L'inadeguatezza del Privacy Shield non fa venir meno le tutele in esso previste e non interrompe il dialogo UE-USA sulla protezione dei dati personali.

29/07/2020 12:20


Gianluca Fasano, Istituto di Ricerca ISTC-CNR


Con la sentenza della Corte di Giustizia europea del 16 luglio 2020, resa nella causa C-311/18 Data Protection Commissioner/Maximilian Schrems e Facebook Ireland, viene sancita l'inadeguatezza del cd. Privacy Shield per la protezione dei dati personali trasferiti dall'Europa al di là dell'Atlantico, all'interno degli accordi commerciali con aziende statunitensi.

Com'è noto, i trasferimenti di dati personali al di fuori dello Spazio Economico Europeo sono ammessi se il destinatario garantisce un livello di protezione dei dati adeguato, cioè conforme a quello europeo. Il requisito dell'adeguatezza può esser certificato in diversi modi e, tra questi, v'è la decisione della Commissione Europea (art. 45 del Regolamento UE 2016/679).

In merito al Privacy Shield, lo scudo per la privacy siglato tra UE e USA, in vigore dal 1 agosto del 2016, la Commissione aveva ritenuto che il regime di protezione accordato negli USA, ai fini della protezione dei dati, fosse adeguato rispetto al livello europeo (decisione 2016/1250). Ma, oggi, questa decisione è stata dichiarata invalida dalla Corte di Giustizia (C-311/18 - Schrems II).
Nel comunicato stampa la CGUE ha evidenziato che "le limitazioni alla protezione dei dati personali derivanti dalla legge nazionale degli Stati Uniti in materia di accesso ed utilizzo di questi dati, da parte delle autorità pubbliche statunitensi, non sono circoscritte in modo tale da soddisfare i requisiti richiesti, nel diritto dell'UE, dal principio di proporzionalità, in quanto i programmi di sorveglianza basati su tali disposizioni non si limitano a quanto strettamente necessario".

In un successivo passaggio viene inoltre riportato che "il meccanismo di mediazione previsto da tale decisione non fornisca a tali persone un mezzo di ricorso dinanzi ad un organo che offra garanzie sostanzialmente equivalenti a quelle richieste nel diritto dell'Unione, tali da assicurare tanto l'indipendenza del mediatore previsto da tale meccanismo quanto l'esistenza di norme che consentano al suddetto mediatore di adottare decisioni vincolanti nei confronti dei servizi di intelligence statunitensi".

Dunque, a far data dal 16 luglio 2020, il trasferimento di dati personali negli USA non può avvenire sulla base del Privacy Shield.

L'analisi della Corte di Giustizia si estende così agli strumenti alternativi allo scudo transatlantico e, segnatamente, investe le Standard Contractual Clauses (SCC), attraverso cui può realizzarsi il trasferimento di dati personali verso paesi terzi, in assenza appunto della decisione di adeguatezza (art. 46 del Regolamento UE 2016/679).

Rispetto a tali strumenti negoziali la Corte di Giustizia conferma la validità della relativa decisione (n. 2010/87/CE del 5 febbraio 2010). La motivazione per cui la Corte ritiene ancor valide le SCC risiede nella circostanza che esse non si riferiscono all'ordinamento vigente in un singolo paese ma si limitando a individuare una serie di clausole astrattamente idonee a garantire un adeguato livello di tutela, ferma la necessità di valutare, di volta in volta, il contesto in cui tali clausole verranno calate.

La precisazione è offerta anche dall'European Data Protection Board, con le FAQ pubblicate il 24 luglio scorso. Essendo venuta a mancare la validità dello scudo transatlantico, il trasferimento è consentito ove il titolare o il responsabile del trattamento forniscano garanzie adeguate che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati.

Tuttavia, resta forte il dubbio su come, in concreto, potranno esser utilizzate le SCC per i trasferimenti negli USA, posto che le leggi statunitensi in materia di sorveglianza, come confermato dalla Corte di Giustizia, confliggono con i diritti fondamentali dell'UE. Dunque, l'eventuale utilizzo delle SCC, pur valide in astratto, per trasferimenti sull'altra sponda dell'atlantico sarà oltremodo arduo e difficoltoso richiedendo, passando al piano concreto, che le aziende US soggette ai programmi di sorveglianza costituiscano forme di protezione nei confronti della legge statunitense.

Sullo sfondo della vicenda, si scorge la diversità con cui i due sistemi continentali perseguono il medesimo obiettivo della garanzia di libertà, l'uno impiantato sull'esigenza di preservare la sicurezza nazionale, anche attraverso sistemi di sorveglianza diffusi, l'altro incentrato sulla protezione dei diritti fondamentali, di cui i dati personali sono moderna espressione. Nel mezzo restano gli sforzi protesi alla convergenza di strumenti ed azioni per la protezione dei dati personali, sforzi che andranno rinnovati nel solco tracciato dal Privacy Shield (e prima ancora dal Safe Harbor) da interpretarsi come un luogo di confronto e dialogo tra visioni e ordinamenti differenti. In tale prospettiva, può darsi conto del proposito del U.S. Department of Commerce, titolare della gestione dello scudo sul fronte USA, che continuerà ad amministrare il programma Privacy Shield per non far decadere le tutele sinora raggiunte.

Vetrina