La Corte di Giustizia UE dichiara invalida la decisione 2016/1250 della Commissione sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy.
Secondo il Regolamento, il trasferimento di dati in paesi terzi è consentito solo se sussistono alcune garanzie, fra cui, all’art. 45, il trasferimento sulla base di una decisione di adeguatezza.
Il trasferimento dei dati verso gli USA è stato quindi oggetto di decisione a luglio 2016 “DECISIONE DI ESECUZIONE (UE) 2016/1250 DELLA COMMISSIONE del 12 luglio 2016 a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio, sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy”, ora dichiarata invalida dalla Corte di Giustizia.
Essa giudica, invece, valida la decisione 2010/87 relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in Paesi terzi ai sensi del regolamento generale sulla protezione dei dati.
Secondo tale regolamento, la Commissione può constatare che, grazie alla sua legislazione nazionale o ad impegni internazionali, un Paese terzo assicura un livello di protezione adeguato. In mancanza di una decisione di adeguatezza siffatta, un trasferimento del genere può essere effettuato solo se l’esportatore dei dati personali, stabilito nell’Unione, prevede garanzie adeguate, le quali possono risultare, in particolare, da clausole tipo di protezione dei dati adottate dalla Commissione, e se gli interessati dispongono di diritti azionabili e di mezzi di ricorso effettivi.
Secondo la Corte, le limitazioni della protezione dei dati personali che risultano dalla normativa interna degli Stati Uniti in materia di accesso e di utilizzo, da parte delle autorità statunitensi, di siffatti dati trasferiti dall’Unione verso tale Paese terzo, e che sono state valutate dalla Commissione nella decisione 2016/1250, non sono inquadrate in modo da rispondere a requisiti sostanzialmente equivalenti a quelli richiesti, nel diritto dell’Unione, dal principio di proporzionalità, giacché i programmi di sorveglianza fondati sulla suddetta normativa non si limitano a quanto strettamente necessario.
L’origine
La decisione giunge con la sentenza sul caso Maximilian Schrems e Facebook Ireland che di fatto dà ragione all’attivista austriaco che per primo sfidò Facebook e chiese di bloccare il trasferimento dei suoi dati dalla Ue agli Usa visto che la compagnia americana, come tutte d’altra parte, negli Stati Uniti è legalmente obbligata (nonostante il Privacy Shield) a fornire su semplice richiesta ad agenzie come FBI e NSA le informazioni sugli iscritti senza che questi possano opporsi. Il GDPR non lo prevede perché prevale la protezione dei diritti dei cittadini Ue anche fuori dell’Unione.
L’attivista ha portato la causa in Irlanda, dove Facebook ha la sede europea.
L’Alta corte d’Irlanda ha poi stabilito che l’ultima parola spettava alla Cgue, respingendo la richiesta del social network di passare la palla alla Corte suprema irlandese. L’Alta corte ha affermato che esistono motivi fondati per temere che la legislazione degli Stati Uniti sia priva di misure pro-privacy efficaci compatibili con il GDPR e che spetta dunque alla Cgue decidere se i metodi usati per il trasferimento transatlantico dei dati – incluse le clausole contrattuali del Privacy shield – siano legali.
Schrems è noto esser riuscito a portare all’invalidamento del precedente accordo Ue-Usa Safe Harbor sul trasferimento dei dati dei cittadini europei costringendo Facebook a rivedere le sue norme. Dopo l’annullamento del Safe Harbor, Usa e Ue avevano siglato un altro accordo sullo scambio dei dati, il Privacy shield.
Trasferimento dei dati fra UE e USA: cosa cambia?
Cosa cambia ora per il trasferimento dei dati dei cittadini ed aziende Ue verso gli Usa? Le aziende statunitensi dovrebbero firmare le privacy policy standard? Servirebbe un altro accordo tra l’Ue e gli Usa per disciplinare il trasferimento dei dati?
In primo luogo, la sentenza potrebbe bloccare il trasferimento di dati dall’Ue agli Usa creando diversi problemi all’attività di colossi come Apple, Google e Facebook ma anche di migliaia di imprese più piccole che lavorano con trasferimento di dati. La sentenza potrebbe costringere i Big Tech a dover ripensare la propria strategia industriale o ad affrontare costi notevoli per la creazione di centri per la raccolta dati in Europa dove il GDPR garantisce appieno i diritti dei cittadini Ue.
Vuoto normativo
La sentenza non significa l’interruzione immediata della gestione negli Usa delle informazioni personali di centinaia di milioni di cittadini della Ue, ancora possibile per effetto di altre clausole contrattuali, ma crea un vuoto normativo e richiede ai regolatori nazionali (compresi gli Usa) di intraprendere nuovi passi per garantire una protezione pari a quella europea.
Si ripresenta, pertanto, lo scenario già vissuto nell’ottobre 2015 quando la stessa Corte aveva invalidato l’accordo Safe Harbor UE-US. In attesa di indicazioni da parte del Comitato Europeo sulla protezione dei dati e delle Autorità di Controllo, è necessario verificare i trasferimenti di dati personali verso gli USA basati sul Privacy Shield, illeciti alla luce dell’odierna sentenza, ed adottare le clausole contrattuali standard che permangono valide, salvo l’adozione delle altre modalità per il trasferimento dei dati lecite previste dal GDPR.
La delusione degli USA
Gli Usa si sono detti “profondamente delusi” per la decisione della Corte Ue che ha invalidato il Privacy Shield. “Stiamo studiando la decisione per comprenderne appieno l’impatto pratico“, ha dichiarato il segretario Usa al Commercio Wilbur Ross. “Resteremo in stretto contatto con la Commissione Ue – ha aggiunto -. Speriamo di limitare le conseguenze negative per le relazioni economiche transatlantiche pari a 7,1 trilioni di dollari che sono così vitali per i nostri rispettivi cittadini, aziende e governi.”
“I flussi di dati sono essenziali non solo per le aziende tecnologiche, ma anche per le aziende di ogni dimensione in ogni settore“, ha aggiunto Ross. “Man mano che le nostre economie continuano il loro recupero post-Covid-19, è fondamentale che le aziende – inclusi gli oltre 5.300 attuali partecipanti allo scudo per la privacy -, siano in grado di trasferire i dati senza interruzione, coerentemente con le forti protezioni offerte dal Privacy Shield“.