La Corte di Giustizia dell’Unione Europea invalida l’accordo Safe Harbor: cosa cambia per le aziende italiane

Il 6 ottobre 2015 la Corte di Giustizia dell’Unione Europea ha pronunciato l’importantissima sentenza ECLI:EU:C:2015:650 relativa alla causa C-362/14 Maximillian Schrems v Data Protection Commissioner.

Per comprendere la decisione è necessario in primis rammentare che la normativa europea in materia di riservatezza dei dati personali  – Direttiva 95/46/CE relativa alla tutela e alla libertà di circolazione dei dati personali delle persone fisiche – prevede che le informazioni sensibili non possano essere trasferite verso Stati non appartenenti all’Unione, a meno che l’ordinamento del Paese terzo non assicuri un livello di protezione tale da garantirne la sicurezza. La conformità della normativa agli standard minimi è valutata di volta in volta dalla Commissione Europea, a mezzo di decisione ad hoc.

Il 26 luglio 2000, con la decisione 2000/520/CE, la Commissione si è pronunciata in relazione agli Stati Uniti e al Safe Harbor, un accordo concluso nel 1998 tra Stati Uniti ed Unione Europea, a mezzo del quale era consentito, alle aziende che dimostravano di rispettare determinati requisiti, di trasferire dati da un Paese all’altro, e di custodire nei server dello Stato terzo le informazioni relative ai propri utenti. Con la decisione 2000/520/CE la Commissione si era pronunciata favorevolmente riguardo il contenuto dell’accordo e la legislazione americana. Pertanto, alle aziende che aderivano al Safe Harbor e che ne rispettavano dunque i principi, era permesso trasferire dati personali degli utenti europei nei server statunitensi, senza particolari autorizzazioni. In seguito alla decisione anche il Garante della Privacy italiano, il 10 ottobre 2001, emise un’autorizzazione a mezzo della quale dichiarò possibile il trasferimento dei dati dal territorio europeo a quello statunitense.

Il caso Maximillian Schrems v Data Protection Commissioner sottoposto alla Corte di Giustizia Europea vedeva un attivista austriaco chiedere al Garante della Privacy irlandese (in Irlanda si trova la sede europea di Facebook) di verificare che i propri dati personali presenti nel social media fossero conservati in modo sicuro nei server statunitensi. Il Garante irlandese respinse la richiesta dichiarando inutile eseguire controlli stante l’adozione del Safe Harbor e della pronuncia della citata decisione della Commissione Europea. L’attivista, non soddisfatto, instaurò una causa civile in Irlanda contro Facebook, proseguendo nei vari gradi di giudizio fino ad arrivare alla Corte di Giustizia dell’Unione Europea.

Il massimo organo di giurisdizione dell’Unione, analizzando il caso concreto, ha pronunciato l’importantissima sentenza statuendo l’obbligo per le autorità statali circa le necessarie indagini in merito alla sicurezza del trasferimento dei dati verso un Paese terzo, anche in presenza di un accordo o di una decisione della Commissione. Nello specifico, inoltre, la Corte ha dichiarato che il trasferimento negli USA di informazioni sensibili degli utenti attraverso il Safe Harbor non fosse completamente sicuro. Questo perché le Autorità Pubbliche statunitensi – pur giustificando gli accessi ai dati personali dei cittadini per motivi di sicurezza nazionale – hanno la possibilità di accedere facilmente a dati sensibili. Alla luce di quanto sopra, la Corte ha concluso dichiarando l’invalidità della decisione della Commissione.

Conseguentemente, per effetto di tale pronuncia, tutte le aziende americane che usufruivano del Safe Harbor saranno tenute a rispettare gli standard imposti dai Governi dei vari Stati membri europei; anche il Garante della Privacy italiano si è adeguato, il 22 ottobre 2015, sancendo la caducazione dell’autorizzazione del 10 ottobre 2001.

Ad oggi, quindi, i cittadini europei potranno chiedere al proprio Garante nazionale di verificare se una determinata azienda rispetti gli standard previsti dalla normativa del Paese interessato, obbligando l’autorità ad effettuare approfonditi controlli e, se del caso, a bloccare i trasferimenti dei dati personali.

È quindi fondamentale ora per le aziende, anche italiane, controllare e far revisionare le proprie privacy policy e le clausole di trasferimento dei dati, adeguando gli strumenti aziendali alle intervenute pronunce.

 

Contributo inserito nella Newsletter n.4/2015.
Le informazioni contenute nel presente contributo, così come tutto il contenuto del nostro sito web, hanno carattere generale e scopo meramente informativo, naturalmente senza pretesa di esaustività, e non costituiscono attività di consulenza legale mirata.
Nessuna parte di questo contributo può essere riprodotta, distribuita o trasmessa in qualsiasi forma e con qualsiasi mezzo senza la previa autorizzazione scritta dell’autore.
Copyright © Studio Legale Bressan 2015