Trasferimento dati personali all’estero: è richiesta l’adeguatezza del livello di protezione

Assonime con la circolare n. 26/2020 dal titolo “Trasferimento extra UE dei dati personali: la sentenza Schrems II della Corte europea di Giustizia e le sue implicazioni”, affronta il tema del trasferimento dei dati personali dall’Unione europea verso paesi terzi alla luce della disciplina del Regolamento (UE) (GDPR) e della pronuncia della Corte di giustizia nel caso Schrems II. Lo standard a cui fare riferimento per stabilire l’adeguatezza del livello di protezione è sempre quello della “sostanziale equivalenza” rispetto a quanto assicurato dal GDPR.

Con la pubblicazione della circolare n. 29/2020 del 9 ottobre 2020 dal titolo “Trasferimento extra UE dei dati personali: la sentenza Schrems II della Corte europea di Giustizia e le sue implicazioni”, Assonime affronta il tema del trasferimento dei dati personali dall’Unione europea verso paesi terzi alla luce della disciplina del Regolamento (UE) 2016/679 (GDPR) e della pronuncia della Corte di giustizia del 16 luglio 2020 nel caso Schrems II. Dopo la sintesi del quadro normativo europeo in materia di trasferimento di dati verso paesi terzi e la ricostruzione della vicenda che ha portato alla sentenza Schrems II, la circolare illustra il contenuto della pronuncia.

Sinteticamente si può affermare che con questa sentenza la Corte di giustizia:

- ha dichiarato incompatibile con la disciplina europea la decisione di adeguatezza circa il livello di protezione offerto dagli Stati Uniti adottata nel 2016 (c.d. Privacy Shield);

- fornisce indicazioni sui requisiti che devono essere rispettati, in assenza di una decisione di adeguatezza, per la legittimità del trasferimento extra UE dei dati personali, con particolare riferimento al ricorso alle clausole contrattuali tipo elaborate dalla Commissione europea.

L’European Data Protection Board (EDPB) già prima della sentenza Schrems II ha fornito alcune prime indicazioni per il trasferimento extra UE dei dati personali e, in particolare, si è impegnato a fornire indicazioni sulle misure supplementari, di natura giuridica, tecnica o organizzativa, che potrebbero integrare le clausole contrattuali tipo o le binding corporate rules per il trasferimento dei dati extra UE laddove queste non assicurino, di per sé, un livello sufficiente di garanzie.

La Corte di giustizia ha dichiarato l’invalidità della decisione Privacy Shield senza preservarne gli effetti, in quanto la legislazione statunitense esaminata non offre un livello di protezione sostanzialmente equivalente a quello garantito dal diritto europeo. Questa valutazione deve essere tenuta presente per qualsiasi trasferimento di dati verso gli Stati Uniti e impone, in pratica, agli esportatori di dati un riesame della base giuridica del trasferimento.

Per continuare il trasferimento occorre avvalersi delle altre basi giuridiche previste dal GDPR, verificando che siano soddisfatte le condizioni indicate dalla Corte di giustizia e ulteriormente chiarite dall’EDPB.

Per i trasferimenti basati sulle clausole tipo contrattuali di protezione, ad esempio, l’esportatore di dati deve valutare, alla luce delle circostanze del trasferimento e delle misure supplementari di garanzia eventualmente predisposte, se l’insieme delle salvaguardie sia sufficiente a escludere l’interferenza della legislazione statunitense con l’adeguato livello di protezione offerto dalle clausole tipo e dalle misure supplementari stesse. Qualora, a seguito della valutazione, venga accertato che non vi sono salvaguardie sufficienti, l’operatore deve sospendere o cessare il trasferimento. Se intende proseguire il trasferimento nonostante l’esito della valutazione, deve darne comunicazione all’autorità di controllo competente.

La sentenza Schrems II ha in sostanza chiarito che lo standard a cui fare riferimento per stabilire l’adeguatezza del livello di protezione è sempre quello della “sostanziale equivalenza” rispetto a quanto assicurato dal GDPR.

Naturalmente i criteri fissati dalla Corte per l’utilizzo delle “garanzie adeguate” ai sensi dell’articolo 46 del GDPR, comprese le clausole tipo e le norme vincolanti d’impresa, devono essere osservati anche per il trasferimento di dati personali verso paesi terzi diversi dagli Stati Uniti. E’ sempre responsabilità dell’esportatore e dell’importatore dei dati verificare se nel paese di destinazione è rispettato il livello di protezione richiesto dal diritto dell’Unione. Quando l’esame dell’ordinamento del paese terzo porta a concludere che i dati trasferiti sulla base delle clausole tipo o di norme vincolanti d’impresa non godono di un livello di protezione sostanzialmente equivalente a quello europeo, l’esportatore deve immediatamente sospendere i trasferimenti oppure, se non intende procedere in tal senso, deve darne comunicazione all’autorità di controllo nazionale che avrò dunque un ruolo chiave nel sistema.

Le eventuali misure di salvaguardia supplementari rispetto all’utilizzo di clausole tipo o di norme vincolanti d’impresa devono essere individuate caso per caso, tenuto conto di tutte le circostanze del trasferimento e dopo aver valutato se la legislazione del paese terzo assicura un livello adeguato di protezione.

Fonte: https://www.ipsoa.it/documents/impresa/contratti-dimpresa/quotidiano/2020/10/10/trasferimento-dati-personali-estero-richiesta-adeguatezza-livello-protezione