FAQ sul caso La Corte di Giustizia dell’UE

Lug 12, 2020

La Corte di Giustizia dell’UE (la “Corte”) era chiamata a rispondere a undici domande presentate dalla High Court irlandese. La Corte era libera di riformulare le domande e di affrontarne solo alcune. Queste FAQ forniscono una panoramica essenziale della decisione e delle domande a cui è stata data risposta. Abbiamo inoltre cercato di evidenziare le principali conseguenze per individui e aziende.

(I) Ambito di applicazione della decisione

Quali trasferimenti di dati UE-USA non sono interessati da questo caso?

Precisiamo subito: i trasferimenti verso gli USA di carattere “necessario” non sono coinvolti da questa decisione.Viceversa, il caso riguarda principalmente i trasferimenti volontari verso Stati Uniti.

Il caso non riguarda: (1) le informazioni che non sono "dati personali" e (2) i trasferimenti di dati "necessari" verso gli Stati Uniti (ad esempio, e-mail verso gli USA, prenotazioni, ecc. ). Infatti, nella maggior parte dei casi, questi trasferimenti beneficiano di una "deroga" prevista dall'articolo 49 del GDPR.

Di conseguenza, questa decisione non impedisce l’invio di e-mail o messaggi dall'UE agli Stati Uniti. Qualsiasi affermazione che suggerisca il contrario è semplicemente errata.

Nonostante ciò, molte aziende stabilite nell’UE dovranno comunque rivedere le loro pratiche di outsourcing nel caso in cui affidino tutti o alcuni dei dati personali a fornitori statunitensi. Anche i destinatari di questi dati negli Stati Uniti dovranno effettuare una revisione analoga nel caso in cui siano soggetti agli obblighi previsti dalle leggi statunitensi in materia di sorveglianza, come il FISA 702.

Qual è la differenza tra “outsourcing” e trasferimento “assolutamente necessario”, compreso l'invio di e-mail, prenotazioni alberghiere o transazioni commerciali?

Trasferimenti di datinecessari”: Si tratta di casi in cui i dati devono essere trasferiti negli USA (ad es. per prenotare di un albergo, inviare di un'e-mail a un residente USA, o per concludere transazioni commerciali tra l'UE e gli USA). Questi trasferimenti sono consentiti indipendentemente dalla validità delle Standard Contractual Clauses (SCC), il Privacy Shield o le Binding Corporate Rules (BCR).

Outsourcing: In questi casi il trasferimento verso Stati Uniti avviene per ragioni diverse dalla stretta necessità, ad esempio perché più facile, meno costoso o più pratico affidare il trattamento a un fornitore di servizi americano, anche se tecnicamente i dati potrebbero essere memorizzati all'interno dell'UE/SEE. In questo caso, di solito, non esiste una deroga generale ai sensi dell'articolo 49 del GDPR. Con la decisione odierna, il Privacy Shield è stato dichiarato invalido. Inoltre le SCC non potranno essere utilizzate da compagnie statunitensi coinvolte nei programmi di sorveglianza.

Questo caso riguarda il trasferimento di dati verso paesi diversi dagli Stati Uniti?

Il caso non riguarda direttamente tali trasferimenti.

Tuttavia, la decisione comporta conseguenze indirette. Le aziende dovranno infatti rivedere il livello effettivo di protezione offerto nei paesi terzi molto più attentamente di quanto non abbiano fatto in precedenza. Per quanto riguarda le SCC, ad esempio, il problema della sorveglianza è di pari importanza rispetto alle leggi di paesi come la Cina o la Russia.

(II) Conseguenze per i consumatori

I consumatori europei possono ancora utilizzare servizi statunitensi (o di altri paesi terzi)?

Gli utenti europei sono liberi di inviare i propri dati personali direttamente a un paese terzo, ad esempio quando utilizzano un sito web cinese.

Tuttavia, non sarà più possibile condividere direttamente i dati di altre persone (ad es. amici, colleghi) con un provider statunitense, a meno che non si sia ottenuto il loro consenso libero, specifico, informato e inequivocabile.

I consumatori europei possono ancora utilizzare servizi statunitensi (o di altri paesi terzi) in modo indiretto (attraverso una filiale dell'UE)?

