Estratto SIG – Flussi esteri di dati: garanzie essenziali
Il Comitato europeo (EDPB) con la sua raccomandazione 02/2020 del 10 novembre 2020 ha indicato le garanzie essenziali del diritto europeo che devono essere rispettate al fine di poter giustificare le interferenze con i diritti fondamentali alla riservatezza e alla protezione dei dati personali ad opera di misure di sorveglianza durante il trasferimento dei dati personali in paesi terzi.
Raccomandazione 02/2020
La Raccomandazione 02/2020 è stata pubblicata insieme alla 01/2020 sulle misure che integrano gli strumenti di trasferimento per garantire il rispetto del livello di protezione dei dati personali dell’UE. Diversamente da quest’ultima, la raccomandazione 02/2020 – trovando la propria fonte nella giurisprudenza della CGUE e della CtEDU (relativa all’applicazione dell’articolo 8 della CEDU in tema di sorveglianza negli Stati che ne fanno parte) – non è sottoposta a consultazione pubblica.
La raccomandazione 02/2020, a seguito della decisione sul caso Schrems II (C‑311/18), aggiorna il documento wp237, elaborato dal Gruppo di lavoro dell’articolo 29 in occasione delle conseguenze derivanti dalla decisione della CGUE sul caso C-362/14 (Schrems I).
La soglia “essenzialmente equivalente”
Le misure di sorveglianza degli Stati possono ritenersi accettabili in una società democratica se sono necessarie e proporzionate al perseguimento di specifiche finalità di interesse pubblico. La finalità della sicurezza dello Stato ammette limitazioni maggiori ai diritti fondamentali rispetto ad altri scopi di interesse pubblico, ma tali limitazioni devono comunque rispettare l’essenza di tali diritti e libertà: questa è la soglia invalicabile per il diritto europeo.
Il trasferimento di dati personali in un paese terzo deve assicurare che questa soglia non venga superata, una volta che i dati si trovino presso il paese di importazione: l’ordinamento giuridico del paese importatore deve garantire che le misure di sorveglianza dello Stato siano sufficientemente limitate ed oggetto di un ricorso effettivo a disposizione degli interessati per far valere i propri diritti; in tal modo il livello di protezione del Paese terzo può considerarsi “sostanzialmente equivalente” a quello garantito all’interno dell’Unione Europea ai sensi dell’articolo 45 (1) del GDPR.
Effetti su Privacy Shield
Nel caso degli Stati Uniti, la Sezione 702 FISA e l’Ordine Esecutivo 12333, stabiliscono misure di sorveglianza che – secondo la CGUE – non rispondono ai criteri della “essenziale equivalenza” con la protezione del diritto europeo.
Di conseguenza l’accordo Privacy Shield tra Commissione UE e Dipartimento del commercio USA, sulla cui base erano legittimati i flussi di dati personali tra le due sponde dell’Atlantico, è stato dichiarato invalido in quanto non prevede adeguate misure di salvaguardia riguardo a queste eventualità.
Effetti sulle SCC
Allo stesso modo, la CGUE ha stabilito che le clausole contrattuali tipo adottate dalla Commissione UE (“SCC”) non potessero più essere considerate come una misura automatica ed esaustiva di legittimazione dei flussi esteri di dati; anche riguardo a queste, infatti, va valutato caso per caso:
- se l’ordinamento giuridico del paese importatore prevede ingerenze delle pubbliche autorità locali inconciliabili col diritto europeo
- in caso affermativo, se sono disponibili misure integrative alle clausole tipo tali da costituire un’adeguata garanzia nei riguardi di tali interferenze e in grado di offrire un livello di protezione essenzialmente equivalente a quello del diritto europeo.
In realtà, l’interpretazione della Corte non si limita alle SCC ma si applica al trasferimento a paesi terzi che si basi su uno qualsiasi degli strumenti di cui all’articolo 46 del regolamento (BCR, atti amministrativi tra enti pubblici, codici di condotta, certificazioni, clausole adottate da una ASN e approvate dalla Commissione).