The European Court of Justice also breaks down Privacy Shield

  • Posted By Pierangela Rodilosso
  • |
  • 7 August 2020
  • |
  • 0 comments

Sharing is caring!

By judgment of 16 July 2020, rendered in case C-311/18 (the so-called Schrems II case), the Court of Justice of the European Union invalidated the “Privacy Shield” agreement

Drawn up by the European Commission and the U.S. Government and approved on 16 July 2016, the agreement was to put in place appropriate remedies – once the previous “Safe Harbor” agreement was declared invalid in 2015 – to allow large organisations and multinationals to transfer European personal data to the United States in a lawful manner, i.e. in compliance with the GDPR and the Charter of Fundamental Rights of the European Union.

The Privacy Shield, among other things, provided for stricter obligations for U.S. companies importing personal data of European citizens, periodic monitoring of compliance with these obligations with the consequent application of sanctions, the provision of guarantees and transparency obligations for access by the U.S. government and public authorities to personal data transferred for law enforcement and national security purposes and, above all, the figure of the Ombudsman (the so-called “Ombudsman”), to whom European citizens could turn to defend themselves in case of unlawful processing of their data in the United States, for violation of fundamental rights and freedoms guaranteed in the European Union.

The Court found the Privacy Shield Agreement inadequate because it did not sufficiently guarantee the lawfulness of the transfer and procedural transparency of European personal data processing in the United States and did not recognise or provide an adequate means of defending the fundamental rights and freedoms of European citizens. In particular, the E.U. Court stated that:

  • U.S. domestic legislation, in the present case represented by FISA (Foreign Intelligence Surveillance) Section 702 and Executive Order 12333, does not respect the principles of necessity and proportionality provided for by the GDPR and the rights and freedoms guaranteed by the Charter of Fundamental Rights of the European Union;
  • recourse to the Ombudsman is not sufficient and does not meet the guarantees laid down in the Charter of Fundamental Rights of the European Union;
  • the standard contractual clauses, prepared by the European Commission for the transfer of data to countries and third parties used by large companies, must be assessed on a case-by-case basis concerning the adequacy of the privacy legislation in the state or organization to which the data is transferred. The data exporter and the data importer (e.g. Facebook Ireland and Facebook in the United States) should consider whether, while signing the standard contractual clauses, the United States can be considered an appropriate location, or whether there is a need to supplement the clauses with additional measures to mitigate the privacy risks in the country to which the transfer is made.

The conclusions of the E.U. Court of Justice raise further questions about how the use of standard contractual clauses – an agreement between private parties – can resolve the question of inadequacy, proportionality, necessity and remedies against the violation of privacy, an issue not resolved by an international agreement such as the “Privacy Shield”. A possible solution could be the use of the exceptions provided for in Article 49 of the GDPR, which allow the transfer of personal data from the European Union to third countries where necessary for the performance of a contract.

The EDPB (European Data Protection Board) is currently analysing the above judgment to determine the type of additional measures that could be taken in addition to the standard contractual clauses and binding corporate rules.

***

LA CORTE DI GIUSTIZIA EUROPEA ABBATTE ANCHE IL “PRIVACY SHIELD”

Con sentenza del 16 luglio 2020, resa nella causa C-311/18 (il cd. caso Schrems II), la Corte di Giustizia dell’Unione Europea ha invalidato l’accordo “Privacy Shield”.

Elaborato dalla Commissione Europea e dal Governo degli Stati Uniti e approvato il 16 luglio 2016, l’accordo doveva porre in essere dei rimedi adeguati – una volta dichiarato invalido nel 2015 il precedente accordo “Safe Harbor” – al fine di permettere alle grandi organizzazioni e multinazionali di effettuare il trasferimento di dati personali europei negli Stati Uniti in modo lecito, cioè nel rispetto del GDPR e della Carta dei diritti fondamentali dell’Unione Europea.

Il Privacy Shield, tra le altre cose, prevedeva obblighi più severi per le imprese statunitensi che importavano dati personali di cittadini europei, un controllo periodico del rispetto di tali obblighi con conseguente applicazione di sanzioni, la previsione di garanzie e obblighi di trasparenza per l’accesso del Governo e delle autorità pubbliche statunitensi ai dati personali trasferiti per fini di contrasto e sicurezza nazionale e, soprattutto, la figura del Mediatore (il cd. “Ombudsperson”), al quale il cittadino europeo poteva rivolgersi per difendersi in caso di illecito trattamento dei suoi dati personali negli Stati Uniti, per violazione dei diritti e delle libertà fondamentali garantiti nell’Unione Europea.

La Corte ha ritenuto l’accordo “Privacy Shield” inadeguato, in quanto non garantiva sufficientemente la liceità del trasferimento e la trasparenza procedurale dei trattamenti dei dati personali europei negli Stati Uniti e non riconosceva né forniva un adeguato strumento di difesa dei diritti e delle libertà fondamentali dei cittadini europei. In particolare, la Corte UE ha dichiarato che:

  • la normativa interna statunitense, nel caso in esame rappresentata da FISA (Foreign Intelligence Surveillance) Section 702 e Executive Order 12333, non rispetta i principi di necessità e proporzionalità previsti dal GDPR e i diritti e le libertà garantiti dalla Carta dei diritti fondamentali dell’Unione Europea;
  • il ricorso al del Mediatore non è sufficiente e non soddisfa le garanzie previste dalla Carta dei diritti fondamentali dell’Unione Europea;
  • le standard contractual clauses, predisposte dalla Commissione Europea per il trasferimento dei dati verso i Paesi e terzi utilizzate dalle grandi imprese, dovranno essere valutate caso per caso con riferimento all’adeguatezza della normativa privacy nel Paese o presso l’organizzazione verso cui i dati sono trasferiti. L’esportatore e l’importatore (ad es. Facebook Ireland e Facebook negli Stati Uniti) dovrebbero valutare se, pur sottoscrivendo le standard contractual clauses, gli Stati Uniti possano essere considerati un luogo adeguato, o vi sia la necessità di integrare le clausole con ulteriori misure tali da poter arginare i rischi di violazione della privacy sussistenti nel Paese verso cui avviene il trasferimento.

Le conclusioni della Corte di Giustizia UE fanno sorgere ulteriori quesiti a proposito di come l’utilizzo delle standard contractual clauses – un accordo fra privati – possa risolvere la questione dell’inadeguatezza, della proporzionalità, della necessità e dei rimedi contro la violazione della privacy, questione non risolta da un accordo internazionale come il “Privacy Shield”. Una possibile soluzione potrebbe essere rappresentata dal ricorso alle deroghe previste dall’art. 49 del GDPR, che consentono il trasferimento di dati personali dall’Unione Europea verso Paesi terzi laddove necessario per l’esecuzione di un contratto.

L’EDPB (European Data Protection Board) sta attualmente analizzando la sentenza suddetta, al fine di determinare il tipo di misure supplementari che potrebbero essere adottate in aggiunta alle standard contractual clauses ed alle binding corporate rules

Leave a Comment

shares