COMMISSIONE EUROPEA
Bruxelles, 6.11.2015
COM(2015) 566 final
COMUNICAZIONE DELLA COMMISSIONE AL PARLAMENTO EUROPEO E AL CONSIGLIO
relativa al trasferimento di dati personali dall'UE agli Stati Uniti d’America in applicazione della direttiva 95/46/CE a seguito della sentenza della Corte di giustizia nella causa C-362/14, (Schrems)
COMUNICAZIONE DELLA COMMISSIONE AL PARLAMENTO EUROPEO E AL CONSIGLIO
relativa al trasferimento di dati personali dall'UE agli Stati Uniti d'America in applicazione della direttiva 95/46/CE a seguito della sentenza della Corte di giustizia nella causa C-362/14, (Schrems)
1. Introduzione: L'annullamento della decisione "approdo sicuro"
La sentenza della Corte di giustizia dell'Unione europea (in appresso: "la Corte di giustizia" o "la Corte"), del 6 ottobre 2015, nella causa C-362/14, (Schrems) ribadisce l'importanza del diritto fondamentale alla protezione dei dati personali, come sancito nella Carta dei diritti fondamentali dell'UE, anche quando i dati sono trasferiti al di fuori dell'UE.
I trasferimenti di dati personali costituiscono un elemento fondamentale delle relazioni transatlantiche. L'UE è il più importante partner commerciale degli Stati Uniti, così come gli Stati Uniti sono il più importante partner commerciale dell'UE e i trasferimenti di dati, sempre più spesso, fanno parte integrante dei loro scambi commerciali.
Al fine di facilitare i flussi di dati, pur garantendo un elevato livello di protezione dei dati personali, la Commissione ha riconosciuto l'adeguatezza del quadro di "Approdo sicuro" (Safe Harbour) con l'adozione della decisione 2000/520/CE della Commissione del 20 luglio 2000 (in appresso: "la decisione Approdo sicuro"). Nella decisione, basata sull'articolo 25, paragrafo 6, della direttiva 95/46/CE, la Commissione ha riconosciuto che i principi di approdo sicuro e le domande più frequenti (FAQ) pubblicate sull'argomento dal Dipartimento del commercio degli Stati Uniti offrono una protezione adeguata ai fini del trasferimento dei dati personali dall'UE. Di conseguenza, i dati personali potevano essere liberamente trasferiti dagli Stati membri dell'UE a società stabilite negli Stati Uniti che avevano sottoscritto i principi, nonostante l'assenza di una legge generale sulla protezione dei dati negli Stati Uniti. Il funzionamento degli accordi del tipo "Approdo sicuro" si fonda sull'autocertificazione del rispetto degli impegni da parte delle imprese aderenti. Benché l'adesione ai principi di approdo sicuro e alle domande più frequenti (FAQ) sia volontaria, tali impegni sono vincolanti ai sensi del diritto statunitense per le entità che li hanno sottoscritti e il loro rispetto può essere imposto dalla Federal Trade Commission statunitense.
Nella sentenza del 6 ottobre 2015, la Corte ha dichiarato l'invalidità della decisione "Approdo sicuro". È in tale contesto che la presente comunicazione mira a fornire una panoramica degli strumenti alternativi che consentono i trasferimenti transatlantici di dati ai sensi della direttiva 95/46/CE in mancanza di una decisione di adeguatezza. Inoltre essa descrive in sintesi le conseguenze della sentenza per altre decisioni di adeguatezza della Commissione. Nella sentenza, la Corte ha chiarito che una decisione di adeguatezza a norma dell'articolo 25, paragrafo 6, della direttiva 95/46/CE è subordinata all'accertamento da parte della Commissione dell'esistenza nel paese terzo interessato di un livello di protezione dei dati personali che, pur non necessariamente identico, è "sostanzialmente equivalente" a quello garantito nell'UE in virtù della direttiva, letta alla luce della Carta dei diritti fondamentali. Per quanto riguarda specificamente la decisione "Approdo sicuro", la Corte ha stabilito che essa non conteneva riscontri sufficienti da parte della Commissione sulle limitazioni in materia di accesso delle autorità pubbliche degli Stati Uniti ai dati trasferiti ai sensi di tale decisione e sull'esistenza di un'efficace tutela giuridica contro tali interferenze. In particolare, la Corte ha chiarito che si deve ritenere che una normativa che consente alle autorità pubbliche di accedere in maniera generalizzata al contenuto di comunicazioni elettroniche pregiudichi il contenuto essenziale del diritto fondamentale al rispetto della vita privata. Inoltre, la Corte ha confermato che, anche in caso di una decisione di adeguatezza a norma dell'articolo 25, paragrafo 6, della direttiva 95/46/CE, le autorità degli Stati membri in materia di protezione dei dati (DPA) continuano ad avere il potere e il dovere di verificare, con assoluta indipendenza, se il trasferimento di dati verso un paese terzo rispetta i requisiti stabiliti dalla direttiva 95/46/CE, letto alla luce degli articoli 7, 8 e 47 della Carta dei diritti fondamentali. Tuttavia, la Corte ha anche affermato che soltanto la Corte di giustizia può dichiarare invalido un atto dell'Unione - qual è una decisione di adeguatezza della Commissione.
