Privacy Shield cosa ha detto la Corte di Giustizia Europea ?

Perchè il Privacy Shield è stato dichiarato illegittimo?

Il 16 luglio 2020 la Corte di Giustizia, con la sentenza “Schrems II”, ha invalidato la Decisione 2016/1250, il cd. “Privacy Shield”, che negli ultimi quattro anni aveva regolato il trasferimento dei dati personali con finalità commerciali tra l’Unione Europea e gli USA, sostenendo che l’accordo non offra (più) un livello di protezione sostanzialmente equivalente a quello dell’Unione Europea e non rispetti il principio di proporzionalità.

Ha lasciato operativa, invece, la Decisione 2010/87 relativa alle Standard Contractual Clauses (SCC), in quanto non vincolanti per il paese terzo ricevente, dichiarandole però non sufficienti a garantire il livello di protezione adeguato se considerate come unico elemento di valutazione.

Il caso Schrems I già nel 2015 aveva sollevato la questione di fronte all’Autorità Garante Irlandese, sostenendo che i suoi dati personali raccolti da Facebook Ireland venissero inviati a Facebook Inc, in California, dove, però, ne era consentito il trasferimento ai programmi di sorveglianza americani: l’art. 702 della FISA e l’Executive Order (EO) 12333 infatti consentono di trasferire dati personali ai fini di sicurezza nazionale, elemento che apre un divario non indifferente con il GDPR. Ciò aveva portato, con la sentenza del 6 ottobre 2015, all’invalidamento del cd. “Safe Harbour”, il porto sicuro oltreoceano.

Il 16 luglio, con una sentenza molto simile alla precedente, la Corte segna un nuovo passo verso la ricerca di un punto di incontro (o di allontanamento?) tra la normativa europea più stringente e la forza delle grandi imprese statunitensi che rischia di dominare la disciplina della privacy americana.

 

 

 

Il GDPR e la decisione di adeguatezza:

Il General Data Protection Regulation, entrato in vigore il 25 maggio 2018 (meglio conosciuto come GDPR), ha introdotto un sistema di valutazione di adeguatezza e deroghe specifiche volto a rendere più sicuro il trasferimento dei dati al di fuori dell’Unione Europea.

La disciplina viene delineata negli articoli:

  • art.45 , che introduce dei criteri di valutazione quali: lo stato di diritto del paese ricevente, l’esistenza di un’autorità di controllo del paese terzo, gli impegni internazionali assunti; in mancanza di tale decisione si applica l’articolo successivo;
  • art.46, che basa il trasferimento sulla presenza di garanzie adeguate, anch’esse da valutare, a condizione che gli interessati dispongano di mezzi di ricorso effettivi e diritti azionabili;
  • art.49, che deroga a specifiche condizioni, quali il consenso esplicito dell’interessato, la necessità del trasferimento in caso di interesse pubblico o per esercitare un diritto in sede giudiziaria.

Ad una prima valutazione sembra che La Corte di Giustizia con l’invalidamento del Privacy Shield voglia far rientrare il rapporto con gli Stati Uniti in questo processo di adeguamento, come era stato fatto con il Giappone nel gennaio 2019. In tal caso infatti era stato predisposto un piano di integrazione tra i due sistemi al fine di colmarne il divario e il Governo giapponese aveva fornito rassicurazioni relativamente all’accesso ai dati con le finalità di sicurezza nazionale, garantendo che qualsiasi utilizzo a tali fini si sarebbe limitato a quanto necessario e proporzionato.

Già nel 2018 Věra Jourová, allora Commissario europeo per la Giustizia, che si è occupata poi della suddetta decisione di adeguatezza con il Giappone, aveva espresso la necessità che gli Stati Uniti adottassero una disciplina sulla privacy che permettesse un trasferimento più sicuro, poiché la presente disciplina ostacolava il dialogo tra Unione Europea e loro. (Privacy shield all’insegna del GDPR, UE in pressing sugli USA”, in CorCom, 2019, Patrizia Licata. Per una lettura integrale si rimanda al sito: https://www.corrierecomunicazioni.it)

 

 

Come gestire la fase post Privacy Shield?

Per continuare a trasferire dati negli Stati Uniti infatti, sarà necessario adottare misure supplementari effettuando una valutazione caso per caso: in mancanza delle garanzie necessarie occorrerà sospendere il trasferimento.

Non solo: le limitazioni poste per il trasferimento negli Stati Uniti verranno applicate a tutti i paesi terzi[1]. Le autorità di controllo avranno un ruolo fondamentale nel fornire, ove richiesto, pareri relativi alle decisioni da assumere. (così chiarito dal punto 9 delle “Domande frequenti sulla sentenza della Corte di giustizia dell’Unione europea nella causa C-311/18 — Data Protection Commissioner/Facebook Ireland Ltd e Maximillian Schrems” adottate il 23 luglio 2020. Per una lettura integrale delle FAQ si rimanda al sito: https://www.garanteprivacy.it)

 

20 Agosto 2020