La recentissima pronuncia della Corte di Giustizia dell’Unione Europea, emessa il 16 luglio scorso nella causa C‑311/18, rappresenta l’ennesimo tassello nel complesso e travagliato rapporto tra Unione Europea e Stati Uniti d’America in tema di trasferimento e tutela del dati personali.
Oggetto del contendere è quindi il trasferimento di dati personali di cittadini europei, raccolti da aziende private che, per ragioni di business o politiche di gruppo societario, trasferiscono tali dati negli USA. Caso emblematico è quello dei colossi del web (Facebook, Amazon, ecc.), che operano in Europa con le proprie filiali, i quali trasferiscono i dati raccolti nei server o database centrali oltre oceano.
D’altra parte, il trasferimento può essere meno evidente e – in alcuni casi – al limite dell’inconsapevole – ad esempio nel caso in cui una azienda italiana acquisti un servizio informatico od un software che preveda il data storage in server statunitensi.
Obiettivo primario delle istituzioni comunitarie è sempre stato quello di assicurare ai dati personali dei cittadini europei esportati negli USA le medesime tutele e garanzie riconosciute ed attuate nell’Unione Europea.
La lunga querelle, da noi sempre seguita da vicino, iniziava nel 2015 quando la medesima Corte invalidava l’accordo al tempo in vigore nei rapporti UE-USA, il c.d. Safe Harbor, nell’oramai nota causa Maximilian Schrems (C-362/2015).
La pronuncia, che evidenziava vistose carenze di tutela, costringeva l’Unione Europea e gli USA a serrati negoziati finalizzati alla definizione di un nuovo accordo. Nel 2016 le trattative sfociavano nell’adozione del c.d. US-UE Privacy Shield approvato formalmente dalla Commissione Europea il 12 luglio dello stesso anno.
Quali sono i punti rilevanti della Sentenza?
Oggi, a distanza di quattro anni esatti, la Corte di Giustizia ritorna sul tema, ancora una volta su iniziativa del cittadino austriaco Maximillian Schrems, il quale nuovamente agisce contro il colosso dei social network Facebook.
In generale, le contestazioni mosse partivano dalla concreta possibilità che i dati dei cittadini europei potessero essere prelevati dalle autorità governative statunitensi, per motivi di intelligence esterna, in spregio alle stringenti garanzie di tutela introdotte dal Regolamento UE n.679/2016 (“GDPR”).
In particolare, a fronte delle evidenze raccolte la Corte prendeva atto che:
- le autorità governative procedono regolarmente a massicci trattamenti dei dati, senza garantire una protezione sostanzialmente equivalente a quella garantita dalle norme europee (e segnatamente dagli artt. 7 e 8 della Carta dei diritti fondamentali dell’Unione Europea);
- i cittadini europei non godono di adeguata tutela innanzi a tali trattamenti, poiché a loro non sono estesi i mezzi di tutela giurisdizionale di cui dispongono i cittadini statunitensi in quanto il quarto emendamento della Costituzione degli Stati Uniti che, nel diritto statunitense, costituisce la tutela più importante contro la sorveglianza illegale, è inapplicabile ai cittadini dell’Unione.
Appurato ciò, la Corte ha quindi stabilito che le garanzie e le tutele devono essere non solo formalmente, ma anche effettivamente e concretamente attuabili per consentire il trasferimento all’estero dei dati personali.
Conseguenza obbligata di tale ragionamento, la Corte rendeva invalida la decisione n.2016/1250 della Commissione, con la quale si rendeva esecutivo il Privacy Shield, facendolo venir meno in toto.
Il trasferimento di dati è ora vietato?
A valle della pronuncia rimane da chiedersi se, “bocciato” il Privacy Shield, sia ancora lecito e possibile trasferire i dati dei cittadini europei negli USA.
A ben vedere, l’effetto pratico della pronuncia non è assoluto, poiché come afferma la Corte stessa, questo potrà accadere solamente a fronte di particolare cautele e garanzie che dovranno intervenire necessariamente nei rapporti bilaterali tra aziende.
In questo senso, infatti, la Corte ha confermato la validità della clausole standard (standard contractual clauses) elaborate dalla Commissione Europea; elaborazione che tuttavia fissa solamente dei “modelli” generici che devono necessariamente essere adattati con attenzione e visione d’insieme.
Inoltre, non potrà essere il semplice formalismo della clausola a rendere legittimo il trasferimento, ma sarà necessario un preciso onere di attivazione dell’azienda europea, che dovrà ottenere opportune rassicurazioni circa le garanzie sui dati personali nel paese di destinazione.
Conclusione
La sentenza Schrems II è destinata ad avere un impatto molto rilevante nel settore della data protection, riaprendo una stagione di incertezza e di riassestamento degli equilibri in gioco.
Mai come in questo momento, dunque, è essenziale che le imprese rivedano con estrema attenzione la propria politica di trattamento (e trasferimento) dei dati, con visione d’insieme e strategia, e adeguare così la disciplina del rapporti esistenti, aggiornando o implementando correttamente gli obblighi di protezione e le garanzia a tutela dei dati personali raccolti.
In questo senso è bene ricordare che il GDPR ha introdotto severe sanzioni in caso di violazione delle norme a tutela della privacy, che possono arrivare sino al 4% del fatturato mondiale annuo (di gruppo).
È il caso di intervenire presto perché la prevenzione è da sempre la migliore difesa.
Contattaci, risponderemo al Tuo quesito
Invia una email
Le informazioni contenute nel presente contributo, così come tutto il contenuto del nostro sito web, hanno carattere generale e scopo meramente informativo, naturalmente senza pretesa di esaustività, e non costituiscono attività di consulenza legale mirata. Nessuna parte di questo contributo può essere riprodotta, distribuita o trasmessa in qualsiasi forma e con qualsiasi mezzo senza la previa autorizzazione scritta dell’autore.
Copyright © Studio Legale Bressan 2018-2021