La sentenza della Corte si basa sulla comunicazione della Commissione del 2013 sul funzionamento del regime dell'approdo sicuro dal punto di vista dei cittadini dell'Unione e delle società ivi stabilite, in cui la Commissione ha identificato una serie di carenze e ha proposto 13 raccomandazioni. Sulla base di tali raccomandazioni, la Commissione ha condotto trattative con le autorità statunitensi, a partire dal gennaio 2014, con l'obiettivo di mettere in atto un accordo rinnovato e rafforzato per gli scambi transatlantici di dati.
A seguito della sentenza, la Commissione ribadisce il proprio impegno a raggiungere l'obiettivo di un nuovo e solido quadro per i trasferimenti transatlantici di dati personali. A tale riguardo, essa ha immediatamente ripreso e intensificato i colloqui con il governo degli Stati Uniti per garantire che ogni nuovo accordo per i trasferimenti transatlantici di dati personali sia pienamente in linea con le norme stabilite dalla Corte. Tale quadro deve quindi disporre di sufficienti limitazioni, garanzie e meccanismi di controllo giurisdizionale volti a garantire la continuità della protezione dei dati personali dei cittadini dell'UE anche per quanto riguarda l'eventuale accesso da parte delle autorità pubbliche ai fini dell'applicazione della legge e della sicurezza nazionale. Nel frattempo, sono state espresse preoccupazioni da parte dell'industria per quanto riguarda le possibilità di proseguire i trasferimenti di dati. È pertanto necessario chiarire le condizioni in base alle quali tali trasferimenti possano continuare. Ciò ha indotto il Gruppo di lavoro "Articolo 29" — l'organo consultivo indipendente che riunisce i rappresentanti di tutte le autorità di protezione dei dati degli Stati membri e il garante europeo della protezione dei dati — a rendere pubblica, il 16 ottobre, una dichiarazione riguardante le prime conclusioni da trarre dalla sentenza. Tra l'altro, tale dichiarazione contiene i seguenti orientamenti per il trasferimento dei dati:
l'accordo sull'approdo sicuro ("Safe Harbour") non può più costituire la base giuridica per i trasferimenti di dati personali;
le clausole contrattuali tipo e le norme vincolanti d'impresa possono nel frattempo essere utilizzate come base per i trasferimenti di dati, anche se il Gruppo di lavoro "Articolo 29" ha dichiarato, tra l'altro, che continuerà ad analizzare l'impatto della sentenza su tali strumenti alternativi.
La dichiarazione invita altresì gli Stati membri e le istituzioni dell'UE ad avviare discussioni con le autorità statunitensi al fine di trovare soluzioni tecniche e giuridiche per i trasferimenti di dati; i negoziati per un nuovo accordo "Approdo sicuro" potrebbero, a parere del Gruppo di lavoro "Articolo 29", essere parte di tale soluzione.
Il Gruppo di lavoro "Articolo 29" ha annunciato che, qualora entro la fine di gennaio 2016, non si trovasse una soluzione concordata con le autorità statunitensi, e in base alla valutazione di strumenti alternativi per i trasferimenti di dati, le autorità di protezione dei dati adotterà tutti i provvedimenti necessari e opportuni, compresa un'azione di contrasto coordinata.
Infine, il Gruppo di lavoro "Articolo 29" ha sottolineato la responsabilità condivisa delle autorità di protezione dei dati, le istituzioni dell'UE, gli Stati membri e le imprese nella ricerca di soluzioni sostenibili per dare esecuzione alla sentenza della Corte. In particolare, il Gruppo di lavoro ha esortato le imprese a valutare la possibilità di introdurre qualsiasi soluzione tecnica e giuridica per attenuare eventuali rischi che corrono quando trasferiscono i dati.
La presente comunicazione lascia impregiudicati i poteri e i compiti dell'autorità di protezione dei dati di esaminare la legittimità di tali trasferimenti in piena indipendenza. Essa non stabilisce regole vincolanti e rispetta pienamente il potere dei giudici nazionali di interpretare il diritto applicabile e, se necessario, di operare un rinvio alla Corte di giustizia per una pronuncia in via pregiudiziale. Né può la presente comunicazione costituire la base per qualsiasi diritto individuale o collettivo o una domanda di risarcimento.
2. Basi alternative per i trasferimenti di dati personali verso gli Stati Uniti.
Le norme in materia di trasferimenti internazionali di dati, di cui alla direttiva 95/46/CE sono basate su una chiara distinzione tra, da un lato, i trasferimenti di dati verso paesi terzi che garantiscono un livello di protezione adeguato (articolo 25 della direttiva) e, dall'altro, i trasferimenti verso paesi terzi che non garantiscono in modo accertato una tutela adeguata (articolo 26 della direttiva).
La sentenza Schrems verte sulle condizioni alle quali, ai sensi dell'articolo 25, paragrafo 6, della direttiva 95/46/CE, la Commissione può decidere che un paese terzo garantisce un livello di protezione adeguato.
