Trasferimento dei dati negli USA: annullato il Privacy Shield. Quali conseguenze per i siti di commercio elettronico?
Fino a ieri, se gestivi un sito di commercio elettronico e trasferivi i dati personali dei tuoi clienti negli U.S.A. potevi farlo grazie al c.d. “Privacy Shield”.
Ieri (16 luglio), la Corte di Giustizia ha annullato il Privacy Shield. Ciò comporterà importanti conseguenze per i siti ecommerce e per le imprese che operano nel mondo digitale.
La decisione della Corte UE sul Privacy Shield
Quando un ecommerce può trasferire dati personali in un Paese extra-UE?
Conseguenze per il sito di commercio elettronico
Rivedere il flusso del trattamento dei dati personali
Il generatore di privacy policy di LegalBlink è stato aggiornato
Cos’è il Privacy Shield?
Con questo termine si fa riferimento a un accordo sottoscritto il 12 luglio 2016 tra gli USA e la Commissione europea. L’accordo aveva previsto un regime di particolare favore per le azienda americane nelle ipotesi di trasferimento di dati personali di cittadini europei negli USA.
Nella pratica, l’azienda statunitense che riceveva i dati personali appartenenti a cittadini europei doveva registrare una autocertificazione (da rinnovare annualmente) in cui si impegnava a tutelare la privacy dei cittadini europei in base, appunto, a quanto previsto dal Privacy Shield.
E’ possibile consultare la lista delle aziende statunitensi autorizzate a ricevere dati personali dalle società europee cliccando a questo indirizzo.
Di conseguenza, il sito ecommerce europeo che trasferire dati negli USA doveva solo verificare se l’azienda americana avesse aderito o meno al Privacy Shield. In caso di esito positivo della verifica, il trasferimento dei dati personali poteva dirsi legittimo (almeno sul tema del trasferimento dei dati all’estero).
L’accordo si era però rivelato per essere “la somma” di una serie di documenti emessi dalle stesse amministrazioni USA: impegni generici in favore dei diritti privacy dei cittadini europei ma che nulla dicevano in termini di effettiva tutela della riservatezza.
Le più importanti criticità privacy del Privacy Shield hanno riguardato:
- Assenza di sostanziali limiti per il governo USA di raccogliere dati personali dei cittadini europei conservati presso aziende americane
- Strumenti giuridici di tutela insufficienti
- Differenti obiettivi: in Europa si tutela l’individuo, negli USA l’informazione (ciò significa che si possono raccogliere dati personali senza specificare quali siano gli interessati).
La principale conseguenza per un sito di commercio elettronico che trasferiva dati personali negli USA in base al Privacy Shield era il rischio che questi dati potessero essere comunicati al governo Americano senza il consenso né del sito ecommerce, né del consumatore/utente.
La decisione della Corte UE sul Privacy Shield
La Corte di Giustizia dell’Unione europea ha sostenuto che il trattamento dei dati effettuato dalle agenzie americane governative di per sé non preclude il trasferimento dei dati verso gli Usa, ma il fatto che tale trattamento non sia circoscritto in maniera equivalente rispetto a quanto accade in Europa viola la protezione dei dati personali dei cittadini (e quindi anche consumatori) europei.
Nel concreto, gli USA dovranno conformare il trattamento dei dati personali dei cittadini e dei consumatori a quanto sostanzialmente previsto dal GDPR.
Quando un ecommerce può trasferire i dati personali dei clienti in un Paese extra-UE?
In base a quanto previsto dal GDPR, un sito di commercio elettronico può trasferire i dati personali dei propri clienti a determinate condizioni.
Infatti, il trasferimento può avvenire solo in presenza di:
- una decisione di adeguatezza (come lo era il Privacy Shield);
- clausole standard (un accordo specifico tra il sito ecommerce e l’azienda che riceveva i dati);
- norme vincolanti di impresa (specifiche norme in vigore all’interno del gruppo societario).
Ciò posto, lo stesso GDPR prevede delle deroghe a questi obblighi. Vale a dire casi ove il trasferimento dei dati in Paesi extra-UE può avvenire in assenza, per esempio, di una decisione di adeguatezza.
