- Pubblicato il 24 Agosto 2020
- Categoria: News
Trasferimento di dati tra Europa e USA. Annullato il Privacy Shield
A seguito della sentenza del 16 luglio 2020, emessa nella causa C-311/18 Data Protection Commissioner/Maximilian Schrems e Facebook Ireland, la Corte di Giustizia dell’Unione Europea ha invalidato il “Privacy Shield”, ovvero l’accordo con cui grandi organizzazioni e multinazionali potevano legittimamente trasferire dati personali tra Europa e Stati Uniti.
La sentenza del 16 luglio ha radici lontane e si può affermare che prenda le mosse da una decisione che risale addirittura al 2000, nella vigenza della Direttiva CE 95/46 in tema di privacy.
Già la direttiva del 1995 consentiva il trasferimento di dati verso i paesi extra-comunitari nel solo caso in cui questi paesi garantissero un livello di protezione adeguato ovvero nel caso in cui le parti negoziassero clausole contrattuali in grado di offrire garanzie sufficienti.
Per quanto riguarda direttamente i rapporti Europa-USA il trasferimento dei dati personali è stato normato in seno alla Decisione CE del 26 luglio 2000 n. 2000/520/CE, che ha permesso la creazione del c.d. “Safe Harbor“, ovvero un accordo a cui potevano aderire, a determinate condizioni, le società USA interessate a trattare dati in Europa per garantire un livello di protezione conforme a quello previsto dalla allora vigente normativa comunitaria.
A seguito degli eventi dell’11.09.2001, però, gli Stati Uniti hanno assunto un contegno molto poco garantista con riferimento al trattamento dei dati personali dei propri cittadini e degli stranieri.
La Commissione inizialmente ignorò il fenomeno, fino a quando, il 6 ottobre 2015 pronunciandosi sulla causa C-362/14, la Corte di Giustizia Europea ha invalidato la decisione n. 2000/520/CE reputando quel meccanismo di trasferimento dei dati inidoneo a garantire la protezione dei dati personali alla stregua della normativa europea.
Inoltre, a seguito delle rivelazioni di Edward Snowden sulle pesanti ingerenze del governo USA in questioni private di cittadini americani ed europei, già da qualche anno la preoccupazione in Europa circa il trattamento dei dati da parte degli statunitensi era arrivata ai massimi livelli.
Nel frattempo, in Europa, veniva emanato il Regolamento europeo sulla protezione dei dati (GDPR) e la commissione adottava la decisione 2016/1250 sull’adeguatezza della protezione offerta dallo scudo UE-USA per la privacy cd. “Privacy Shield”.
Il GDPR ha elevato ulteriormente il grado di tutela per i cittadini europei in punto di protezione dei dati personali, dilatando ancor di più la distanza dalla normativa statunitense.
Con riguardo al trasferimento di dati verso paesi terzi, il GDPR prevede la possibilità di un trasferimento basato su una decisione di adeguatezza della Commissione (cfr. art. 45 GDPR), fondata sulla presenza di garanzie adeguate, a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi. Tra queste garanzie adeguate rientrano le condizioni contrattuali standard adottate dalla Commissione (cfr. art. 46 GDPR).
L’articolo 49 del GDPR prevede infine alcune deroghe alla necessità di una decisione di adeguatezza, nonché alla necessità di adeguate garanzie, per i casi in cui il soggetto, informato dei rischi, acconsenta comunque al trattamento, o il trattamento sia necessario per eseguire un contratto o per ulteriori necessità (es. difesa giudiziale).
Il Privacy Shield è, invece, letteralmente lo Scudo EU-USA per la Privacy, un accordo stipulato tra Commissione Europea e Dipartimento del Commercio degli Stati Uniti al fine di tutelare la riservatezza dei dati personali dei cittadini europei in caso di trasferimento oltreoceano a scopo commerciale. Tale accordo si basa su un meccanismo di autocertificazione che le società Usa devono seguire per ricevere dati personali dall’Unione europea.
