No al Privacy Shield: annullata la decisione di adeguatezza! Non sono garantite sufficienti tutele ai cittadini UE
Con provvedimento del 16.7.2020 la Corte di Giustizia dell’Unione Europea ha annullato la decisione di adeguatezza. Il maggiore impatto sarà sui giganti del Web
Con sentenza di oggi (16 luglio 2020 – caso C-311/18) la Corte di Giustizia ha annullato la decisione di adeguatezza del c.d. Privacy Shield. La motivazione risiede nelle minori tutele garantite dal sistema statunitense.
Vediamo di cosa si tratta.
L’art. 44 GDPR dispone, come principio generale in materia di trasferimento di dati personali al di fuori dell’Unione Europea, che: “Qualunque trasferimento di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento verso un paese terzo o un’organizzazione internazionale, compresi trasferimenti successivi di dati personali da un paese terzo o un’organizzazione internazionale verso un altro paese terzo o un’altra organizzazione internazionale, ha luogo soltanto se il titolare del trattamento e il responsabile del trattamento rispettano le condizioni di cui al presente capo, fatte salve le altre disposizioni del presente regolamento. Tutte le disposizioni del presente capo sono applicate al fine di assicurare che il livello di protezione delle persone fisiche garantito dal presente regolamento non sia pregiudicato”.
Dunque, il trasferimento all’esterno dello Spazio Economico Europeo è consentito solo se lo Stato destinatario garantisca delle tutele analoghe a quelle previste dal GDPR.
Uno dei modi più semplici per effettuare la precedente operazione lecitamente è una decisione di adeguatezza della Commissione Europea (art. 45 GDPR). Nella sostanza, l’Organo europeo accerta, con proprio provvedimento, l’adeguatezza del Paese estero alle norme UE: in questo modo il trasferimento dei dati potrà avvenire automaticamente.
Così è stato per il Privacy Shield ritenuto idoneo dalla Commissione, con proprio provvedimento del 12 luglio 2016[1] (Decisione UE 2016/1250), oggi annullato dalla Corte.
Di cosa si trattava?
Il Privacy Shield era un meccanismo di autocertificazione per le società con sede negli Stati Uniti oggetto di trasferimento di dati personali dall’Unione europea, a scopi commerciali. Gli operatori economici si impegnavano, certificandosi, a garantire i principi stabiliti dall’UE in materia di privacy, e garantire agli interessati delle tutele paragonabili a quelle europee.
Aderendo a questo schema di certificazione periodica le Società USA potevano ricevere, senza nessun’altra procedura, dati personali di cittadini UE per finalità commerciali provenienti dall’Europa.
La sentenza di oggi ha modificato completamente il quadro di riferimento, non ritenendo più idonee le garanzie previste dall’accordo tra USA e UE.
Da quanto si evince nella sentenza: “[…] le limitazioni della protezione dei dati personali che risultano dalla normativa interna degli Stati Uniti in materia di accesso e di utilizzo, da parte delle autorità statunitensi, di siffatti dati trasferiti dall’Unione verso tale Paese terzo, e che sono state valutate dalla Commissione nella decisione 2016/1250, non sono inquadrate in modo da rispondere a requisiti sostanzialmente equivalenti a quelli richiesti, nel diritto dell’Unione, dal principio di proporzionalità, giacché i programmi di sorveglianza fondati sulla suddetta normativa non si limitano a quanto strettamente necessario. Fondandosi sulle constatazioni che compaiono in tale decisione, la Corte rileva che, per taluni programmi di sorveglianza, da detta regolamentazione non emerge in alcun modo l’esistenza di limiti all’autorizzazione, in essa contenuta, dell’attuazione di tali programmi e neppure l’esistenza di garanzie per gli stranieri che possono esserne potenzialmente oggetto”[2].
Pertanto, i controlli effettuati dal Governo USA non garantiscono sufficienti tutele idonee ad assicurare il rispetto dei diritti previsti dalla normativa UE in materia di privacy e trattamento dati personali.
La decisione creerà non pochi problemi alle imprese che quotidianamente trasferiscono dati dall’UE agli Stati Uniti che dovranno ricorrere ad altri meccanismi che rendano leciti i trasferimenti: clausole contrattuali standard o norme vincolanti d’impresa: l’alternativa è effettuare i trattamenti unicamente nel territorio europeo.
Ora attendiamo la reazione dei giganti del web.
[1] https://ec.europa.eu/commission/presscorner/detail/en/IP_16_2461
[2] https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091it.pdf