A prima vista, il trasferimento di dati personali in paesi extra UE potrebbe sembrare una eventualità remota, che si realizza in realtà aziendali particolarmente strutturate. In realtà, è quello che si concretizza, ad esempio, quando ci affidiamo ad un servizio di automazione marketing come Mailchimp. Il popolarissimo tool, infatti, ha base negli USA ed è quindi soggetto alle regole privacy vigenti oltreoceano. Usare Mailchimp in pratica, significa trasferire oltreoceano dati personali. La domanda è: si può fare?
Il trasferimento dei dati nel GDPR
Per poter rispondere, serve una breve premessa: il GDPR contempla l’ipotesi del trasferimento extra UE. Sostanzialmente, questa operazione è consentita a patto che, una volta soggetti alle norme extra UE, i dati siano sufficientemente protetti. A tal fine, i soggetti coinvolti (titolare/responsabile del trattamento e destinatario) possono concludere un accordo che preveda si rispettino determinate modalità di trattamento. Per semplificare il tutto, la Commissione UE può stabilire, in via generale, che un determinato paese offra garanzie adeguate, dando così un “via libera” preventivo al trasferimento in tale sede.
Proprio per agevolare queste operazioni, è stato costituito il cosiddetto Privacy Shield, ovvero un meccanismo di autocertificazione attraverso il quale le imprese aventi base negli USA garantiscono che i dati personali ricevuti e provenienti dall’UE godano di garanzie adeguate. Dichiarando di aderire allo Scudo, in pratica, l’impresa dimostra di tutelare i dati personali che le vengono trasferiti. Il Privacy Shield è stato convalidato dalla Commissione UE nel 2016 e ha semplificato la prassi di trasferimento dati verso gli USA.
La sentenza Schrems: addio al Privacy Shield
La Corte di Giustizia UE, con una decisione del 2020, ha però invalidato questa decisione. Secondo l’organo di giustizia, infatti, le norme USA non offrono garanzie adeguate per la protezione dei dati. Determinanti in tal senso alcune riflessioni sul fatto che la normativa statunitense ammetta ampi margini di azione alle autorità nazionali, che possono di fatto violare la privacy dei cittadini in nome della sicurezza nazionale. Si pensi, ad esempio, alla vicenda sollevata dal caso Snowden.
L’effetto di questa decisione (nota come Schrems II) è stato dirompente, perché moltissime aziende si avvalevano del Privacy Shield per giustificare agli occhi del GDPR il trasferimento dei dati. Si è reso quindi necessario, per loro, trovare un’altra base giuridica per legittimare l’operazione. Tale base può essere, ad esempio, un contratto tra le parti, che a sua volta potrà essere redatto ad hoc oppure utilizzando le clausole-tipo adottate dalla Commissione o dalle Autorità Privacy nazionali. A proposito delle clausole standard della Commissione, però, la Corte di Giustizia ha precisato che esse, da sole, non bastino. Si rende necessario, quindi, adottare misure di sicurezza ritagliate per il caso specifico.
Per aiutare le imprese a muoversi in questo difficile campo, il Comitato Europeo per la protezione dei dati ha diffuso una serie di FAQ. Il documento, nella versione tradotta in italiano, è consultabile qui.
Mailchimp non può garantire una protezione adeguata
Fatte queste premesse, si comprende che, dopo la decisione della Corte, assicurare che il trasferimento dei dati dalla UE agli USA sia rispettoso del GDPR non è affatto semplice. E qui torniamo a Mailchimp, perché recentemente il Garante Privacy della Baviera si è occupato del caso di una società tedesca che, appunto, ha fatto ricorso al servizio per gestire il proprio database di clienti. La società ha spiegato che il trasferimento avveniva sulla base delle clausole standard (SCC), ma – proprio valorizzando la recente decisione della Corte – l’Autorità bavarese ha ritenuto che non ci siano le garanzie sufficienti. Secondo l’Autorità, in particolare, il semplice ricorso alle SCC non garantisce che Mailchimp non subisca gli accessi che la normativa statunitense consente alle autorità nazionali competenti.
La buona notizia è che sono in corso i negoziati per giungere ad una nuova versione del Privacy Shield, che possa semplificare il lavoro per chi trasferisce i dati all’estero.
Avv. Andrea MARTINIS
diritto civile (responsabilità civile, assicurazioni, recupero crediti), privacy, diritto penale