Come trasferire dati verso gli Stati Uniti senza Privacy Shield

0 Commenti
687 Visualizzazioni

Il Privacy Shield è caduto. E ora?

A distanza di quasi dieci giorni, il polverone causato dalla storica sentenza della Corte di Giustizia che ha invalidato il Privacy Shield non si è ancora assestato.

Il Garante Privacy non si è ancora espresso sul punto, nonostante la celere risposta di molte altre Autorità di supervisione, come il CNIL o l’AEPD.

Fortunatamente, il Comitato Europeo per la Protezione dei Dati (EDPB) ha rilasciato una serie di indicazioni che vanno ad aggiungersi alle Guidelines rilasciate nel 2018.

Anche i professionisti e le imprese italiane hanno bisogno di indicazioni. Per questo, dopo aver studiato i contributi dell’EDPB e delle diverse Autorità Europee, proviamo a dare il nostro contributo.

Non ci sarà un “grace period”. Gli effetti del Privacy Shield sono cessati, e tutti siamo tenuti a rivalutare le nostre scelte.

Cosa implica la sentenza della Corte?

Il trasferimento di dati personali sulla base del Privacy Shield è illegale. Chiunque trasferisca dati personali verso gli Stati Uniti è tenuto valutare lo specifico trasferimento e, in caso, individuare un diverso strumento giuridico.

Tra gli strumenti a disposizione delle imprese ci sono:

  • Standard Contractual Clauses (SCC)
  • Binding Corporate Rules (BCR)
  • Deroghe previste dall’art. 49 GDPR

Posso usare le Standard Contractual Clauses per trasferire dati verso gli Stati Uniti?

, ma solo a fronte di una valutazione del rischio che tenga conto della natura e contesto del trattamento. Questa valutazione del rischio segue sostanzialmente le logiche della valutazione d’impatto (DPIA), oltre che logiche di due diligence e audit nei riguardi di fornitori/importatori.

Nel caso in cui all’esito della valutazione del rischio non si ritenga possibile ottenere sufficienti garanzie per il rispetto della normativa europea e dei diritti delle persone, le strade sono due:

  • Adottare misure tecniche/organizzative adeguate ad assicurare sufficienti garanzie
  • Sospendere il trasferimento di dati personali verso gli Stati Uniti

Nel caso in cui si decidesse di continuare con il trasferimento, pur in assenza di garanzie adeguate, sarà necessario notificare la decisione all’Autorità competente.

Posso usare le Binding Corporate Rules per trasferire dati verso gli Stati Uniti?

Le BCR sono strumenti che possono essere usati da gruppi di imprese per regolare il trasferimento di dati extra-UE all’interno del gruppo stesso. Le BCR per loro natura sono molto complesse da adottare, e comunque non si applicano ai tipici rapporti tra committente e fornitore.

In ogni caso, è possibile usare le BCR per trasferire dati verso un’impresa del gruppo con stabilimento negli Stati Uniti, ma si applicano gli stessi criteri delle SCC, come visto nel precedente paragrafo.

Posso trasferire dati verso gli Stati Uniti sulla base delle deroghe dell’art. 49 GDPR?

Nel caso in cui non sia possibile usare SCC o BCR, anche a fronte di una valutazione dei rischi e delle misure adottabili, è possibile ricorrere a specifiche deroghe previste dall’art. 49 GDPR.

Vediamone alcune:

  • Consenso del soggetto interessato (Art. 49 (1) (a)
  • Trasferimento necessario per l’esecuzione di un contratto con il soggetto interessato (Art. 49 (1) (b)
  • Trasferimento necessario per la difesa di un diritto in sede giudiziaria (Art. 49 (1) (e)
  • Legittimo interesse cogente (Art. 49 (1) par. 2)

Come vedremo, queste deroghe per poter essere usate devono rispettare alcuni criteri specifici.

Sul consenso al trasferimento extra-UE

Il consenso al trasferimento di dati verso gli Stati Uniti deve rispettare questi requisiti:

  • Espresso: il consenso non può derivare da un’azione concludente, ma deve essere una chiara manifestazione di volontà del soggetto interessato, come la firma di una specifica richiesta, o la compilazione di un modulo elettronico.
  • Specifico: il consenso deve essere acquisito in ragione dello specifico trasferimento. Nel caso in cui il trasferimento sia successivo alla raccolta dei dati (ad esempio a causa di un nuovo fornitore) il Titolare deve acquisire il consenso espresso del soggetto interessato prima di procedere al trasferimento.
  • Libero e informato: il Titolare deve informare il soggetto delle finalità del trasferimento, della tipologia di dati coinvolti, della possibilità di revocare il consenso e delle categorie di destinatari e paesi terzi. Oltre a questo, il Titolare deve anche informare il soggetto interessato circa i rischi derivanti dal trasferimento. In assenza di questa specifica informazione, la deroga non si applica.