In molti casi, gli utenti UE/SEE hanno un contratto con una filiale UE di una società statunitense. Ne sono un esempio Google Irlanda, Facebook Irlanda, Microsoft Lussemburgo o Amazon Lussemburgo.

In questi casi, le società dell'UE hanno la responsabilità di garantire che i flussi di dati personali "interni all'azienda" verso gli Stati Uniti siano conformi al GDPR. Le società dovranno ora studiare con attenzione i trasferimenti in atto e valutare l’opportunità di lasciare i dati in UE o in altri Paesi in grado di garantire maggiori garazie privacy anzichè essere trasferiti negli Stati Uniti.

(III) Conseguenze per le società

Le aziende UE/SEE possono ancora effettuare trasferimenti "necessari" di dati personali verso gli Stati Uniti?

Nella maggior parte dei casi, sì.

L'articolo 49 del GDPR contiene un elenco di "deroghe" che consentono tali trasferimenti di dati. In genere sono permessi l'inoltro di ordini da parte di imprese negli Stati Uniti, l'effettuazione di prenotazioni presso alberghi statunitensi, l'invio di e-mail negli Stati Uniti e, in generale, qualsiasi fornitura di servizi che logicamente richieda un trasferimento di dati UE-USA. Tali trasferimenti non fanno parte del caso e non sono interessati dalla sentenza.

Le aziende dell'UE/SEE possono continuare a "esternalizzare" il trattamento dei dati personali negli Stati Uniti?

Nella maggior parte dei casi, probabilmente no.

I fornitori di servizi più comunemente utilizzati negli Stati Uniti rientrano nel campo di applicazione delle leggi statunitensi sulla sorveglianza di massa, come il FISA 702, che impone loro di divulgare i dati personali al governo USA senza adeguate protezioni. Di conseguenza, il trasferimento dei dati verso tali soggetti viola il GDPR, come stabilito dalla CGUE.

Le aziende dell'UE/SEE possono continuare a esternalizzare il trattamento dei dati personali in paesi diversi dagli Stati Uniti?

Sì, se non ci sono leggi in conflitto in quel paese.

Il caso non modifica le regole GDPR per il trasferimento dei dati. Come in precedenza, ogni società dell'UE deve verificare se in un paese terzo esistono leggi che possono entrare in conflitto e prevalere sulle leggi europee sulla privacy. In questi casi, i dati personali non possono essere trasferiti.

Ad esempio, se una parte del trattamento è esternalizzato nel Paese A, il titolare del trattamento in UE deve verificare che il destinatario disponga di adeguate misure tecniche, ma anche che non vi siano leggi in conflitto che si applichino nel Paese A e che prevalgano su tali disposizioni.

Dunque, tutti i trasferimenti di dati dall'UE/SEE agli Stati Uniti sono ora vietati?

No, per niente - per due motivi:

  1. La maggior parte dei trasferimenti di dati non contiene "dati personali", ma qualche altra forma di dati. Tali trasferimenti di dati non sono nemmeno regolati dal GDPR.
  2. La maggior parte dei trasferimenti di dati personali "necessari" (ad es. in caso di invio di un'e-mail, di un messaggio o di una prenotazione alberghiera) rientrano ancora nella deroga di cui all'articolo 49. Questi trasferimenti possono continuare anche dopo la sentenza e non sono interessati dalla stessa.

Il caso riguarda tutti i destinatari statunitensi dei dati UE?

No. è rilevante solo per le aziende soggette alle leggi di sorveglianza degli Stati Uniti, o per le aziende che si avvalgono di fornitori che rientrano in queste leggi di sorveglianza degli Stati Uniti.

Ad esempio, il FISA 702 si applica solo ai "fornitori di servizi di comunicazione elettronica". Settori come banche, compagnie aeree, alberghi, compagnie di navigazione, vendita di merci e simili non sono di norma coperti da queste leggi. C'è tuttavia una certa ambiguità su questi termini e sulla legge statunitense. Appare necessario un chiarimento da parte del governo degli Stati Uniti.