Se il paese terzo verso il quale i dati personali devono essere esportati dall'UE non garantisce - in modo accertato - un tale livello adeguato di protezione, l'articolo 26 della direttiva 95/46/CE prevede una serie di motivi alternativi sulla base dei quali il trasferimento può avvenire ugualmente. In particolare il trasferimento può essere effettuato se il soggetto competente a determinare le finalità e i mezzi del trattamento di dati personali (il "responsabile del trattamento"):
fornisce adeguate garanzie, ai sensi dell'articolo 26, paragrafo 2, della direttiva 95/46/CE, relative alla protezione della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché all'esercizio di tali diritti. Dette garanzie possono segnatamente essere fornite mediante clausole contrattuali che vincolano l'esportatore e l'importatore dei dati (cfr. sezioni 2.1 e 2.2). Queste includono le clausole contrattuali tipo emesse dalla Commissione e, riguardo ai trasferimenti tra le diverse entità di un gruppo societario multinazionale, le norme vincolanti d'impresa autorizzate dalle autorità di protezione dei dati; oppure
si basa su una delle deroghe espressamente elencate alle lettere da a) a f) dell'articolo 26, paragrafo 1, della direttiva 95/46/CE (cfr. sezione 2.3).
Rispetto alle decisioni di adeguatezza risultanti dalla valutazione globale del sistema di un determinato paese terzo e che possono in linea di principio contemplare tutti i trasferimenti verso tale sistema, queste basi alternative per i trasferimenti hanno entrambe un campo di applicazione più limitato (dato che si applicano soltanto a specifici flussi di dati) e una più ampia copertura (in quanto non sono necessariamente confinate a un paese specifico). Esse si applicano ai flussi di dati effettuati da particolari entità che hanno deciso di avvalersi di una delle possibilità offerte dall'articolo 26 della direttiva 95/46/CE. Inoltre, quando fondano i loro trasferimenti su tali motivi, e poiché non possono basarsi su un accertamento di adeguatezza del paese terzo contenuto in una decisione della Commissione, gli esportatori e gli importatori di dati hanno la responsabilità di garantire che i trasferimenti sono conformi ai requisiti della direttiva.
2.1. Soluzioni contrattuali
Come sottolineato dal Gruppo di lavoro "Articolo 29", al fine di offrire garanzie sufficienti ai fini dell'articolo 26, paragrafo 2, della direttiva 95/46/CE, le clausole contrattuali devono "compensare in modo soddisfacente la mancanza di un livello generale di protezione adeguata e comportare gli elementi essenziali di tutela che possono mancare in una qualsiasi situazione particolare". Al fine di facilitare l'uso di tali strumenti nei trasferimenti internazionali, la Commissione ha approvato, a norma dell'articolo 26, paragrafo 4, della direttiva, quattro serie di clausole contrattuali tipo ritenute conformi alle prescrizioni dell'articolo 26, paragrafo 2, della direttiva. Due serie di clausole tipo si riferiscono a trasferimenti tra responsabili del trattamento, mentre le altre due serie di clausole tipo trattano i trasferimenti tra il responsabile del trattamento e l'incaricato del trattamento che agiscono sotto le sue istruzioni. Ciascuna di tali serie di clausole tipo stabilisce i rispettivi obblighi degli esportatori e degli importatori di dati. Sono compresi gli obblighi per quanto riguarda, tra l'altro, le misure di sicurezza, le informazioni della persona interessata in caso di trasferimento di dati sensibili, la notifica all'esportatore di dati di richieste di accesso da parte delle autorità di contrasto dei paesi terzi o di qualsiasi accesso accidentale o non autorizzato e i diritti delle persone interessate all'accesso, rettifica e cancellazione dei propri dati personali, nonché le norme in materia di compensazione per la persona interessata in caso di danni derivanti da una violazione di una delle parti delle clausole contrattuali tipo. Le clausole tipo stabiliscono anche che le persone interessate dell'UE hanno la possibilità di far valere dinanzi un'autorità di protezione dei dati e/o un organo giurisdizionale dello Stato membro in cui è stabilito l'esportatore di dati i diritti che loro derivano dalle clausole contrattuali in qualità di terzo beneficiario. Tali diritti e obblighi sono necessari nelle clausole contrattuali perché, contrariamente alla situazione in cui la Commissione ha compiuto un accertamento di adeguatezza, non si può presumere che l'importatore di dati del paese terzo rientri in un adeguato sistema di sorveglianza e esecuzione delle norme sulla protezione dei dati.