Sul concetto di “trasferimento necessario” e “occasionale”

Salvo il consenso, le deroghe affrontate nei punti precedenti prevedono due principali criteri di valutazione: il trasferimento deve essere necessario e occasionale.

Vediamo che significa.

  • Necessario: il rispetto del criterio di necessità richiede una connessione funzionale tra lo scopo del contratto e il trasferimento. La valutazione deve essere oggettiva e non può riguardare semplicemente una scelta di convenienza del Titolare. Ad esempio, l’uso di un servizio di hosting che comporta il trasferimento di dati di clienti verso gli Stati Uniti non rispetta il requisito di necessità.
  • Occasionale: l’elemento dell’occasionalità deve essere considerato caso per caso. Un’ipotesi di trasferimento occasionale potrebbe essere quella della banca che comunica dati ad una banca con sede presso gli Stati Uniti per eseguire un pagamento da parte di un cliente. Viceversa, il caso di un fornitore ICT che abbia accesso a database o sistemi di un Titolare europeo, configura un trasferimento non-occasionale.

Il trasferimento sistematico di dati extra-UE, derivante da un rapporto continuativo e stabile, non potrà beneficiare delle deroghe previste dalle lett. b), c), e) e par. 2 dell’art. 49 GDPR.

Il trasferimento verso gli Stati Uniti sulla base del legittimo interesse cogente

Un’ultima spiaggia per trasferire dati verso gli Stati Uniti, o altri paesi terzi non adeguati, è quella del legittimo interesse cogente.

Il legittimo interesse cogente può essere evocato solo dopo aver esaurito qualsiasi altra opzione tra quelle previste dagli artt. 45-46 o 49 del GDPR. Questo significa che l’esportatore dovrà essere in grado di dimostrare l’impossibilità di usare qualsiasi altro strumento previsto dal GDPR, oltre dimostrare di aver fatto specifiche valutazioni in merito a:

  • Natura dei dati personali, finalità e durata del trattamento
  • Situazione del paese d’origine, nel paese terzo, e nel paese di destinazione finale
  • Aver previsto garanzie adeguate per la tutela dei diritti delle persone (tra cui anche il diritto di opposizione al trattamento)

Il legittimo interesse cogente ha requisiti di valutazione più stringenti rispetto al legittimo interesse prevalente di cui all’art. 6 (1) (f) GDPR.


In aggiunta a questi requisiti già stringenti, il legittimo interesse cogente deve essere essenziale per il Titolare, e non una mera opportunità.

Deve ricordarsi che anche per il legittimo interesse cogente si applica il principio della occasionalità del trasferimento. Oltre a questo, il trasferimento deve riguardare un numero limitato di soggetti interessati (in considerazione del contesto specifico).

Infine, come per l’uso del legittimo interesse prevalente, anche questa tipologia di legittimo interesse deve essere preceduta da un giudizio di bilanciamento tra gli interessi del Titolare e gli interessi e diritti dei soggetti interessati.

Ricorda di aggiornare il Registro delle attività di trattamento!

L’art. 49 (6) prevede che il Titolare e il Responsabile del trattamento debbano documentare e indicare nel registro le misure di garanzia adottate per il rispetto della normativa europea e i diritti dei soggetti interessati.

In conclusione

Ciò che traspare dalla nuova realtà è che quasi tutte le imprese e DPO europei dovranno iniziare a valutare i rischi rappresentati dal trasferimento di dati verso gli Stati Uniti, il maggiore importatore di dati dell’Unione Europea.

Nella pratica questo significa integrare le scelte di business, come la scelta di un nuovo provider di servizi, con una valutazione dei rischi derivanti dal trasferimento di dati extra-UE. La DPIA in questo sarà uno strumento fondamentale.

Non sarà semplice, e richiederà un cambio di paradigma che durerà probabilmente anni: il focus della scelta di servizi ICT non potrà più essere la convenienza o la semplice comodità, ma dovrà passare per il vaglio del GDPR e dei diritti fondamentali dei cittadini europei.

Il post-Schrems II offre uno scenario difficile e che sembra quasi impossibile. La decisione della Corte si fonda però su un argomentazione importante: il riscatto dei pricipi fondamentali europei sul mero profitto.

Autore: Matteo Navacci, co-founder Privacy Network