In pratica, tuttavia, una banca (che non è intaccata dal FISA) può utilizzare essa stessa un "fornitore di servizi di comunicazione elettronica" (soggetto al FISA). Ciò significa che i dati della banca possono essere consultati tramite il "fornitore di servizi di comunicazione elettronica". Allo stesso modo, può trasferire dati non correttamente criptati che, ad esempio, potrebbero essere “intercettati” mentre vengono inviati attraverso cavi sottomarini (come consentito dall’Ordine esecutivo 12.333). Di conseguenza, l’intero flusso di dati transfrontaliero dovrà essere valutato.

Quali sono le conseguenze pratiche della decisione?

Dopo la sentenza, le aziende dovranno rivedere individualmente se hanno bisogno di cambiare le loro pratiche di trasferimento. In particolare, hanno l'obbligo di interrompere i trasferimenti di dati illegali. Non è una novità. Dopo la sentenza "Safe Harbor", molte aziende dell'UE si sono allontanate dai fornitori statunitensi.

Le aziende che continuano a trasferire illegalmente dati verso destinatari statunitensi saranno tenute a fermare tali trasferimenti il più rapidamente possibile per evitare di incorrere in multe fino a 20 milioni di euro o il 4% del loro fatturato globale. Le autorità nazionali per la protezione dei dati (DPA) hanno la responsabilità di rendere effettive tali sanzioni.

Gli utenti delle società UE possono richiedere di interrompere i trasferimenti. Se le aziende non seguono queste richieste, gli utenti possono presentare un reclamo presso una DPA o intentare una causa presso il tribunale locale. Ciò può portare a rimedi di carattere cautelare e al riconoscimento di danni. In molti paesi europei, gruppi di consumatori, sindacati e altri organismi possono anche intentare azioni collettive o azioni collettive se un'azienda continua a trasferire dati personali senza una base legale.

Cosa possono fare le aziende dell'UE/SEE?

Le aziende devono valutare se il trattamento dei dati personali deve essere esternalizzato a responsabili collocati negli Stati Uniti. In caso affermativo, devono individuare la base giuridica per il trasferimento dei dati (ad esempio le deroghe di cui all'articolo 49 GDPR, SCC, Privacy Shield o BCR).

La maggior parte dei fornitori di servizi cloud statunitensi si qualifica come "fornitori di servizi di comunicazione elettronica" e rientra pertanto nel campo di applicazione delle leggi di sorveglianza statunitensi come il FISA 702.

Anche se la maggior parte degli altri settori industriali non rientra in queste leggi, questi soggetti “esenti” possono a loro volta utilizzare "fornitori di servizi di comunicazione elettronica" che invece sono soggetti al FISA. Tra l’altro, devono essere presi in considerazione anche altri strumenti di sorveglianza come l'OE 12.333 che consente la "sorveglianza in transito" e l'accesso a dati non correttamente criptati durante il passaggio su cavi transatlantici.

Se non possono utilizzare uno degli strumenti giuridici che consentono il trasferimento ai sensi degli articoli 44-50 del GDPR, le società dovranno trasferire tutti i dati personali pertinenti all'UE/SEE e trovare un responsabile del trattamento all'interno dell'UE/SEE o in qualsiasi altro paese in cui sia garantita un'adeguata protezione dei dati personali.

Cosa possono fare le aziende statunitensi?

Le aziende statunitensi dovranno verificare se esse o i loro subappaltatori sono soggetti alle leggi di sorveglianza degli Stati Uniti e se i loro trasferimenti di dati sono criptati a un livello tale da garantire l'impossibilità di "intercettazione" durante il trasferimento. A seguito di tale verifica, dovranno comunicare ai loro clienti UE/SEE se il trattamento dei dati personali è influenzato dalla sentenza.

A lungo termine, può essere consigliabile spostare alcune elaborazioni fuori dagli Stati Uniti o discutere con i propri rappresentanti eletti le ricadute che le leggi sulla sorveglianza statunitensi stanno avendo sulla capacità delle aziende americane di condurre affari con clienti stranieri. Ci auguriamo inoltre che le imprese statunitensi parlino con il legislatore americano della mancanza di protezione offerta ai loro clienti internazionali.

 IV) CONSEGUENZE POLITICHE

Come si può risolvere a lungo termine il conflitto tra le leggi statunitensi sulla sorveglianza e le leggi europee sulla privacy?