Poiché le decisioni della Commissione sono obbligatorie in tutti i loro elementi per gli Stati membri, inserire le clausole contrattuali tipo in un contratto implica che le autorità nazionali sono in linea di principio tenute all'obbligo di accettare tali clausole. Di conseguenza, esse non possono rifiutare il trasferimento dei dati verso un paese terzo unicamente sulla base del fatto che queste clausole contrattuali tipo non offrono sufficienti garanzie. Ciò lascia impregiudicato il loro potere di esaminare tali clausole alla luce dei requisiti stabiliti dalla Corte nella sentenza Schrems. In caso di dubbi, esse dovrebbero intentare una causa dinanzi a un tribunale nazionale, il quale a sua volta può presentare una domanda di pronuncia pregiudiziale alla Corte di giustizia. Benché non vi sia alcun obbligo di preventiva autorizzazione nazionale per procedere al trasferimento nella legislazione che recepisce la direttiva 95/45/CE della maggior parte degli Stati membri, alcuni Stati membri mantengono un sistema di notifica e/o di autorizzazione preventiva per l'utilizzo delle clausole contrattuali tipo. In tal caso, l'autorità nazionale di protezione dei dati deve confrontare le clausole effettivamente contenute nel contratto in questione con le clausole contrattuali tipo e verificare che non sia stata apportata alcuna modifica. Se le clausole sono state utilizzate senza modifiche, in linea di principio, l'autorizzazione è concessa automaticamente. Come ulteriormente precisato infra (cfr. sezione 2.4), ciò non pregiudica misure supplementari che l'esportatore di dati potrà essere indotto a prendere, in particolare in seguito a informazioni ricevute dall'importatore dei dati sui cambiamenti intervenuti nel sistema giuridico del paese terzo che possono impedire all'importatore dei dati di adempiere i propri obblighi ai sensi del contratto. Nell'applicazione delle clausole contrattuali tipo, sia gli esportatori di dati sia, se si assoggettano al contratto, gli importatori di dati rientrano sotto la supervisione delle autorità di protezione dei dati.
L'adozione delle clausole contrattuali tipo non impedisce alle imprese di ricorrere ad altri strumenti, come accordi contrattuali ad hoc, per dimostrare che i loro trasferimenti avvengono con garanzie sufficienti ai sensi dell'articolo 26, paragrafo 2, della direttiva 95/46/CE. A norma dell'articolo 26, paragrafo 2, della direttiva, essi devono essere approvati caso per caso dalle autorità nazionali. Talune autorità di protezione dei dati hanno elaborato linee guida in questo campo, anche sotto forma di contratti standardizzati o le modalità dettagliate da seguire nella redazione delle clausole di trasferimento dei dati. La maggior parte dei contratti attualmente utilizzati dalle imprese per effettuare i loro trasferimenti internazionali di dati, tuttavia, sono basati su clausole contrattuali tipo approvate dalla Commissione.
2.2. I trasferimenti intragruppo
Un'impresa multinazionale può adottare norme vincolanti d'impresa per trasferire dati personali dall'UE a consociate estere situate al di fuori dell'Unione in conformità con i requisiti di cui all'articolo 26, paragrafo 2, della direttiva 95/46/CE. Questo tipo di codice di buone prassi fornisce la base soltanto per i trasferimenti effettuati all'interno del gruppo societario.
L'uso di norme vincolanti d'impresa consente quindi ai dati personali di circolare liberamente tra le varie entità di un gruppo societario a livello mondiale — senza bisogno di disporre di accordi contrattuali tra ogni entità societaria — garantendo al contempo che lo stesso elevato livello di protezione dei dati personali sia rispettato in tutto il gruppo, per mezzo di un'unica serie di norme vincolanti ed esecutive. Avere un'unica serie di regole crea un sistema più semplice e più efficace per il personale, che è più facile da attuare e da comprendere per le persone interessate. Al fine di aiutare le imprese nell'elaborazione delle norme vincolanti d'impresa, il Gruppo di lavoro "Articolo 29" ha specificato gli elementi sostanziali (ad esempio la limitazione delle finalità, la sicurezza del trattamento, informazioni trasparenti alle persone interessate, restrizioni ai successivi trasferimenti al di fuori del gruppo, i diritti individuali di accesso, rettifica e opposizione) e procedurali (ad es. audit, controllo di conformità, trattamento dei reclami, la cooperazione con le autorità di protezione dei dati, la responsabilità e la giurisdizione) per le norme d'impresa vincolanti basate sulle norme UE sulla protezione dei dati. Queste regole sono non solo vincolanti per i membri del gruppo societario ma, analogamente alle clausole contrattuali tipo, sono anche esecutive nell'UE: le persone i cui dati sono oggetto di trattamento da parte di un'entità del gruppo sono autorizzate in quanto terzi beneficiari a far rispettare le norme vincolanti d'impresa, presentando un reclamo ad un'autorità di protezione dei dati e intentando un'azione dinanzi ad un giudice di uno Stato membro. Inoltre, le norme vincolanti d'impresa devono designare un'entità all'interno dell'UE che assume la responsabilità per le violazioni delle norme da parte di uno dei membri del gruppo al di fuori dell'UE che è vincolato da tali norme.
In base alla legislazione che recepisce la direttiva della maggior parte degli Stati membri, il trasferimento dei dati sulla base delle norme vincolanti d'impresa deve essere autorizzato dalle autorità di protezione dei dati in ciascuno Stato membro dal quale la società multinazionale intende trasferire dati. Al fine di agevolare e accelerare il processo, nonché ridurre gli oneri per i richiedenti, il Gruppo di lavoro "Articolo 29" ha introdotto un modulo standard di domanda e stabilito una specifica procedura di cooperazione tra le autorità di protezione di dati competenti che include la designazione di una "autorità capofila" responsabile per la gestione della procedura di approvazione.
