IL FATTO

Lo scorso il 16 luglio 2020 la Corte di giustizia dell’Unione europea si è pronunciata (c.d. “Sentenza Schrems II”) in merito al regime di trasferimento dei dati tra l’Unione europea e gli Stati Uniti annullando l’accordo Privacy Shield.

IN CHE COSA CONSISTEVA L’ACCORDO PRIMA DELLA SUA ABOLIZIONE

L’accordo Privacy Shield fra l’Unione Europea  e gli Stati Uniti D’America  imponeva alle imprese americane obblighi più stringenti di tutela dei dati personali degli europei. La Corte di giustizia dell’Ue  aveva invalidato il precedente accordo detto Safe Harbor (Porto sicuro). Il Privacy Shield prevedeva che le autorità americane vigilassero con più vigore sul rispetto dell’accordo e che collaborassero in misura maggiore con le Autorità europee per la protezione dei dati.

 Per poter approfondire la problematica, analizziamo gli elementi fondamentali del nuovo accordo, che  si basavano su precise garanzie ed obblighi di trasparenza :

  • l’Amministrazione USA doveva garantire formalmente che l’accesso delle autorità pubbliche ai dati personali doveva essere  soggetto a limiti, garanzie e meccanismi di controllo;
  • Le Autorità USA si impegnavano a non svolgere attività di sorveglianza indiscriminata omassiva;
  • L’Autorità USA istituiva la figura di «difensore civico» (Ombudsperson) creato per il Privacy Shield : un soggetto indipendente incaricato di ricevere e decidere i reclami presentati dagli interessati.

IN PRATICA QUALI ERANO GLI OBBLIGHI

Le imprese americane dovevano

  • Pubblicare una informativa privacy sul loro sito;
  • autocertificare annualmente il rispetto degli obblighi della privacy;
  • collaborare con le Autorità europee per la protezione dei dati;
  • rispondere tempestivamente ai reclami degli interessati.

Gli interessati in Europa

  • avrebbero goduto di più trasparenza rispetto ai trasferimenti di dati personali negli USA ;
  • avrebbero potuto disporre di strumenti di tutela giuridica più facili da utilizzare e meno costosi in caso di reclami.

LE ORIGINI DELL’ACCORDO

Nel 2013 l’attivista Maximillian Schrems, facendo seguito alle rivelazioni di Edward Snowden – noto informatico, attivista e whistleblower statunitense – circa  meccanismi usati dal servizio di intelligence americano per sorvegliare milioni di cittadini europei, denunciava  al Garante Irlandese la  Facebook Ireland Ltd per aver violato la privacy dei cittadini europei.

Sostanzialmente la Facebook Ireland Ltd in modo sistematico trasferiva tutti i dati degli utenti europei presenti sui propri server verso i server statunitensi di  Facebook Inc., per consentirne il trattamento. Tutto questo era possibile grazie all’accordo tra USA e Unione Europea definito col nome di  Safe Harbor ( Porto Sicuro), che inizialmente era nato per proteggere i dati dei cittadini europei e successivamente era stato strumentalizzato per fare l’esatto contrario, con un trattamento non autorizzato di dati dei cittadini europei da parte delle organizzazioni americane.

Dopo circa 3 anni di dibattiti e appelli alla giustizia, nel febbraio del 2016 la Commissione Europea e il Dipartimento del Commercio degli Stati Uniti riuscirono a trovare un accordo: lo scudo EU-US Privacy Shield.  In base a questo accordo, alla legislazione nazionale o agli impegni internazionali, il  Garante europeo e la Corte di Giustizia si assicurarono in maniera effettiva un livello di protezione delle libertà e dei diritti fondamentali sostanzialmente equivalente a quello garantito all’interno dell’Unione europea.

Ma la storia non si era conclusa perché conseguentemente alla prima sentenza, Schrems fu invitato dalla stessa Authority Irlandese a riformulare la sua segnalazione tenendo conto della dichiarazione di invalidità, da parte della Corte di Giustizia Irlandese.

Nella nuova segnalazione venne palesata l’accusa dell’incapacità da parte degli Stati Uniti di proteggere i dati che venivano trasferiti verso il proprio paese e quindi si chiedeva la sospensione e vietare per il futuro, i trasferimenti dei dati personali europei verso gli Stati Uniti da parte di Facebook Ireland. I giudici europei quindi, dichiararono inefficace il Privacy Shield in quanto i meccanismi e le garanzie di questo accordo non erano in grado di garantire un livello di protezione sufficiente ai cittadini europei i cui dati vengono trattati negli Stati Uniti.

CONCLUSIONI

Alla luce di quanto accaduto, gli effetti dell’annullamento dell’accordo Privacy Shield da parte della Corte di giustizia dell’Unione europea emesso in data 16 luglio 2020, non sembrano essere oggi un ostacolo insuperabile alla libera circolazione dei dati in territorio extraeuropeo.

I dati potranno essere trasferiti ma per poter legittimare tale azione occorrerà studiare caso per caso e ricercare le azioni da attuare per disciplinare i trasferimenti di dati personali verso gli USA, attenendosi alle disposizioni previste nel GDPR.

 A valle di questa sentenza molte aziende  faranno un’approfondita riflessione nel ridisegnare i rapporti con i fornitori di servizi cloud, affinché i dati europei risiedano in data center europei e affinché non vengano trattati e trasferiti verso data center extraeuropei.

Tale corso porterà i fornitori di server in cloud e social media a prendere in considerazione un processo di “europeizzazione” dei loro servizi, portandoli all’interno dell’UE e risolvendo così a monte il problema del trasferimento dei dati personali.

Share This