A poco più di due anni dalla storica decisione in merito all’annullamento dell’accordo “Safe Harbor” del 2000 (concluso tra USA e UE e sostituito dal recente Privacy Shield del 2016), la Corte di Giustizia dell’Unione Europea è stata nuovamente chiamata a pronunciarsi in materia di trattamento di dati. Nei fatti, l’Alta Corte d’Irlanda (Paese nel quale Facebook – così come molti altri giganti della rete – ha posto la propria sede) ha investito la Corte di Giustizia di un rinvio pregiudiziale circa la legittimità del trasferimento dei dati dei milioni di utenti europei iscritti al social network. In particolare, ad essere oggetto del vaglio saranno le clausole contrattuali “standard” (le c.d. “Standard Contractual Clauses” – SCCs) utilizzate dalla società e da molti altri operatori del settore per consentire – tramite l’espressa accettazione dell’utente – il trasferimento dei dati degli utenti (oltre a testi, immagini, video, audio, ecc.) nei server centrali localizzati negli Stati Uniti d’America.
Il timore sollevato dai ricorrenti e – almeno in prima battuta ritenuto non infondato dalla Corte irlandese – è che a quei dati non sia assicurato un trattamento sicuro e compliant con gli standard europei, in particolare circa la loro comunicazione a enti governativi americani. Le perplessità sollevate non sono certo peregrine, soprattutto se lette in parallelo alle rivelazioni dell’ex agente dell’Intelligence americano Edward Snowden, il quale nel 2013 aveva denunciato una serie di programmi di sorveglianza di massa delle comunicazioni elettroniche, condotti in buona parte dalla Agenzia di sicurezza nazionale americana (Nsa), che puntavano dritti ai dati di utenti anche europei (sia persone fisiche che giuridiche) immagazzinati presso i server dei grandi operatori (ad es. Amazon, Google, ecc.). Tale decisione, dunque, pare essere molto attesa da tutti gli operatori del settore poiché, potenzialmente, potrebbe mettere in luce migliaia di violazioni commesse e portare ad una corposa revisione delle SCCs. Oltre a ciò, le modalità di protezione e trasferimento dei dati definite contrattualmente dovranno necessariamente essere riviste e aderire alle disposizioni del Regolamento n.6/679/EC (“GDPR”) in materia di privacy, entrato in vigore nel maggio 2016, ma applicabile dal 25 maggio 2018, al fine di evitare conseguenze fortemente negative, sia in termini di sanzioni (che possono arrivare al 5% del fatturato) che in termini di perdita di business.
Contributo inserito nella Newsletter n.3/2017.
Le informazioni contenute nel presente contributo, così come tutto il contenuto del nostro sito web, hanno carattere generale e scopo meramente informativo, naturalmente senza pretesa di esaustività, e non costituiscono attività di consulenza legale mirata.
Nessuna parte di questo contributo può essere riprodotta, distribuita o trasmessa in qualsiasi forma e con qualsiasi mezzo senza la previa autorizzazione scritta dell’autore.
Copyright © Studio Legale Bressan 2017 – 2021