2.3. Deroghe
In mancanza di una decisione di adeguatezza ai sensi dell'articolo 25, paragrafo 6, della direttiva 95/46/CE e a prescindere dall'uso delle clausole contrattuali tipo e/o delle norme vincolanti d'impresa, i dati personali possono essere trasferiti a entità stabilite in un paese terzo, nella misura in cui trova applicazione una delle deroghe alternative di cui all'articolo 26, paragrafo 1, della direttiva 95/46/CE:
la persona interessata ha fornito, in modo inequivocabile, il proprio consenso al trasferimento proposto;
il trasferimento è necessario all'esecuzione di un contratto concluso tra la persona interessata ed il responsabile del trattamento ovvero all'esecuzione di misure precontrattuali prese a richiesta di tale persona,
il trasferimento è necessario per la conclusione o l'esecuzione di un contratto, concluso o da concludere nell'interesse della persona interessata, tra il responsabile del trattamento e un terzo;
il trasferimento è necessario o prescritto dalla legge per la salvaguardia di un interesse pubblico rilevante, ovvero per accertare, esercitare o difendere un diritto in via giudiziale,
il trasferimento è necessario per la salvaguardia di interessi vitali della persona interessata,
il trasferimento avviene a partire da un registro pubblico il quale, in forza di disposizioni legislative o regolamentari, è predisposto per l'informazione del pubblico ed è aperto alla consultazione del pubblico o di chiunque possa dimostrare un interesse legittimo, nella misura in cui nel caso specifico siano rispettate le condizioni che la legge prevede per la consultazione.
Tali motivi costituiscono una deroga al divieto generale di trasferire dati personali a soggetti stabiliti in un paese terzo senza un adeguato livello di protezione. In effetti, l'esportatore di dati non deve garantire che l'importatore di dati fornirà una protezione adeguata e, di solito, non deve ottenere l'autorizzazione preventiva per il trasferimento da parte delle pertinenti autorità nazionali. Tuttavia, a causa del loro carattere eccezionale, il Gruppo di lavoro "Articolo 29" ritiene che tali deroghe devono essere interpretate in senso restrittivo.
Il Gruppo di lavoro "Articolo 29" ha pubblicato diversi documenti di orientamento non vincolanti sull'applicazione dell'articolo 26, paragrafo 1, della direttiva 95/46/CE, tra cui una serie di norme in materia di "migliori pratiche" concepite per orientare l'azione di esecuzione dell'autorità di protezione dei dati. In particolare, il Gruppo di lavoro raccomanda che i trasferimenti di dati a carattere personale che possono essere considerati ripetuti, voluminosi o abituali siano effettuati, se possibile, in un quadro giuridico specifico, come ad esempio un contratto o norme vincolanti d'impresa.
Nella presente comunicazione, la Commissione tratterà solo quelle deroghe che risultano particolarmente pertinenti per i trasferimenti nell'ambito commerciale a seguito della constatazione che la decisione sull'approdo sicuro è stata invalidata.
2.3.1. Trasferimenti necessari per l'esecuzione di un contratto o per l'esecuzione di misure precontrattuali prese a richiesta della persona interessata (articolo 26, paragrafo 1, lettera b))
La presente deroga può essere pertinente, ad esempio, nel contesto di una prenotazione alberghiera, o nel caso in cui siano trasferite ad un paese terzo informazioni su un pagamento al fine di effettuare un bonifico bancario. Tuttavia, in ciascuno di questi casi il Gruppo di lavoro "Articolo 29" ritiene che vi sia un "nesso stretto e sostanziale", un "collegamento diretto ed obiettivo" tra la persona interessata e lo scopo del contratto o della misura precontrattuale (criterio di necessità). Inoltre, la deroga non può essere applicata ai trasferimenti di ulteriori informazioni non necessarie ai fini del trasferimento o dei trasferimenti per un fine diverso dall'esecuzione del contratto (ad esempio, il seguito di un'operazione di marketing). Per quanto riguarda le misure precontrattuali, il Gruppo di lavoro "Articolo 29" ha ritenuto che solo i contatti avviati dalla persona interessata (ad esempio, una richiesta di informazioni su un determinato servizio) sarebbero coperti ma non quelli derivanti da approcci di marketing effettuati dal responsabile del trattamento dei dati.
2.3.2. Trasferimenti necessari per la conclusione o l'esecuzione di un contratto, concluso nell'interesse della persona interessata, tra il responsabile del trattamento o un terzo (articolo 26, paragrafo 1, lettera c))
Questa deroga può essere pertinente, ad esempio, quando la persona interessata è il beneficiario di un bonifico bancario internazionale, o quando un'agenzia di viaggi trasmette i dati della prenotazione di un volo ad una compagnia aerea. Anche in questo caso si applica il criterio di necessità e deve sussistere un nesso stretto e sostanziale tra l'interesse della persona interessata e lo scopo perseguito con il contratto.
