Trasferire i dati extra Ue, la Corte di Giustizia mette i paletti

Con la sentenza del 16 luglio 2020, la cosiddetta "Schrems II", l'organo giudiziario europeo impone alcune restrizioni che coinvolgono pesantemente anche le industrie medtech. *IN COLLABORAZIONE CON STEFANELLI&STEFANELLI

Il Mdr ha bisogno di dati. Ne ha bisogno nella valutazione clinica (che è un “processo sistematico e programmato atto a produrre, raccogliere, analizzare e valutare in maniera continuativa i dati clinici” art. 2 n. 44), nelle evidenze cliniche (che devono essere provate attraverso dati e valutazione clinica, art. 2 n.51) nella sorveglianza post commercializzazione (che chiede al fabbricante di “raccogliere, registrare e analizzare attivamente e sistematicamente i pertinenti dati”, art. 83 comma 2). Senza dubbio poi i dati sono un elemento cardine del corretto funzionamento del software as medical device (tanto che il Mdcg nel dicembre 2019 ha emanato la Mdcg 2019-16 Guidance on Cybersecurity for medical devices sulla gestione della cybersecurity per i medical device e le recenti Linee Guida Agid sulla Sicurezza nel Procurement Ict chiedono il rispetto in gara d’appalto – tra gli altri – di tutti i requisiti del Gdpr) e lo sono ancor di più per le  nuove frontiere). Questo  è il motivo per cui tutti gli operatori economici che operano nel settore dei medical device devono tener conto dei contenuti della recente sentenza della Corte di Giustizia sentenza 16 luglio 2020, causa C-311/18 : si tratta della cosiddetta Sentenza Schrems II, di cui si è a lungo parlato negli ultimi giorni. I fatti sono un po’ complicati, quindi occorre partire dall’inizio.

I precedenti alla sentenza Schrems II

Tutto inizia nel 2013, quando l’austriaco Maximillian Schrems presenta richiesta al Garante irlandese per bloccare il trasferimento di dati effettuato da Facebook Ireland verso la società madre statunitense in forza dell’accordo Ue-Usa sul trasferimento dei dati, denominato Safe Harbor. Secondo Schrems quando i dati arrivano negli Stati Uniti, il cittadino europeo perde completamente il controllo dei dati stessi, in quanto la legislazione americana consentirebbe ampi controlli sui dati, senza alcun rispetto  della trasparenza e senza consentire al  cittadino europeo l’esercizio dei propri diritti. La vicenda arriva davanti alla Corte di Giustizia che con la sentenza “Schrems I” del 2015 dichiara invalido il Safe Harbor.

La sentenza crea un vuoto normativo per tutte le aziende che utilizzano da sempre fornitori come Google, Amazon, Mailchimp, ecc… Si aprono quindi rapidamente nuove trattative  ed il 12 luglio 2016 (subito dopo l’adozione del Gdpr) nasce il c.d. Privacy Shield, (Decisone di esecuzione 1250/2016), un accordo per il trasferimento di tra Europa e Stati Uniti che, a differenza del predecessore, offre ai cittadini europei maggior trasparenza e nuovi strumenti per interfacciarsi con le autorità oltreoceano.

Ma la battaglia di Schrems prosegue

L’attivista austrico (che è ormai diventato uno degli incubi di Zuckerberg) apre una nuova causa sostenendo due profili

  • il Privacy Shield, pur avendo introdotto strumenti di maggior trasparenza, non consente comunque ai cittadini europei di presentare ricorso ad un giudice ordinario terzo in caso di lesione dei propri diritto; tale carenza giurisdizionale non rispetta i criteri di garanzia del diritto europeo;
  • le Clausole Contrattuali Standard previste dalla Direttiva 95/46/CE e dal Gdpr (largamente utilizzate negli accordi tra società private tra cui la stessa Facebook) per rendere conformi i trasferimenti di dati extraUE) non hanno la forza giuridica di limitare negli Stato Uniti i programmi di sorveglianza massiva regolamentati dal Foreign intelligence surveillance act (Fisa), e l’Ordine esecutivo presidenziale 1-2-333 attraverso i quali le agenzie di sicurezza statunitensi raccolgono informazioni.

