La modalità di utilizzo dei servizi cloud ha subito un forte contraccolpo a seguito della sentenza Schrems II pronunciata dalla Corte di Giustizia dell’Unione Europea il 16 luglio 2020.

Questa sentenza ha sancito due principi fondamentali in materia di trattamento dati personali: la validità della Clausole Contrattuali Standard (Standard Contractual Clauses) e l’inefficienza delle regole di trasferimento dati da esportatori europei ad importatori statunitensi (sistema del Privacy Shield).

Nello specifico, la sentenza ha invalidato le regole dello scudo privacy UE-USA poiché non garantivano una sufficiente protezione dei dati personali trasferiti, ed ha affermato la possibilità che l’Autorità di Controllo, anche in presenza di Clausole Contrattuali Standard (CCS), possa provvedere al divieto di trasferimento dati quando:

  • le CCS non siano rispettate dalla normativa del paese terzo;
  • il paese terzo importatore di dati non garantisce il rispetto dei requisiti individuati dagli artt. 46 e seguenti del Reg. UE 2016/679 (c.d. GDPR).

In altre parole, il trasferimento può essere vietato o sospeso laddove, seppur in presenza di Clausole Contrattuali Standard, l’esportatore non adotti ulteriori misure che assicurino il corretto utilizzo ed elaborazione dei dati da parte dell’importatore.

Che cosa si intende per “trasferimento dati?

Nel Reg. UE 2016/679 non vi è una vera e propria definizione di “trasferimento dati”, nonostante essa costituisca il punto cardine dell’art. 30 (“Registri delle attività di trattamento”), art. 35 (“Valutazione d’impatto sulla protezione dati”), nonché delle disposizioni di cui al Capo V (“Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali”) disciplinante i trasferimenti dati transnazionali.

Genericamente, possiamo affermare come per “trasferimento dati” debba intendersi quell’attività di trasferimento di informazioni di un Titolare (soggetto alla normativa europea del GDPR) verso un paese non appartenente all’Unione Europea.

Le modalità del citato trasferimento dati possono essere molteplici: si pensi, ad esempio, alla raccolta dati personali degli utenti mediante invio di newsletter, con successiva archiviazione ed elaborazione dei medesimi da parte di importatori extra europei.

Il trasferimento dati dopo la sentenza Schrems II

A seguito della sentenza Schrems II, il Garante Europeo della Protezione Dati (GEPD) ha invitato gli esportatori dati ad utilizzare cloud providers conformi alla normativa europea, dovendo il trasferimento dati avvenire secondo i principi espressi dalla Carta dei Diritti Fondamentali UE e dal Reg. UE 2016/679 (Capo V).

Il GEPD, infatti, ha sottolineato come il rispetto della normativa europea nel trasferimento dati possa avvenire solo a fronte di una strategia di cooperazione e assunzioni di responsabilità da parte del responsabile al trattamento dati nella valutazione del grado di protezione dei dati da parte del terzo paese importatore.

Peraltro, il 10 novembre 2020, l’European Data Protection Board (EDPB) ha dettato alcune raccomandazioni (non ancora, però, in versione definitiva) in materia di trasferimento dati verso Paesi terzi non membri dell’Unione Europea dirette ad assicurare che il citato trasferimento avvenga nel modo più protetto e conforme alla normativa (maggiormente garantista) europea.

Difatti, all’esportatore di dati viene richiesto di valutare:

  • di essere a conoscenza del contenuto dei dati che intende trasferire;
  • che gli strumenti di trasferimento scelti siano conformi agli standard di cui al Capo V del GDPR;
  • se l’utilizzazione dei dati trasferiti al paese terzo avvenga sulla base di regole trasparenti ed accessibili, ovvero quanto meno equivalenti al livello europeo;
  • se le finalità di utilizzo dei dati trasferiti al paese terzo siano conformi a quanto dettato dal diritto comunitario;
  • se nel paese terzo importatore di dati sia stato costituito un organo indipendente, atto a valutare e garantire il corretto trattamento dei dati trasferiti;
  • il corretto utilizzo dei dati trasferiti ed il livello di protezione agli stessi applicato.