2.3.3. Trasferimenti necessari o prescritti dalla legge per constatare, esercitare o difendere un diritto per via giudiziaria (articolo 26, paragrafo 1, lettera d))
Questa deroga potrebbe essere applicabile, ad esempio, nei casi in cui una società abbia necessità di trasferire dati per difendersi in un'azione legale, o per presentare un reclamo davanti a un giudice o un'autorità pubblica. Come per le due precedenti deroghe, ciò è subordinato al criterio di necessità: deve sussistere una stretta connessione con il contenzioso o il procedimento giudiziario (anche di natura amministrativa).
Secondo il Gruppo di lavoro "Articolo 29", la deroga può essere applicata solo se sono state rispettate le norme sulla cooperazione internazionale nei procedimenti penali o civili che disciplinano il tipo di trasferimento, segnatamente perché derivanti dalle disposizioni della convenzione dell'Aia del 18 marzo 1970 ("la convenzione sull'assunzione delle prove").
2.3.4. Previo consenso inequivocabile della persona interessata al trasferimento previsto (articolo 26, paragrafo 1, lettera a))
Benché il consenso possa essere utilizzato come base per i trasferimenti di dati, si impongono alcune considerazioni. Poiché il consenso deve essere accordato al trasferimento "previsto", ciò richiede un previo consenso preventivo al trasferimento in questione (o a una particolare categoria di trasferimenti). Se la richiesta è fatta online, il Gruppo di lavoro "Articolo 29" ha raccomandato l'uso di caselle da contrassegnare (anziché caselle preselezionate). Perché il consenso deve essere inequivocabile, il minimo dubbio sull'effettiva manifestazione del consenso renderebbe inapplicabile la deroga. Ciò significa probabilmente che molte situazioni in cui il consenso è, nel migliore dei casi, implicito (ad esempio, quando una persona è stata informata di un trasferimento e non ha sollevato obiezioni) non sarebbero ammissibili. Per contro, la deroga può essere utilizzata nei casi in cui l'entità trasferente disponga di un contatto diretto con la persona interessata, possano essere facilmente fornite le informazioni necessarie e possa essere ottenuto il consenso inequivocabile.
Inoltre, ai sensi dell'articolo 2, lettera h), della direttiva 95/46/CE, il consenso deve essere libero, specifico e informato. Secondo il Gruppo di lavoro "Articolo 29", il primo requisito implica che un'eventuale "pressione" può inficiare la validità del consenso. Ciò è particolarmente importante nel contesto lavorativo, in cui il rapporto di subordinazione e di dipendenza insito nella condizione di personale dipendente è tale, in linea di principio, da far rimettere in discussione il ricorso al consenso. Più in generale, il consenso accordato da una persona interessata che non abbia avuto la possibilità di operare un'effettiva scelta o si è trovata davanti a un fatto compiuto non può essere considerato valido.
È di fondamentale importanza che le persone interessate siano adeguatamente informate in anticipo del fatto che i dati possono essere trasferiti al di fuori dell'UE, verso quale paese terzo e a quali condizioni (la finalità, l'identità e le coordinate del destinatario, ecc.). Tali informazioni dovrebbero vertere anche sul rischio specifico che i loro dati siano trasferiti a un paese terzo che non garantisce un'adeguata protezione. Inoltre, come rilevato dal Gruppo di lavoro "Articolo 29", la revoca del consenso della persona interessata, pur non essendo retroattiva, dovrebbe, in linea di principio, impedire qualsiasi ulteriore trattamento dei dati personali. Alla luce di tali limitazioni, il Gruppo di lavoro "Articolo 29" ritiene che il consenso non sia tale da garantire un adeguato quadro di lungo termine per i responsabili del trattamento dei dati in caso di trasferimenti strutturali.
2.4. Le basi alternative per i trasferimenti di dati personali in sintesi
Dalle considerazioni sopra esposte consegue che le imprese possono utilizzare una serie di diversi strumenti alternativi per effettuare i trasferimenti internazionali di dati verso paesi terzi che non si ritiene garantiscano un livello adeguato di protezione ai sensi dell'articolo 25, paragrafo 2, della direttiva 95/46/CE. A seguito della sentenza Schrems, il Gruppo di lavoro "Articolo 29" ha in particolare chiarito che, pur proseguendone la valutazione e fatte salve le competenze delle autorità di protezione dei dati di esaminare casi particolari, le clausole contrattuali tipo e le norme vincolanti d'impresa possono essere utilizzate per il trasferimento di dati verso gli Stati Uniti
. Da parte sua, l'industria ha reagito in modi diversi alla sentenza, anche facendo ricorso a tali strumenti alternativi come base dei trasferimenti di dati.
