Il Privacy Shield è stato invalidato con sentenza del 16 luglio 2020 (ECLI:EU:C:2020:559) con la quale la Corte di Giustizia Europea ha dichiarato invalida la decisione 2016/1250 della Commissione europea sull’adeguatezza della protezione dei dati personali offerta dal regime dello scudo UE-USA (c.d. “Privacy Shield”). Alla luce del GDPR, non sembrano esserci garanzie adeguate a tutela dei dati europei in relazione ai programmi di sorveglianza del Governo americano, come peraltro svelato da Edward Snowden (si pensi al datagate e alle attività di indagine e intelligence svolte dall’agenzia governativa NSA).
Questa è una sentenza storica perché a livello politico denuncia il trattamento di favore riservato dalla Commissione Europea agli USA negli ultimi anni e nelle molteplici decisioni che hanno riconosciuto un livello di protezione adeguato ai trasferimenti di dati negli Stati Uniti, prima con il Safe Harbor e, successivamente, con il Privacy Shield.
Cos’è il Privacy Shield e come nasce
Come da definizione del Garante, il Privacy Shield “è un meccanismo di autocertificazione per le società stabilite negli USA che intendano ricevere dati personali dall’Unione europea. In particolare, le società si impegnano a rispettare i principi in esso contenuti e a fornire agli interessati (i.e. ovvero tutti i soggetti i cui dati personali siano stati trasferiti dall’Unione europea) adeguati strumenti di tutela, pena l’eliminazione dalla lista delle società certificate da parte del Dipartimento del Commercio statunitense e possibili sanzioni da parte della Federal Trade Commission”.
Questo meccanismo era entrato in vigore nel 2016, sostituendo il protocollo precedente (Safe Harbor), in seguito alla denuncia di un cittadino austriaco, Maximillian Schrems, che nel 2013 denunciò Facebook per impedire il trasferimento dei suoi dati personali dall’Irlanda (sede della filiale europea di Facebook) agli Stati Uniti, sostenendo che il diritto e le prassi del governo americano non assicuravano un livello di protezione dei dati personali adeguato agli standard della comunità europea, soprattutto in caso di ingerenza da parte delle pubbliche autorità statunitensi.
La denuncia portò alla sentenza Schrems con la quale nel 2015 venne invalidato il Safe Harbor, che in sostanza era un accordo (sancito nel 2000) a cui potevano aderire le compagnie americane che operavano nell’area economica europea, adeguandosi ai 7 principi fondamentali in materia di trattamento dei dati: Notifica, Scelta, Trasferimento, Sicurezza, Integrità dei dati, Accesso e Adeguatezza, al fine di garantire un livello di protezione conforme a quello previsto dalla normativa europea. L’invalidazione del Safe Harbor fu figlia in gran parte della mutata realtà sociale, che – in seguito ai fatti dell’11 settembre 2001 – vide gli Stati Uniti procedere in una direzione decisamente poco garantista nei confronti della privacy dei cittadini, confermata dal fatto che non vi era alcuna effettiva protezione dei dati in relazione alle richieste di accesso formulate da enti governativi.
Privacy Shield invalidato: quali sono le conseguenze?
In pratica, se si dovesse applicare alla lettera l’intero capo V del Regolamento europeo per la protezione dei dati personali, dove si parla dei “trasferimenti di dati verso paesi terzi o organizzazioni internazionali”, ci sarebbero oltre 5000 aziende – con sede e server negli Stati Uniti – costrette a spostare sede e server in Europa o, comunque, a individuare nuovi strumenti per garantire il rispetto della normativa europea riguardo il trattamento dei dati europei trasferiti sui server americani.
Una via d’uscita sarebbe senza dubbio un nuovo accordo Europa-USA, anche se difficilmente attuabile viste le contestazioni mosse dalla Corte di Giustizia al “sistema statunitense”.
Ovviamente la sentenza “Schrems II” non definisce chiaramente una tempistica vincolante per l’adeguamento dei trasferimenti di dati verso gli USA, pertanto non ci sarà un lockdown improvviso dei servizi. Tuttavia, in assenza di una pronta adozione di meccanismi alternativi adeguati, società come Google, Apple, ma anche Mailchimp, non potranno più gestire i dati dei cittadini europei a meno che tali dati non siano localizzati su server europei.
Cosa cambia per le aziende europee che si affidano a servizi di aziende statunitensi?
Anche le aziende europee sono tenute ad adeguarsi alla pronuncia del 2020 della Corte di Giustizia: dovrebbero dunque ricorrere a provider di servizi che siano “compliance” con il GDPR, verificando di non avere a loro volta server localizzati oltre oceano.
All’atto pratico, bisogna comunque sottolineare che la stessa sentenza 2020 della Corte di giustizia Europea (ECLI:EU:C:2020:559) ha confermato la piena ed efficace validità delle c.d. clausole contrattuali tipo (Standard Contractual Clauses – SCCs) per il trasferimento di dati personali a soggetti stabiliti in Paesi terzi. Questa soluzione è stata adottata, per fare un esempio, da Facebook sin dall’abolizione del Safe Harbor: vista la precarietà delle decisioni di adeguatezza della Commissione, si è rivelata, quella di Facebook, una scelta saggia e lungimirante.
L’art. 46 del GDPR prevede infatti la possibilità di trasferimento dei dati personali verso paesi terzi – anche quelli che non garantiscono un adeguato livello di protezione – a patto che l’azienda europea, titolare del trattamento, stipuli un idoneo contratto con l’azienda destinataria ubicata nel paese terzo extra-UE. In tale contratto devono essere necessariamente inserite clausole standard che offrano un livello di protezione adeguato dei dati personali. In particolare, ciò che viene richiesto è: un adeguato o soddisfacente livello di sicurezza dei dati e un’effettiva tutela e attuabilità dei diritti degli interessati.
Oltreoceano, intanto, il Governo USA si è detto “profondamente deluso” per la decisione della Corte Ue che ha invalidato il Privacy Shield. “Stiamo studiando la decisione per comprenderne appieno l’impatto pratico”, ha dichiarato il segretario Usa al Commercio Wilbur Ross, che ha aggiunto “Resteremo in stretto contatto con la Commissione Ue. Speriamo di limitare le conseguenze negative per le relazioni economiche transatlantiche pari a 7,1 trilioni di dollari che sono così vitali per i nostri rispettivi cittadini, aziende e governi“.