Se gli Stati Uniti vogliono mantenere la loro posizione di principale fornitore di servizi informatici nel mondo, le leggi statunitensi sulla sorveglianza dovranno essere urgentemente riformate. Gli Stati Uniti dovranno introdurre protezioni di base della privacy che siano almeno equivalenti a quelle già concesse ai cittadini statunitensi. In caso contrario, è molto improbabile che i clienti stranieri continuino a utilizzare i fornitori di servizi statunitensi.

Non appena le leggi di sorveglianza statunitensi saranno riformate in questo modo, le aziende dell'UE potranno riprendere i trasferimenti di dati UE-USA e la Commissione europea potrà emettere nuovi strumenti stabili per consentire questo.

Quali modalità per i trasferimenti di dati UE-USA?

In sostanza, ci troviamo di fronte a un conflitto tra la privacy dell'UE e le leggi di sorveglianza degli Stati Uniti. Le leggi europee richiedono la protezione dei dati personali, mentre le leggi degli Stati Uniti richiedono la sorveglianza.

Il diritto alla privacy e alla protezione dei dati è un diritto fondamentale in Europa, come sancito dagli articoli 7 e 8 della Carta dei diritti fondamentali dell'UE. Tutti i 27 Stati membri dovrebbero concordare, all'unanimità, qualsiasi modifica di questi diritti fondamentali. La Commissione europea ha cercato di approvare eccezioni come il "Safe Harbor" e il "Privacy Shield", ma senza la necessaria riforma delle leggi statunitensi sulla sorveglianza, tali decisioni collidono irrimediabilmente con i diritti fondamentali dell'UE. Il risultato sono decisioni come questa, che rendono invalide le decisioni della Commissione.

Gli Stati Uniti hanno introdotto programmi di sorveglianza di vasta portata su persone non statunitensi sin dal 2008. Se gli Stati Uniti dovessero abrogare questi programmi, o garantire alle persone non statunitensi le stesse tutele che si applicano alle persone statunitensi, allora sarebbe molto probabile che gli Stati Uniti siano visti come un Paese che assicuri una protezione adeguata ai sensi del diritto dell'UE.

L'UE può semplicemente approvare un'altra decisione se il Privacy Shield venisse invalidato?

In teoria, la Commissione Europea potrebbe emettere un'altra decisione non valida se la CGUE invalidasse il "Privacy Shield". Dato che il problema risiede nella legge statunitense, questo porterebbe molto probabilmente a un'ulteriore impugnazione e conseguente annullamento. È molto improbabile che ciò sia politicamente accettabile. Anche le imprese hanno bisogno di equilibrio nei traffici giuridici.

Questa sentenza e la precedente in relazione a "Safe Harbor" si basano entrambe sulla Carta dei diritti fondamentali. Un accordo unanime tra tutti i 27 Stati membri dell'UE sarebbe necessario per modificare i trattati UE per consentire alla Commissione europea di emettere una decisione giuridicamente valida sul trasferimento dei dati per i trasferimenti UE-USA.

La soluzione, quindi, è nelle mani del legislatore statunitense, che deve adattare o abrogare le attuali leggi in materia di sorveglianza.

Semplice protezionismo europeo?

No. Questa causa è in realtà intentata contro la Commissione europea. Il diritto dell'UE consente molte opzioni per il trasferimento internazionale dei dati, a condizione che siano rispettate le norme di base sulla protezione della privacy.

In realtà, il braccio politico dell'UE (la Commissione europea e gli Stati membri) sostiene il trasferimento di dati UE-USA, ma la CGUE ha già sollevato dubbi sulla legalità di questi accordi con gli Stati Uniti, data la potenziale violazione dei diritti fondamentali dell'UE. Allo stesso modo, anche il Parlamento europeo ha sollevato dubbi su questi accordi.

Confrontando il "Privacy Shield", che si applica alle aziende statunitensi è chiaro che le aziende statunitensi possono accedere al grande mercato dell'UE seguendo regole molto più deboli di quelle che applicate alle aziende europee. Ciò conferisce alle imprese statunitensi un vantaggio competitivo.