I contenuti della sentenza Schrems II

Il 16 luglio 2020 la Corte di Giustizia, accogliendo le tesi del ricorrente, emana la cosiddetta sentenza “Schrems II” con la quale dichiara che:

  • il Privacy Shield è invalido, poiché non è in grado di garantire un livello di protezione sufficiente ai cittadini europei i cui dati vengono trattati negli Stati Uniti, specie in relazione agli strumenti legislativi americani di sorveglianza pubblica, che risultano invece eccessivi e sproporzionati rispetto ai criteri del diritto europeo.
  • le Clausole contrattuali standard – contenute nella Decisione della Commissione Ue 5 febbraio 2010, modificata nel 2016 –  rimaste valide, possono essere utilizzate solo previa valutazione circa la loro effettiva capacità di garantire la protezione dei dati nel paese di destinazione.

In altre parole il titolare ed il  responsabile del trattamento che intendono effettuare il trasferimento fuori dal territorio comunitario devono verificare caso per caso la sussistenza di idonee garanzie a protezione dei dati personali nel Paese del destinatario e prevedere garanzie supplementari nel caso in cui quelle assicurate dalle clausole standard non siano ritenute sufficienti. Tale regola – certamente di non facile ed immediata applicazione – vale per tutti i trasferimenti extra Ue, non solo per i dati che vanno in Usa.

Gli effetti della sentenza Schrems II

La sentenza è una bomba. Lo è per tutti e, a maggior ragione, per tutte quelle aziende di medical device (molte) che utilizzano provider americani (quali Google o Amazon ecc)  o che comunque tramite altre piattaforme inviano dati a casa madre (o altri soggetti) al di fuori del territorio comunitario, siano essi dati di pazienti (che peraltro sono dati relativi alla salute) e/o di medici e/o di prospect. Stesse considerazioni per tutti i soggetti che lavorano in ambito di ricerche internazionali.

Possibili soluzioni per i Medical device

Sulle  soluzioni che possono essere  attuate, in data 24 luglio 2020 è intervenuto l’European data protection board (Organismo composto dai Garanti europei) con il documento titolato European Data Protection Board publishes FAQ document on CJEU judgment C-311/18 (Schrems II) con il quale, dato atto che il Privacy Schield non può più essere utilizzato, analizza le diverse casistiche e  suggerisce alcune possibili soluzioni.

Vediamo in sintesi

  • Cosa deve fare una azienda che trasferisce i dati in Usa in forza alle Clausole contrattuali standard (Ccs) ?

L’Edpb prende atto che la sentenza Schrems ha ritenuto che la legge statunitense (ossia la Section 702 FISA e la EO 12333) non garantisce un livello di protezione sostanzialmente equivalente a quella europea. Ne deriva che l’azienda europea potrà trasferire i dati personali sulla base delle Scc solo dopo aver effettuato – caso per caso- una valutazione delle disciplina del paese di destinazione e del livello di tutela della disciplina stessa. Se dall’analisi risultasse che il livello di protezione è inferiore a quello europeo, l’azienda potrà introdurre misure di garanzia supplementari.

Ove poi  si giungesse alla conclusione che, nonostante le misure supplementari, non è possibile garantire lo stesso livello di protezione che è presente nella UE, l’azienda sarà tenuta  a sospendere o a porre fine al trasferimento dei dati personali. Ove intendesse continuare il trasferimento dovrà informare il Garante Privacy.

  • Cosa deve fare una azienda che trasferisce i dati in Usa in forza di Binding corporate rules (Bcr) ?

Tenuto conto che la legge americana è strumento giuridico più forte delle Bcr, anche in questo caso sarà necessario valutare caso per caso  la necessità di inserire misure supplementari (oltre alle BCR) idonee ad alzare il livello di protezione. Come sopra), ove si giungesse alla conclusione che, anche con le misure supplementari, non è possibile raggiungere garanzie analoghe a quelle europee,  occorrerà sospendere il trasferimento;  se ciò non è possibile occorrerà informare il Garante privacy.

  • Può una azienda utilizzare per il trasferimento dei dati gli ulteriori strumenti previsti dall’art. 46 del Gdpr?

L’art 46 del Gdpr prevede che i dati possono essere trasferiti  anche tramite altri strumenti tra cui strumenti vincolanti tra autorità pubbliche, codici di condotta, meccanismi di certificazione. Tali strumenti non sono stati oggetti di analisi nella sentenza Schrems II: quindi in linea di principio possono essere utilizzati. Ciononostante, tenuto conto dell’ampia portata della sentenza, l’Edpb ha dichiarato che sta studiando le conseguenze della stessa anche su tali strumenti.

