Il Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (General Data Protection Regulation o GDPR) disciplina in modo puntuale il trasferimento dei dati personali verso paesi terzi esterni all’Unione Europea, disponendo che esso può avvenire, in linea di principio, solo ove sia garantito un adeguato livello di protezione dei dati trasferiti. In particolare, il GDPR prevede che: (i) da un lato, spetta alla Commissione constatare se le legislazioni straniere garantiscono effettivamente tale adeguato livello di protezione, grazie alla propria legislazione nazionale o a impegni internazionali; (ii) dall’altro, in assenza di una decisione della Commissione, il trasferimento internazionale dei dati personali può essere effettuato solo se l’esportatore dei dati personali, stabilito nell’Unione Europea, prevede garanzie adeguate, le quali possono risultare, in particolare, da clausole tipo di protezione dei dati adottate dalla Commissione, e se gli interessati dispongono di diritti azionabili e di mezzi di ricorso effettivi. Inserendosi in un’articolata vicenda giudiziaria che ha già portato a una nota pronuncia della Corte di Giustizia dell’Unione Europea (cosiddetta pronuncia “Schrems I”, resa nella causa C-362/14), i giudici europei hanno recentemente: (a) dichiarato invalida la Decisione di Esecuzione (UE) 2016/1250 della Commissione sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy; (b) confermato che allo stato attuale non sono emersi elementi idonei a inficiare la validità della Decisione 2010/87 della Commissione relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi.
Data Protection Commissioner v. Facebook Ireland Ltd. et al. – Causa C 311/18