Lo scorso 16 luglio 2020, la Corte di giustizia dell’Unione europea ha dichiarato invalido il Privacy Shield, l’accordo che regolamenta il trasferimento di dati tra Unione europea e USA, perché non protegge a sufficienza il diritto alla riservatezza dei dati personali dei cittadini Ue trasferiti negli Usa. La decisione giunge all’esito della causa C 311-18, sul caso Maximilian Schrems e Facebook Ireland e va a stabilire un nuovo principio nell’ambito del trasferimento dei dati da una sponda all’altra dell’Atlantico, principio che comunque è valido nei confronti di aziende di qualsiasi paese detengano dati di cittadini europei.

Secondo la Corte, “ai sensi del Regolamento generale sulla protezione dei dati (Gdpr, il trasferimento dei suddetti dati verso un Paese terzo può avvenire, in linea di principio, solo se il Paese terzo considerato garantisce a tali dati un adeguato livello di protezione”.

La decisione dei giudici potrebbe creare diversi problemi alle multinazionali americane ed europee che proprio sul trasferimento di questi dati, e sul loro utilizzo, fondano buona parte del loro business. La sentenza potrebbe costringere società come Facebook, Apple o Google a dover ripensare la propria strategia industriale o ad affrontare costi notevoli per la creazione di centri per la raccolta dati in Europa. Ad esempio le aziende potrebbero dover firmare le privacy policy standard, oppure dovrebbe essere siglato un nuovo accordo tra l’Ue e gli Usa per disciplinare il trasferimento dei dati, alla luce del contenuto della sentenza.

Ovviamente il dispositivo non avrà come esito l’interruzione immediata della gestione fuori dall’Europa delle informazioni personali di centinaia di milioni di cittadini della Ue, ancora possibile per effetto di altre clausole contrattuali. Infatti, con la stessa sentenza, la Corte di giustizia Ue ha ritenuto valide le clausole contrattuali standard (Standard Contractual Clauses – SCCs) per il trasferimento di dati personali a incaricati del trattamento stabiliti in Paesi terzi. E, ad esempio, dopo l’abolizione del Safe Harbor Facebook ha continuato a trasferire i dati degli utenti europei dai server in Irlanda a quelli negli Stati Uniti secondo proprio le nuove regole europee chiamate Standard Contractual Clauses (SCCs).

Ma la sentenza precisa anche che le imprese devono verificare se il contesto generale del trasferimento (compreso il Paese di destinazione) offre garanzie adeguate ai dati personali degli individui e ha chiesto alle autorità privacy dei Paesi UE di sospendere o vietare i trasferimenti dei dati extra EU laddove tali garanzie adeguate non possano essere fornite.

La sentenza, accolta con comprensibile delusione dalla autorità statunitensi, è un segno molto concreto degli obiettivi molto ambiziosi che l’Europa sta perseguendo: partecipare da protagonista al tavolo della moneta del domani (e in parte già dell’oggi), ovvero i dati, non mediate prodotti tecnologici all’avanguardia (come fanno la Cina, l’India e il Giappone) e neppure tramite l’attività di colossi industriali( come le big tech made in USA), ma stabilendo degli standard di tutela a cui tutti devono adeguarsi.

Infatti, la decisione in oggetto conferisce alle autorità di controllo la verifica del lecito trasferimento dei dati dei cittadini europei in paesi terzi, con il potere di sospenderlo o vietarlo se ritengono che le clausole contrattuali standard non siano o non possano essere rispettate nel paese dell’importatore.

Un primo effetto pratico della pronuncia sarà senza dubbio l’ulteriore crescita dell’importanza del ruolo del DPO, che dovrà informare il titolare del trattamento e sorvegliare le azioni attuate per consentire un lecito trasferimento dei dati e che non si limitano all’adozione delle clausole contrattuali standard, ma si estendono a tutta la correlata compliance in materia di protezione dei dati (dalle basi giuridiche all’aggiornamento del registro delle attività di trattamento). La violazione delle disposizioni in materia di trasferimento dei dati personali è sanzionata ex art. 83, par. 5 del GDPR (fino a 20 milioni o il 4% del fatturato totale mondiale totale annuo dell’esercizio precedente).

Link alla sentenza http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=IT&mode=req&dir=&occ=first&part=1&cid=9764800

Visualizzazioni: 78