  • Può una azienda trasferire i dati utilizzando le regole dell’art. 49 Gdpr?

L’art. 49 del Gdpr stabilisce che quando non esiste un accordo di adeguatezza o non è possibile applicare le previsioni dell’art. 46 si possono trasferire i dati in forza di alcune condizioni specifiche (consenso, esecuzione di un contratto, motivi interesse pubblico, difesa giudiziaria, interessi vitali dell’interessati, registro pubblico). L’Edpb dichiara è possibile applicare l’art 49 a patto che siano rispettati in maniera molto puntuale le prescrizioni contenute nelle Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679.

  • Un’azienda può continuare ad utilizzare le Clausole contrattuali standard o le Binding corporates rules per trasferire dati verso paesi terzi diversi dagli Usa?

L’Edpb precisa che i principi della sentenza Schrems trovano applicazione per tutti i trasferimenti fuori dal territorio Ue.Quindi spetterà all’azienda Ue che trasferisce i dati ed  all’azienda extra Ue che li riceve  valutare se la legislazione del paese terzo garantisce lo stesso livello di protezione della Ue: ciò al fine di determinare se le garanzie fornite dai Csc o dai Bcr possano essere rispettate nel paese dove i dati vengono trasferiti. In caso contrario, occorrerà valutare se è possibile fornire misure supplementari. Occorre quindi prendere contatti con l’importatore di dati per verificare i contenuti della legislazione del suo paese e operare una valutazione insieme. Se il livello non è adeguato occorrerà sospendere il trasferimento oppure continuare nel trasferimento, informando però il Garante privacy. L’Edpb precisa anche che saranno aperti confronti tra le autorità privacy a livello internazionale al fine di evitare decisioni divergenti.

  • Quali sono le misure supplementari che le aziende possono utilizzare?

Le misure supplementari che possono essere introdotte dovrebbero essere decise caso per caso, tenendo conto di tutte le circostanze del trasferimento e a seguito della valutazione della legge del paese terzo. Pur dando atto che è responsabilità primaria dell’esportatore e dell’importatore di dati effettuare questa valutazione e fornire le necessarie misure supplementari, si precisa che l’Edpb sta attualmente analizzando la sentenza della Corte per determinare il tipo di misure che potrebbero essere fornite in aggiunta a Scc o Bcr, siano esse misure contrattuali, tecniche o organizzative. In sostanza l’Edpb sta esaminando ulteriormente in cosa potrebbero consistere queste misure supplementari e fornirà maggiori indicazioni.

  • Se l’azienda si avvale di un Responsabile del trattamento, come fa a sapere se tale Responsabile trasferisce dati negli Usa?

In questo caso l’Edpb suggerisce di verificare con attenzione i contenuti dei contratti stipulati con i Responsabili ex art. 28 del Gdpr per verificare dove vanno effettivamente i dati. Occorre inoltre verificare quali sono i sub-responsabili e se nella firma dei contratti gli stessi sono stati autorizzati. L’Edpb su questo punto richiama l’attenzione sul fatto che una grande varietà di soluzioni informatiche può comportare il trasferimento di dati personali verso un paese terzo (ad esempio, ai fini di archiviazione o manutenzione).

  • Nell’ipotesi un cui il contratto ex art. 28 Gdpr preveda il trasferimento in Usa o in altro paese terzo, cosa deve fare l’azienda?

Se i dati vengono trasferiti negli Stati Uniti e non possono essere fornite misure supplementari per garantire un livello di protezione sostanzialmente equivalente a quello garantito nella Ue, né possono  essere applicate le deroghe di cui all’articolo 49 Gdpr, l’unica soluzione è quella di negoziare una modifica o una clausola supplementare al  contratto per vietare i trasferimenti negli Stati Uniti. Analogamente se i dati vengono  trasferiti in un altro paese terzo, occorre invece  verificare l’adeguatezza del livello di protezione del paese terzo e, se tale livello non è adeguato, occorre interrompere il trasferimento.

 

A cura dello studio legale Stefanelli&Stefanelli

Home page rubrica Dispositivi medici tra normativa e regolatorio

 In collaborazione con Stefanelli&Stefanelli