La decisione della CGUE sul caso Schrems II, sebbene preannunciata da numerosi indicatori, ha messo in subbuglio il trasferimento dei dati personali oltre i confini dello spazio UE/SEE. La decisione non riguarda solo i movimenti di dati tra Europa e Stati Uniti, condizionati dall’invalidazione dell’accordo sul Privacy Shield, ma anche qualsiasi altro trasferimento di dati extra-UE, considerata la dichiarazione di non totale adeguatezza delle attuali clausole contrattuali standard o “SCC”. 

Sintesi 

La decisione della CGUE sul caso Schrems II ha messo in fibrillazione i flussi di dati personali che valicano i confini dell’Unione. E’ stato invalidato il Privacy Shield, l’accordo tra USA-UE che aveva a sua volta sostituito il Safe Harbor finito allo stesso modo: l’invalidazione dello strumento che legittimava i trasferimenti di dati personali tra le due sponde dell’Atlantico per le aziende che vi aderivano.

Ma l’effetto più dirompente, apparso in seconda battuta, è stato il passo della decisione che ha ritenuto potenzialmente non del tutto adeguato, secondo una valutazione da effettuare caso per caso, lo strumento principe in questo ambito: quello delle clausole contrattuali, del tipo sia “SCC” – emesse dalla Commissione UE – sia “BCR”, approvate dall’autorità di supervisione competente, per i flussi all’interno di un medesimo gruppo societario. 

Ora da parte degli operatori economici, si registra un’affannosa ricerca di strumenti sostitutivi o di elementi integrativi certi che possano colmare le lacune registrate dalla CGUE, consapevoli della difficoltà del compito, visto che questa valutazione di adeguatezza spetta alle parti, esportatore e importatore, coinvolte nel trasferimento.

L’attuale disciplina per i trasferimenti esteri di dati

Vi sono aree di particolare delicatezza, sotto il profilo della tutela dei dati personali e dei diritti e libertà degli individui, per le quali il legislatore prevede un divieto relativo, cioè un divieto che può essere superato da specifiche deroghe. 

E’ il caso del trattamento delle categorie particolari di dati personali dove il testo della norma è inequivocabile: «E’ vietato trattare dati personali che rivelino (…)» informazioni sensibili sull’individuo; ma altrettanto può dirsi per altre circostanze dove il lessico normativo appare a prima vista meno esplicito ma che, in realtà, è di analogo tenore. Sono questi i casi, ad esempio, di:

• processo decisionale automatizzato («L’interessato ha diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona», art. 22.1)
• trasferimenti di dati personali verso paesi terzi («Qualunque trasferimento di dati personali (…) verso un paese terzo (…) ha luogo soltanto se il titolare del trattamento e il responsabile del trattamento rispettano le condizioni di cui al presente capo» (art. 44) e «Il trasferimento di dati personali verso un paese terzo (…) è ammesso se la Commissione ha deciso che il paese terzo (…) garantisc(e) un livello di protezione adeguato» (art. 45.1).