I rischi del trasferimento di dati personali e dell’uso di servizi cloud in violazione dei principi della sentenza Schrems II

Le novità introdotte con Schrems II hanno determinato un netto cambiamento dei parametri di adeguatezza nei meccanismi di trasferimento ed archiviazione dati mediante servizi cloud.

Il rischio a cui gli esportatori potrebbero incorrere è quello di trasferire dati in paesi terzi la cui normativa privacy non garantisce neppure il minimo di protezione accordato dal GDPR per il trattamento dati tra paesi europei. Questa attività può costituire un illecito punito con le sanzioni pecuniarie previste dall’art. 83 GDPR e, nei casi più gravi, può configurare il reato di trattamento illecito di dati personali, come visto in questo articolo.

Una prima risposta è stata data dall’European Data Protection Board che, richiamando la sentenza Schrems II e la normativa del GDPR relativamente al ruolo dell’Autorità di Controllo (ossia il Garante Privacy a livello nazionale), ha evidenziato come – quest’ultima – abbia il potere di contestare, sanzionare, sospendere e limitare i trasferimenti dati quando, a seguito di un’indagine o di un reclamo:

  • rilevi che il paese importatore di dati non garantisce almeno lo stesso livello di protezione dati previsto in Unione Europea;
  • all’esito delle indagini, accerti che i dati trasferiti a paesi terzi non europei sono conservati ed accessibili a paesi non SEE.

L’uso dei servizi cloud dopo Schrems II: l’avvertimento a Mailchimp del garante privacy bavarese

Un esempio del potere che le Autorità di Controllo nazionali esercitano nell’ambito della vigilanza dei sistemi di trasferimento dati è evidente nell’ultimo “monito” del Garante Privacy bavarese.

Quest’ultimo, infatti, ha emesso il primo provvedimento in cui si è pronunciato sull’uso dei cloud statunitensi dopo la sentenza Schrems II, dichiarando illegittimo il trasferimento dati extra europeo effettuato da una società tedesca attraverso il servizio di newsletters gestito da Mailchimp.

Nello specifico, la società tedesca, attraverso la mailing di Mailchimp, trasferiva gli indirizzi mail di taluni soggetti senza prima aver ottenuto il loro consenso, in violazione delle norme del GDPR, che sanciscono (tra le altre cose) come l’esportatore dati debba ottenere il previo consenso degli interessati qualora intendesse trasferire i loro dati ad un paese extra europeo.

Il provvedimento è particolarmente rilevante in quanto sancisce che:

  • il trasferimento dati verso gli Stati Uniti non è ammesso laddove, seppur in presenza di Clausole Contrattuali Standard, non siano applicate ulteriori misure di protezione dati;
  • l’esportatore dati deve compiere necessariamente una verifica preliminare circa i criteri di adeguatezza della normativa di protezione dati personali del paese importatore;
  • la sanzione pecuniaria è applicata solo in presenza di un interesse pubblico che l’Autorità di Controllo competente valuta come leso (ai sensi dell’art 58 GDPR).

L’Autorità di Controllo bavarese ha concluso la procedura senza alcuna misura formale di vigilanza, sottolineando come, nel caso in oggetto, pochi fossero i dati del ricorrente trasferiti mediante il servizio di mailing tale da non giustificare alcuna sanzione pecuniaria a carico della società coinvolta.

Indubbiamente, questa decisione – seppur priva di contenuto sanzionatorio – costituisce un interessante precedente in materia di data protection, utilizzabile quale linea guida dalle società europee al fine di evitare di subire sanzioni per non aver rispettato i principi enunciati dalla Corte di Giustizia UE in Schrems II nell’uso dei servizi cloud.