Come sappiamo, nel mese di luglio 2020 la Corte di Giustizia UE, nell’ambito del noto caso Schrems II, ha esaminato la validità della decisione della Commissione UE in merito all’adeguatezza del Privacy Shield (Decisione 2016/1250), vigente fino a quel momento tra UE e USA, decretandone la sua invalidità.
L’EDPB ha, pertanto, pubblicato alcune FAQ per fornire alcune prime risposte per affrontare le conseguenze pratiche della decisione Schrems II, precisando – peraltro – che tale documento sarà successivamente integrato con ulteriori approfondimenti, a seguito di una puntuale valutazione di tutti i profili analizzati dalla sentenza della Corte di Giustizia UE.
Le FAQ dell’EDPB si occupano di molti aspetti, tutti rilevanti, e vi suggerisco, quindi, di leggere l’intero documento con attenzione: lo trovate, come sempre, alla pagina “documenti utili” del Blog, nella traduzione italiana pubblicata dal nostro Garante.
Dato che in un mio precedente articolo (“Il dopo Privacy Shield“) mi ero soffermato sulla possibilità di utilizzare, dopo la decisione sul caso Schrems II, i rimedi previsti dall’art. 49 GDPR, in questa sede mi sembra interessante approfondire questo specifico profilo, segnalando quanto afferma l’EDPB al riguardo.
Secondo l’EDPB, è certamente possibile trasferire dati da UE a USA sulla base delle deroghe previste dall’articolo 49 del GDPR, purché siano soddisfatte le condizioni previste da tale articolo e con le precisazioni contenute nelle linee-guida pubblicate dall’EDPB stesso (Linee Guida n. 2/2018 adottate il 25 maggio 2018).
In particolare, ci viene ricordato che:
a) quando i trasferimenti sono basati sul consenso dell’interessato, tale consenso deve essere esplicito e specifico con riguardo al particolare trasferimento che si sta realizzando (quindi, l’esportatore di dati personali deve assicurarsi di ottenere un consenso specifico prima che il trasferimento sia messo in atto); il consenso deve, inoltre, essere informato, in particolare sui possibili rischi del trasferimento, soprattutto quando i dati personali dell’interessato vengono trasferiti a un Paese che non fornisce una protezione adeguata e non vi sono sufficienti misure di salvaguardia adeguate a proteggere i suoi dati;
b) per quanto riguarda i trasferimenti necessari all’esecuzione di un contratto tra l’interessato e il Titolare del trattamento, occorre tenere presente che i dati personali possono essere trasferiti solo su base occasionale. In ogni caso, questa deroga può essere invocata solo quando il trasferimento è oggettivamente necessario all’esecuzione del contratto;
c) in relazione ai trasferimenti necessari per importanti motivi di interesse pubblico (che devono essere riconosciuti nella legislazione dell’UE o in quella degli Stati membri), il requisito essenziale per l’applicabilità di tale deroga è la constatazione della sussistenza di importanti motivi di interesse pubblico, e non già la natura del soggetto coinvolto nel trasferimento. L’EDP ricorda, inoltre, che, sebbene questa deroga non sia limitata ai trasferimenti di dati personali aventi natura “occasionale”, ciò non significa che i trasferimenti di dati sulla base della deroga relativa alla sussistenza di importanti motivi di interesse pubblico possano configurarsi su larga scala e in modo sistematico. Occorre, invece, sempre rispettare il principio generale per cui le deroghe previste all’articolo 49 del GDPR non devono trasformarsi, di fatto, in regola di generale e generalizzata applicazione, ma va applicata a fronte dell’esito positivo di un rigoroso test di necessità.
Insomma, dopo la sentenza del caso Schrems II e il venir meno del Privacy Shield, l’art. 49 del GDPR può venirci in aiuto, ma non è la panacea per ogni male.