Tuttavia, vanno sottolineate due importanti condizioni. In primo luogo, si deve ricordare che, a prescindere dalla specifica base giuridica invocata, il trasferimento di dati verso un paese terzo può essere legittimamente effettuato solo se i dati sono stati originariamente raccolti e successivamente trattati dal responsabile del trattamento dei dati stabilito nell'UE in conformità della normativa nazionale che recepisce la direttiva 95/46/CE applicabile. La direttiva chiarisce espressamente che le attività di trattamento che hanno luogo prima del trasferimento, così come il trasferimento stesso, devono rispettare pienamente le norme adottate dagli Stati membri conformemente alle altre disposizioni della direttiva
. In secondo luogo, in mancanza di un accertamento di adeguatezza della Commissione, spetta ai responsabili del trattamento garantire che i trasferimenti di dati avvengano con garanzie sufficienti ai sensi dell'articolo 26, paragrafo 2, della direttiva. Questa valutazione deve essere effettuata alla luce di tutte le circostanze relative al trasferimento in questione. In particolare, sia le clausole contrattuali tipo che le norme vincolanti d'impresa prevedono che, se l'importatore di dati ha motivo di ritenere che la legislazione applicabile nel paese di destinazione può impedirgli di assolvere i suoi obblighi, ne informa prontamente l'esportatore di dati nell'UE. In tale situazione, spetta all'esportatore prendere le misure appropriate, necessarie per garantire la protezione dei dati personali. Tali misure possono variare da misure tecniche, organizzative, giuridiche o connesse al modello aziendale fino alla possibilità di sospendere il trasferimento dei dati o di risolvere il contratto. Tenuto conto di tutte le circostanze del trasferimento, gli esportatori di dati possono quindi dover porre in essere salvaguardie supplementari per integrare quelle previste ai sensi della base giuridica applicabile al trasferimento per soddisfare le prescrizioni dell'articolo 26, paragrafo 2 della direttiva.
Il rispetto di tali obblighi deve essere valutato, in ultima analisi, dalle autorità di protezione dei dati caso per caso nell'ambito dell'esercizio delle loro funzioni di controllo e applicazione, anche nel contesto dell'approvazione di accordi contrattuali e norme d'impresa vincolanti o sulla base di ricorsi individuali. Benché talune autorità di protezione dei dati abbiano espresso dubbi circa la possibilità di utilizzare gli strumenti di trasferimento, quali le clausole contrattuali tipo e le norme vincolanti d'impresa, per i flussi di dati transatlantici, nella dichiarazione rilasciata a seguito della sentenza Schrems, il Gruppo di lavoro "Articolo 29" ha annunciato che continuerà la sua analisi dell'impatto della sentenza su altri strumenti di trasferimento. Ciò non pregiudica i poteri delle autorità di protezione dei dati di indagare casi particolari e di esercitare i loro poteri in modo da proteggere le persone.
3. Le conseguenze della sentenza Schrems sulle decisioni di adeguatezza
Nella sua sentenza, la Corte di giustizia non rimette in questione le competenze della Commissione a norma dell'articolo 25, paragrafo 6, della direttiva 95/46/CE di accertare che un paese terzo garantisca un livello di protezione adeguato, a condizione che i requisiti stabiliti dalla Corte di giustizia siano rispettati. In linea con questi requisiti, la proposta del 2012 di un regolamento generale sulla protezione dei dati volta a sostituire la direttiva 95/46/CE, chiarisce e precisa le condizioni alle quali possono essere adottate decisioni di adeguatezza. Nella sentenza Schrems, la Corte ha anche chiarito che, quando la Commissione adotta una decisione di adeguatezza, essa è vincolante per tutti gli Stati membri e i loro organismi, comprese le autorità di protezione dei dati, fintantoché non venga revocata, annullata o dichiarata invalida dalla Corte di giustizia, che è il solo organo competente al riguardo. Le autorità di protezione dei dati continuano ad essere competenti a esaminare le domande ai sensi dell'articolo 28, paragrafo 4, della direttiva 95/46/CE, relative alla conformità del trasferimento dei dati con i requisiti stabiliti dalla direttiva (come interpretata dalla Corte), ma non possono svolgere un accertamento definitivo. Piuttosto, gli Stati membri devono prevedere la possibilità di portare il caso dinanzi ad un giudice nazionale, che a sua volta può adire la Corte di giustizia mediante una domanda di pronuncia pregiudiziale ai sensi dell'articolo 267 del trattato sul funzionamento dell'Unione europea (TFUE).
Inoltre, la Corte di giustizia ha espressamente confermato che il ricorso da parte di un paese terzo a un sistema di autocertificazione (come nel caso dei principi di "approdo sicuro") non esclude una constatazione di adeguatezza ai sensi dell'articolo 25, paragrafo 6, della direttiva 95/46/CE, purché vi siano efficaci meccanismi di individuazione e di vigilanza che rendano possibile in pratica individuare e sanzionare qualsiasi violazione delle norme in materia di protezione dei dati.
