C’è stato un grande respiro di sollievo e note di apprezzamento da parte della comunità internazionale dopo la pubblicazione dell’opinione dell’Avvocato Generale della Corte di Giustizia europea, Henrik Saugmandsgaard Øe, in relazione alla seconda “puntata” della controversia tra Max Schrems e Facebook sulla validità del trasferimento dei dati personali al di fuori dell’Unione europea.
Gli avvocati esperti di privacy ricordano bene Max Schrems per averci causato lunghe notti insonni a seguito della invalidazione da parte della Corte di Giustizia europea del programma denominato “Safe Harbor” relativo al trasferimento dei dati personali negli Stati Uniti. L’invalidazione aveva obbligato le società americane a prontamente adottare le c.d. “clausole contrattuali standard” (SCCs) approvate dalla Commissione europea per regolare detto trasferimento.
Come già discusso da CorCom, Schrems ora ha attaccato la validità delle clausole contrattuali standard, ritenendo che le tutele previste dalle stesse possano essere ridotte o del tutto eliminate nel caso in cui la legge del Paese in cui i dati personali sono trasferiti preveda degli obblighi che sono in contrasto con le disposizioni delle SCCs.
L’aspetto è estremamente rilevante perché, qualora le clausole contrattuali standard fossero invalidate, il trasferimento dei dati personali verso Paesi che non sono considerati dalla Commissione europea in grado di garantire tutele adeguate ai dati personali sarebbe quasi del tutto bloccato. Infatti, le uniche alternative che rimarrebbero il “Privacy Shield” per i trasferimenti solo negli Stati Uniti che però potrebbe essere contestato sulla base degli stessi argomenti utilizzati nei confronti delle SCCs e le c.d. binding corporate rules per i trasferimenti infra-gruppo che però hanno tempi di approvazione abbastanza lunghi.
Per questo motivo, l’opinione dell’Avvocato Generale sul caso ormai etichettato come Schrems II secondo cui le SCCs non devono essere invalidate, è stata applaudita dal mercato. Qualora la stessa interpretazione fosse seguita dalla Corte di Giustizia europea, tuttavia è improbabile che ci troveremmo di fronte all’ultima puntata della saga.
Henrik Saugmandsgaard Øe ha infatti ritenuto che le clausole contrattuali standard sono conformi al GDPR o in generale alla normativa europea sul trattamento dei dati personali, ma ritiene che sia necessaria una valutazione caso per caso in relazione a ciascun trasferimento di dati personali circa la sussistenza di una protezione adeguata rispetto ai dati trasferiti. Non si tratta quindi di una questione circa la compatibilità della normativa straniera con la normativa europea sul trattamento dei dati personali, ma di valutazione di ciascun trasferimento.
Qualora, nell’ambito di detta valutazione, il titolare del trattamento o il garante per il trattamento dei dati personali competente raggiungessero la conclusione che non ci sono dette protezioni adeguate, il trasferimento dovrebbe essere sospeso o proibito.
Questa impostazione comporterebbe un rischio di incoerenza nell’approccio tra le varie autorità privacy nazionali che è solo ridotto dalla presenza del meccanismo del “one stop shop” previsto dal GDPR. Allo stesso modo, la sospensione o il blocco del trasferimento dei dati personali non avrebbe effetto rispetto ai dati già trasferiti per i quali l’unico rimedio disponibile sarebbe il risarcimento dei danni.
Questi rilievi non sono stati considerati sufficienti da parte dell’Avvocato Generale che, per sua stessa ammissione, ha cercato di adottare un approccio pragmatico nella sua opinione. Detto pragmatismo potrebbe però aprire la porta a un’ulteriore incoerenza all’interno dell’Unione europea sulle regole relative al trattamento dei dati personali. A meno di due anni dall’inizio dell’applicabilità del GDPR infatti, ci troviamo in un contesto dove l’obiettivo di garantire una maggiore coerenza nel quadro europeo relativo alla normativa sul trattamento dei dati personali è stato vanificato da approcci alquanto diversi da parte dei legislatori e delle autorità privacy nazionali.
La speranza è che la Corte di Giustizia europea non solo confermi la validità delle clausole contrattuali standard, ma anche dia indicazioni dettagliate dei casi in cui non possono essere utilizzate, in modo da evitare una paralisi del mercato mondiale che è sempre più basato sul trasferimento di dati personali.