Tra queste eccezioni, con specifico riferimento all’ambito ecommerce e digitale, figurano:
- il consenso specifico del cliente o dell’utente del sito di commercio elettronico
- la necessità di trasferire i dati fuori dall’Unione europea per eseguire il contratto di vendita
- la necessità di trasferire i dati per difendersi in giudizio.
Conseguenze per il sito di commercio elettronico
La decisione della Corte UE impedisce a un sito di commercio elettronico di trasferire i dati personali negli USA?
Dipende dal contesto nel quale vengono trasferiti i dati.
Infatti, come visto al punto precedente, è sempre possibile trasferire dati personali negli USA qualora ciò sia necessario per eseguire l’accordo di compravendita.
Prima della sentenza qui commentata, questo trasferimento poteva avvenire per tale finalità a prescindere dal Privacy Shield.
Invece, a seguito della decisione della Corte UE, il trasferimento di dati personali in USA per mera gestione interna del sito ecommerce da ieri può avvenire solamente ai sensi di una delle eccezioni sopra descritte.
Ad esempio, se il sito di commercio elettronico decide di allocare i dati personali degli utenti che hanno fatto acquisti negli ultimi anni in un server americano perché vantaggioso in termini economici, potrà farlo solo in presenza di un accordo specifico con il fornitore, oppure solo aver ottenuto il consenso specifico in tal senso da parte dell’utente/consumatore (sempre molto difficile da ottenere in contesti diversi rispetto alla finalità di marketing o di profilazione).
Il problema delle clausole di adeguatezza
Insomma, per trasferire in USA i dati personali dei propri clienti fuori dalla necessità di eseguire il contratto di compravendita, il sito di commercio elettronico deve sottoscrivere con l’azienda che riceve questi dati delle clausole standard (un accordo).
Il problema è rappresentato dal fatto che l’accordo dovrà fornire ai consumatori una adeguata tutela (anche in termini di possibilità di esperire un ricorso alla azienda americana).
Ciò però è reso particolarmente difficile dalla perdurante efficacia della normativa americana, che appunto non offre adeguata tutela ai cittadini europei e che, ovviamente, non può essere “annullata” dal contratto sottoscritto tra ecommerce e azienda americana.
Pertanto, prima della sottoscrizione di un simile accordo, sarà obbligo del sito ecommerce valutare attentamente se l’azienda americana offre adeguate garanzie in termini di tutela della privacy.
In difetto, si espone al rischio di contestazioni da parte del Garante Privacy e dei propri clienti.
Rivedere il flusso del trattamento dei dati personali
Titolari e responsabili del trattamento ai sensi del GDPR dovranno rivedere e aggiornare le proprie analisi dei rischi e valutazioni di impatto sulla protezione dei dati, le procedure privacy e gli altri strumenti legali e tecnologici posti in essere a tutela del diritto alla protezione dei dati personali.
Ciò è molto importante per tutte quelle Applicazioni o gestionali che allocano i dati personali degli utenti negli USA per finalità diverse dalla mera esecuzione del contratto.
Come si è adeguato il generatore di privacy policy di LegalBlink
Il generatore di Privacy Policy di LegalBlink permette al sito ecommerce (nonché vetrina) di indicare in quali Paesi vengono trasferiti dati personali.
In particolare, se vengono indicati uno o più Paesi per i quali sussiste una “decisione di adeguatezza”, la privacy policy viene pubblicata con un wording che informa l’utente che il trasferimento dei dati personali avviene per tali motivi. Prima della sentenza della Corte UE, ciò avveniva anche con riferimento al trasferimento negli USA dei dati personali degli utenti del sito ecommerce.
A seguito della sentenza pubblicata dalla Corte UE, questo non avviene più.
Infatti, se l’utente indica che i dati sono trasferiti negli USA non viene più menzionata la decisione di adeguatezza riferita al Privacy Shield. La giustificazione per trasferire dati personali in questo Paese potrà essere rappresentata dall’esigenza di eseguire il contratto di compravendita con il consumatore (come spesso accade in ambito ecommerce) oppure con il consenso specifico dell’utente (come detto, molto raro).
Avv. Lorenzo Grassano – Team LegalBlink