Dato che l'attuale decisione "Approdo sicuro" non conteneva elementi sufficienti a tale riguardo, la Corte di giustizia ha dichiarato l'invalidità della decisione. È quindi evidente che i trasferimenti di dati tra l'UE e gli Stati Uniti non possono più essere effettuati su tale base, vale a dire esclusivamente invocando il rispetto dei principi di approdo sicuro. Atteso che il trasferimento di dati verso un paese terzo che non garantisce un livello di protezione adeguato (o almeno nei casi in cui ciò non è stato stabilito in una decisione della Commissione ai sensi dell'articolo 25, paragrafo 6, della direttiva 95/46/CE), è, in linea di principio, vietato, esso è legittimo solo se l'esportatore dei dati può invocare uno degli strumenti alternativi di cui sopra nella sezione 2. In mancanza di una decisione di adeguatezza, è responsabilità dell'esportatore di dati — sotto il controllo delle autorità di protezione dei dati — garantire che le condizioni per ricorrere ad uno di tali strumenti siano soddisfatte con riferimento al trasferimento di dati.
Il campo di applicazione della sentenza è limitato alla decisione "Approdo sicuro" della Commissione. Tuttavia, ciascuna delle altre decisioni di adeguatezza contiene una limitazione dei poteri delle autorità di protezione dei dati che è identico all'articolo 3 della decisione "Approdo sicuro" e che la Corte di giustizia ha ritenuto invalida. La Commissione intende ora trarre le necessarie conseguenze dalla sentenza elaborando in tempi brevi una decisione, che dovrà essere adottata secondo la procedura di comitatologia applicabile, per sostituire tale disposizione in tutte le decisioni di adeguatezza esistenti. Inoltre, la Commissione procederà a una valutazione periodica delle attuali e delle future decisioni di adeguatezza, anche mediante la periodica revisione congiunta del loro funzionamento in collaborazione con le autorità competenti del paese terzo in questione.
4. Conclusioni
Come confermato dal Gruppo di lavoro "Articolo 29", gli strumenti alternativi che autorizzano i flussi di dati possono ancora essere utilizzati dalle imprese per leciti trasferimenti di dati verso paesi terzi, come gli Stati Uniti. Tuttavia, la Commissione ritiene che un rinnovato e solido quadro per i trasferimenti di dati personali verso gli Stati Uniti rimanga una priorità fondamentale. Un quadro di questo tipo è la soluzione più completa per garantire un'effettiva continuità della protezione dei dati personali dei cittadini europei quando sono trasferiti negli Stati Uniti. Esso offre inoltre la soluzione migliore per il commercio transatlantico, poiché offre un meccanismo di trasferimento più semplice, meno laborioso e quindi meno costoso, in particolare per le PMI.
Già nel 2013 la Commissione aveva avviato negoziati con il governo degli Stati Uniti su un nuovo accordo per i trasferimenti transatlantici di dati basato sulle sue 13 raccomandazioni. Sono stati compiuti notevoli progressi nell'avvicinare le opinioni di entrambe le parti, ad esempio su un monitoraggio e un'applicazione più rigorosi dei principi di approdo sicuro da parte, rispettivamente, del ministero del Commercio degli Stati Uniti e della Federal Trade Commission degli Stati Uniti, una maggiore trasparenza per i consumatori per quanto riguarda i loro diritti alla protezione dei dati, una più facile e meno costosa possibilità di ricorso in caso di reclami e norme più chiare in materia di trasferimenti successivi dalle società che aderiscono ai principi "approdo sicuro" a quelle che non vi aderiscono (ad esempio, ai fini di trattamento diretto e di trattamento affidato in subcontratto). Ora che la decisione "Approdo sicuro" è stata dichiarata invalida, la Commissione ha intensificato il dialogo con il governo degli Stati Uniti per garantire che gli obblighi giuridici formulati dalla Corte di giustizia siano rispettati. La Commissione mira a concludere le discussioni e raggiungere questo obiettivo in tre mesi.
Fino a quando il rinnovato quadro transatlantico non sarà attuato, le imprese hanno bisogno di invocare gli strumenti alternativi di trasferimento disponibili. Tuttavia, tale opzione comporta responsabilità per gli esportatori di dati, sotto la supervisione delle autorità di protezione dei dati.
Contrariamente alla situazione in cui esiste un riscontro da parte della Commissione del fatto che un paese terzo garantisce un livello adeguato di protezione dei dati, che gli esportatori di dati possano invocare ai fini dei trasferimenti di dati dall'UE, questi ultimi rimangono responsabili della verifica che i dati personali siano protetti in modo efficace quando utilizzano strumenti alternativi. Ciò può includere l'obbligo di adottare le misure opportune, ove necessario.
A tale riguardo, le autorità di protezione dei dati hanno un ruolo centrale da svolgere. In quanto principale autorità preposta all'applicazione dei diritti fondamentali delle persone interessate, le autorità di protezione dei dati sono responsabili e hanno il potere di vigilare sui trasferimenti di dati dall'UE verso i paesi terzi, in piena indipendenza. La Commissione invita i responsabili del trattamento a cooperare con le autorità di protezione dei dati, aiutandole così a svolgere efficacemente il loro ruolo di vigilanza. La Commissione continuerà a lavorare a stretto contatto con il Gruppo di lavoro "Articolo 29" per garantire un'applicazione uniforme della normativa UE sulla protezione dei dati.