Lo Scudo per la Privacy prevedeva:
- obblighi più stringenti per le imprese che operano negli Stati Uniti e trattano dati personali di cittadini europei;
- vigilanza e controllo da parte del Dipartimento del Commercio USA;
- divieto di sorveglianza indiscriminata di massa da parte delle autorità pubbliche sui dati personali trasferiti negli Stati Uniti. Per la prima volta, il Privacy Shield introduceva forti limitazioni ai poteri di controllo del Governo degli Stati Uniti. Il regolare funzionamento del regime era garantito da una revisione congiunta annuale, condotta dalla Commissione Europea di concerto con il Dipartimento del Commercio degli Stati Uniti, con la partecipazione dei maggiori esperti di intelligence degli Stati Uniti e delle Autorità di controllo dei dati europee;
- possibilità di ricorso per i cittadini europei.
Il nuovo accordo (Privacy Shield) teneva conto dei requisiti stabiliti dalla Corte di giustizia dell’UE nella sentenza del 6 ottobre 2015, che aveva dichiarato invalido il precedente regime normativo delineando un nuovo quadro, più severo e rigoroso, per i flussi transatlantici di dati.
Il “promotore” di tutta questa vicenda è Maximillian Schrems, un cittadino austriaco, il quale aveva presentato denuncia all’autorità irlandese di controllo chiedendo che a Facebook venisse vietato di trasferire i dati dall’Irlanda agli USA, in ragione del fatto che il diritto e le prassi degli Stati Uniti non assicurano una protezione sufficiente contro l’accesso da parte delle pubbliche autorità ai dati trasferiti verso questo paese.
A sollevare il dubbio, che poi ha portato alla pronuncia di invalidità del Privacy Shield, il Parlamento Europeo, preoccupato per la sicurezza dei dati dei cittadini del Vecchio Continente trasferiti dalle aziende negli USA.
Lo stesso Garante Europeo della Protezione dei Dati (GEPD), Autorità indipendente deputata alla vigilanza sul trattamento dei dati personali da parte delle Istituzioni e degli organismi dell’UE, il 30 maggio 2016, ha pubblicato un parere sullo Scudo UE-USA per la Privacy. Secondo Giovanni Buttarelli, in carica quale Presidente del Comitato dei garanti europei a quel tempo, nonostante gli sforzi in tal senso compiuti, per garantire la sicurezza dei flussi transatlantici di dati, occorreva una soluzione più robusta e sostenibile. In tale sede, il GEPD ha inoltre dichiarato che <<qualora la Commissione intenda adottare una decisione di adeguatezza, sarà necessario apportarvi miglioramenti significativi allo scopo di rispettare l’essenza dei principi fondamentali di protezione dei dati in particolare per quanto riguarda la necessità, la proporzionalità e i meccanismi di rimedio>>.
In base al parere fornito dal GEPD, per essere realmente efficace, il Privacy Shield doveva assicurare un’equivalenza sostanziale tra la normativa europea e americana in materia di protezione dei dati personali.
In particolare, lo Scudo per la Privacy (i.e. Privacy Shield) doveva assicurare una protezione adeguata ed effettiva contro la sorveglianza indiscriminata e imporre obblighi di trasparenza più severi alle imprese che trattano dati in transito o trasferiti verso gli USA.
L’abolizione del Privacy Shield sulla carta, quindi, dovrebbe garantire una maggiore sicurezza ai cittadini europei, dal momento che rafforza ulteriormente le garanzie sul trattamento dei dati personali, ben più stringenti nel Vecchio Continente. Nella pratica, però, le conseguenze di questa decisione creeranno non pochi problemi sia alle aziende statunitensi sia a quelle europee.
Le soluzioni alla portata degli operatori per ora sono poche, in attesa che la Commissione faccia i passi necessari per porre rimedio alla questione. Per ora, sarà comunque interessante tornare a guardare con più attenzione alle deroghe di cui all’articolo 49 del GDPR, che legittimano alcune ipotesi di trattamento pur in assenza di decisione di adeguatezza, e in particolare lo consentono quando l’interessato è informato dei rischi e vi consente.
È auspicabile che gli USA decidano di cogliere questa occasione per elevare il livello di protezione dei dati personali dei loro cittadini e degli stranieri che affidano i loro dati personali alle aziende statunitensi.
Dott.ssa Camilla Stamegna
Ufficio Legale Protection Trade