Il 18 giugno 2021 il Comitato europeo ha rilasciato la versione aggiornata (v.2.0) della Raccomandazione 1/2020 sulle garanzie supplementari da adottare nel caso in cui quelle previste dall’articolo 46 del GDPR per legittimare i trasferimenti di dati verso paesi terzi, non risultassero sufficienti a seguito della valutazione d’impatto effettuata per lo specifico caso. Questa raccomandazione è una diretta applicazione di quanto deciso dalla CGUE nella causa C-311/18 relativa al caso Schrems II.

Decisione Schrems II

La decisione della CGUE nella causa c-311/18 ha concluso per l’invalidazione della Decisione della Commissione sul Privacy Shield (perchè incompatibile con l’articolo 45, paragrafo 1, GDPR, alla luce degli articoli 7, 8 e 47 della Carta), in base alla quale la registrazione dell’azienda USA importatrice, al relativo sistema di certificazione volontaria, veniva considerata idonea a legittimare i flussi di dati personali tra un esportatore stabilito nella UE e la medesima azienda registrata al Privacy Shield. L’invalidazione ha reso necessario individuare un diverso strumento di legittimazione per coloro che nel frattempo facevano ricorso al Privacy Shield e ha causato la riapertura dei negoziati tra la Commissione UE e il Dipartimento del Commercio USA per l’individuazione congiunta di uno strumento sostitutivo. Le trattative risultano complesse con stretti margini negoziali – specie da parte della Commissione – al fine di evitare il rischio che il terzo nuovo strumento di legittimazione possa seguire le sorti invalidanti toccate ai precedenti due: Safe Harbor e Privacy Shield.

Livello di protezione nel paese terzo

In linea generale, la condizione richiesta per la legittimità dei trasferimenti esteri di dati oltre i confini UE/SEE è l’accertamento della sostanziale equivalenza del regime giuridico di protezione dei dati personali vigente nel paese di importazione. 

La sostanziale equivalenza al livello di protezione garantito dal GDPR – letto alla luce dei diritti fondamentali della Carta di Nizza – è il presupposto preliminare su cui si innesta, a seguire, uno degli strumenti di legittimazione previsti dal capo V del regolamento (i.e. decisione di adeguatezza, garanzie adeguate, deroghe), indipendentemente da quale sia lo strumento prescelto nello specifico caso.

Sostanziale equivalenza 

Non è necessario che il regime di protezione dei dati del Paese importatore risulti identico a quello introdotto dal GDPR, basta che esso rispetti i diritti fondamentali determinati sulla base delle disposizioni del regolamento, lette alla luce dei diritti fondamentali sanciti dalla Carta. L’accertamento della sostanziale equivalenza è quindi pregiudiziale e, alla luce della citata decisione Schrems II, si è cercato di stabilirne l’apprezzabilità nel caso di misure di sorveglianza da parte delle autorità pubbliche del paese terzo a fini di sicurezza nazionale e per l’applicazione della legge; l’interrogativo verte, in particolare, a precisare quando tali attività possano considerarsi giustificabili in una società democratica e, di conseguenza, non inficino il giudizio di sostanziale equivalenza.

Garanzie essenziali europee

Nel documento Raccomandazioni 2/2020 relative alle garanzie essenziali europee per le misure di sorveglianza del 10 novembre 2020, l’EDPB ha posto in evidenza quali siano le garanzie essenziali – come desunte dalla giurisprudenza della CGUE (relativa agli artt. 7, 8, 47 e 53 della Carta) e della CtEDU (art. 8 della CEDU) – che, se rispettate, possano far ritenere che la citata sorveglianza costituisca un’ingerenza giustificabile.

Quattro sono le garanzie essenziali europee indicate nel documento che devono essere comunque assicurate:

1. Il trattamento deve basarsi su regole chiare, precise e accessibili
2. Devono essere dimostrate la necessità e la proporzionalità rispetto agli obiettivi legittimi perseguiti
3. Meccanismo di controllo indipendente
4. La persona deve poter accedere a mezzi di ricorso efficaci.

Conseguenze dall’individuazione delle garanzie essenziali

Dall’individuazione delle garanzie essenziali discendono due conseguenze:

1. Eventuali misure di sorveglianza operate da autorità pubbliche del Paese terzo – come agenzie di sicurezza nazionale o autorità incaricate dell’applicazione della legge – che comunque rispettino le citate garanzie essenziali, non incidono sul giudizio di sostanziale equivalenza, in quanto possono configurare un’ingerenza giustificabile in una società democratica
2. Eventuali carenze individuate nel regime giuridico del Paese terzo riguardo alle garanzie essenziali, di converso, incidono sul giudizio di sostanziale equivalenza, eccetto che l’esportatore sia in grado di individuare e adottare misure supplementari idonee ad assicurare tali garanzie.

Pur ribadendo quanto anticipato, va tenuto presente che l’indicazione delle garanzie essenziali – come sottolineato dall’EDPB – non esaurisce l’ambito della verifica della sostanziale equivalenza che spetta all’esportatore: l’evidenza delle garanzie essenziali ha il solo fine di supportare la valutazione del livello di ingerenza – nei diritti al rispetto della vita privata e alla protezione dei dati – derivante dall’attività di sorveglianza delle autorità pubbliche del paese terzo.