 febbraio scorso, sulla quale l’EDPB ha emesso l’Opinion 14/2021 regarding the European Commission Draft Implementing Decision pursuant to Regulation (EU) 2016/679 on the adequate protection of personal data in the United Kingdom, con la quale ha richiesto alla Commissione numerose verifiche e un costante monitoraggio sul quadro normativo del Regno Unito.
Ora, anche i MEPs chiedono alla Commissione modifiche al testo di decisione di adeguatezza, a poche settimane dal termine del periodo di transizione c.d. “the bridge”, previsto dall’accordo commerciale e di cooperazione UE-UK (TCA) per il 30 giugno 2021, generando incertezza su quello che succederà successivamente allo scadere del bridge, poiché i trasferimenti di dati personali verso il Regno Unito sono attualmente disciplinati da un regime provvisorio, che garantisce la piena continuità dei flussi di dati tra il SEE e il Regno Unito solo in via temporanea fino al 30 giugno prossimo.
Linee guida per trasferimenti dati verso gli USA
Come noto, con la Sentenza Schrems II, la CGUE ha dichiarato invalida la decisione della Commissione Europea che stabiliva l’adeguatezza del Privacy Shield, che legittimava i trasferimenti di dati personali dall’UE agli Stati Uniti.
In particolare, la Corte ha ritenuto che l’articolo 702 del Foreign Intelligence Surveillance Act (FISA) e il decreto presidenziale (ex Executive Order 12333) non rispettano le garanzie minime previste dal diritto dell’Unione a protezione dei dati personali. La corte ha validato l’uso di clausole contrattuali tipo (“SCCs”), a condizione che l’esportatore verifichi il livello di protezione dei dati del paese terzo prima del trasferimento.
Successivamente alla sentenza si sono susseguiti diversi interventi, tra cui le FAQ e le Raccomandazioni 01/2020 dell’EDPB, il parere congiunto di EDPB e del European Data Protection Supervisor (EDPS) sui nuovi modelli di clausole contrattuali tipo pubblicate lo scorso 12 novembre dalla Commissione Europea.
Nella risoluzione del 20 maggio scorso, i MEPs hanno espressamente indicato alla Commissione di integrare nelle sue proposte le Raccomandazioni dell’EDPB e il suo parere congiunto con il Garante europeo della protezione dei dati e hanno esortato la Commissione a pubblicare delle linee guida per rendere i trasferimenti di dati conformi alle recenti sentenze, ricordando che le imprese hanno urgentemente bisogno di orientamenti chiari e di concreto supporto al fine di garantire certezza giuridica nell’applicazione e nell’interpretazione della sentenza della Corte.
I membri del parlamento hanno, dunque, esortato l’EDPB a pubblicare ulteriori orientamenti sui trasferimenti internazionali di dati per le imprese, in particolare per le PMI, che non hanno le conoscenze o le capacità necessarie per effettuare la verifica della normativa del paese terzo, con ripercussioni negative per le loro attività economiche, prevedendo degli strumenti utili a valutare se i governi siano autorizzati ad accedere o possano accedere ai dati, nonché informazioni chiare sulle misure supplementari da adottare nel caso in cui si utilizzino le clausole contrattuali tipo.
Considerando che la CGUE, che già nella sentenza “Schrems I” aveva dichiarato non valida la decisione della Commissione sul Safe Harbor, contestando l’accesso indiscriminato al contenuto delle comunicazioni elettroniche da parte delle autorità di intelligence, nuovamente, nella sentenza “Schrems II”, ha rilevato che gli Stati Uniti non prevedono mezzi di ricorso sufficienti per i cittadini non statunitensi contro la sorveglianza di massa, in violazione del diritto a un ricorso giurisdizionale previsto dall’articolo 47 della Carta, il Parlamento invita gli Stati membri a concludere accordi con gli Stati Uniti volti ad evitare la sorveglianza di massa e invita la Commissione a comunicare alle sue controparti statunitensi che se le leggi e le pratiche di sorveglianza degli Stati Uniti non verranno modificate, l’unica opzione realistica per ottenere una futura decisione di adeguatezza sarebbe la conclusione di accordi di “non spionaggio” con gli Stati membri.
Non può bastare un sistema di autocertificazione
Entrando nel merito, il Parlamento ritiene che qualsiasi futura decisione di adeguatezza non dovrebbe basarsi su un sistema di autocertificazione, come avveniva sia nel caso del Safe Harbor che nel caso del Privacy Shield e invita la Commissione a coinvolgere pienamente l’EDPB nelle valutazioni concernenti le decisioni di adeguatezza e, a tale riguardo, a concordare con l’amministrazione statunitense le misure necessarie per consentire all’EDPB di svolgere efficacemente questo ruolo.
Il Parlamento chiede, dunque, alla Commissione di applicare in modo più rigoroso le norme del GDPR e le sentenze Schrems I e II della CGUE nel valutare se sia garantito un livello di protezione sostanzialmente equivalente a quello garantito dal GDPR, anche in termini di accesso a un ricorso effettivo e di protezione contro l’accesso indebito ai dati personali da parte delle autorità del paese terzo.
Infine, esorta la Commissione revocare o a sospendere le decisioni precedenti al GDPR, nei casi in cui il paese terzo non fornisca un livello di protezione sostanzialmente equivalente e la situazione non possa essere sanata.
La risoluzione del Parlamento contiene anche una raccomandazione per le autorità di controllo nazionali affinché sospendano il trasferimento di dati personali che possono essere soggetti all’accesso delle autorità pubbliche statunitensi, laddove la Commissione adotti un’eventuale nuova decisione in relazione agli Stati Uniti in assenza delle garanzie individuate dalla sentenza della CGUE.
I deputati hanno, infine, invitato a creare soluzioni europee per la conservazione dei dati, in modo da poter raggiungere una vera autonomia nella gestione dei dati personali.
Da ultimo, i membri del Parlamento UE hanno espresso il loro disappunto nei confronti della Irish Data Protection Commission (DPC), l’Autorità di controllo irlandese, per la sua decisione di avviare un procedimento contro Maximilian Schrems e Facebook dinanzi alla Corte Suprema irlandese, invece di adottare una decisione nell’ambito dei suoi poteri ex art 58 GDPR e criticano anche i lunghi tempi di risoluzione dell’Autorità, invitando la Commissione ad avviare una procedura di infrazione nei confronti dell’Irlanda per non aver applicato correttamente il GDPR.
La risoluzione sulla decisione di adeguatezza del Regno Unito
Lo scorso 21 maggio i MEPs hanno invitato la Commissione a modificare la proposta di decisione di adeguatezza del Regno Unito pubblicata nel febbraio scorso, sostenendo che nonostante le leggi britanniche sulla protezione dei dati siano simili a quelle dell’UE, permangono perplessità sull’applicazione e sulle esenzioni previste dalla normativa inglese.
In particolare, occorre chiarire le esenzioni previste per i settori dell’immigrazione e della sicurezza nazionale e verificare il regime dei trasferimenti di dati da UK verso paesi terzi e l’accesso in massa ai dati personali da parte delle forze dell’ordine.
In conseguenza dei rilievi mossi, i MEPs chiedono alla Commissione europea di modificare il suo progetto di decisione sulla protezione dei dati del Regno Unito per garantire il rispetto dei principi delle norme dell’Unione a protezione della privacy dei cittadini.
In particolare, nella risoluzione dello scorso maggio, i membri del Parlamento chiedono che la decisione sull’adeguatezza della protezione dei dati nel Regno Unito sia allineata alle ultime sentenze della Corte di giustizia, riscontrando puntualmente i rilievi già mossi dall’EDPB nel suo parere.
L’EDPB, infatti, ritiene che le pratiche di accesso ai dati massivo, i trasferimenti successivi e gli accordi internazionali stipulati dal Regno Unito debbano essere ulteriormente analizzati. Il regime britannico, infatti, contiene esenzioni nel campo della sicurezza nazionale e dell’immigrazione, che ora si applicano anche ai cittadini dell’UE che desiderano rimanere o stabilirsi nel Regno Unito.
L’attuale legislazione britannica permette anche l’accesso e la conservazione dei dati di massa e la corte dell’UE ha ritenuto che l’accesso indiscriminato non sia coerente con il regolamento generale sulla protezione dei dati.
I deputati accolgono con favore i recenti cambiamenti legislativi che permettono ai cittadini l’accesso al ricorso giudiziario sulle decisioni relative ai dati personali, ma si dichiarano preoccupati per i trasferimenti dei dati successivi, dal Regno Unito a Paesi terzi.
Come già rilevato dall’EDPB nella sua Opinion, i MEPs invitano a monitorare anche gli accordi internazionali conclusi tra il Regno Unito e paesi terzi e ad accordi con gli Stati Uniti che potrebbero permettere la condivisione dei dati dei cittadini europei con gli USA, nonostante le recenti sentenze della Corte di giustizia europea.
Anche la richiesta di adesione del Regno Unito al Comprehensive and Progressive Trans-Pacific Partnership (CPTPP) potrebbe avere implicazioni sul flusso di dati verso paesi che non hanno ottenuto una decisione di adeguatezza da parte dell’UE.
Anche in questa risoluzione, i deputati suggeriscono che vengano stipulati degli accordi di “non spionaggio” tra gli stati membri e il Regno Unito.
La risoluzione afferma duramente che, se la decisione di adeguatezza fosse adottata senza modifiche, le autorità nazionali di controllo dovrebbero sospendere i trasferimenti di dati personali verso il Regno Unito in tutti i casi in cui fosse possibile un accesso indiscriminato ai dati personali da parte delle autorità di intelligence britanniche.
