Corte Giustizia UE: lo scudo privacy va abolito
Il 16 luglio 2020 rappresenta una data storica per i rapporti commerciali tra Europa e Stati Uniti, profondamente segnati dalla caduta del “Privacy Shield”, l’accordo adottato nel 2016 dalla Commissione Europea per regolare il trasferimento di dati personali dei cittadini dell’UE oltreoceano e ora di fatto cancellato dalla Corte di Giustizia.
Ma cosa prevedeva esattamente il Privacy Shield e quali saranno le reali conseguenze per le aziende?
L’accordo del 2016 e la pronuncia della CGUE del 16 luglio
Con l’istituzione del Privacy Shield, la Commissione Europea cercò di eliminare gli aspetti critici insiti nel Safe Harbour, il precedente accordo del 2000 con il quale alle società statunitensi veniva concesso di trattare i dati personali degli utenti europei esclusivamente predisponendo adeguati livelli di protezione conformi alla normativa europea in materia di privacy.
Questo tuttavia non prevedeva requisiti sufficienti a garantire la tutela dei dati personali dei cittadini europei e, data l’evidente sperequazione tra i meccanismi di protezione adottati dagli Stati Uniti rispetto agli standard allora vigenti in UE, nel 2015 la CGUE ne ha dichiarato l’invalidità.
Con il Privacy Shield, la Commissione ha cercato quindi di ridurre i casi in cui le società statunitensi avrebbero potuto conferire i dati dei cittadini europei a soggetti terzi istituendo controlli più stringenti da parte del Dipartimento del Commercio degli Stati Uniti, quest’ultimo incaricato di predisporre un elenco delle aziende americane “compliant” al nuovo accordo.
Tuttavia, l’aspetto più controverso della precedente decisione, ovvero la possibilità che le autorità governative statunitensi potessero sfruttare i dati dei cittadini europei, non veniva minimamente affrontato.
Anzi, la possibilità di chiedere a società o ad organizzazioni americane di consentire l’accesso al governo ai dati presenti su server transfrontalieri veniva sancito dal Clarifying Lawful Overseas Use of Data (CLOUD) Act del 2018, che di fatto rappresenta una pesante limitazione delle prerogative – peraltro già deboli – del Privacy Shield.
Sulla base di queste motivazioni, la CGUE ha quindi bocciato la decisione del 2016 e, pertanto, l’Europa e gli Stati Uniti dovranno rimettersi nuovamente al tavolo per rinegoziare nuovamente un accordo che tenga conto di quanto espresso dalla sentenza del 16 luglio scorso.
I riflessi della caduta del Privacy Shield sulle aziende
Seppur di portata estremamente dirompente, la sentenza della CGUE fa salve diverse alternative allo scudo privacy del 2016, tra cui le cosiddette “clausole standard di trasferimento”, rimaste peraltro valide anche dopo l’avvento del GDPR (e da questo richiamate all’art. 46, II comma, lett. c).
Esse si fondano sul paritario dovere di controllo imposto agli esportatori ed ai destinatari dei flussi di dati di verificare preliminarmente l’eventuale predisposizione di idonei meccanismi di protezione adottati da parte del paese terzo; parimenti prevedono l’onere, da parte del destinatario, di informare l’esportatore nel caso vi sia l’impossibilità di conformarsi al contenuto delle clausole, sospendendo il trasferimento ed eventualmente recedendo dal contratto concluso.
Il GDPR prevede poi ulteriori ipotesi in cui il trasferimento di dati verso un Paese extra-UE può considerarsi legittimo, quando ad esempio questo sia basato sulle cosiddette norme vincolanti d’impresa (le Building corporate rules), quando il trattamento sia regolato dall’adesione a codici di condotta o, ancora, siano predisposti idonei meccanismi di certificazione predisposti dalle autorità nazionali.
In tale ottica, resta quindi da capire quali sarà la prossima mossa del governo americano (che ha pesantemente criticato la sentenza) soprattutto in considerazione dell’enorme impatto economico che tale decisione avrà sui bilanci di quelle aziende che fondano il proprio business sulla commercializzazione dei dati degli utenti.
Quel che è certo è che, in questo periodo di transizione, le aziende dovranno ragionevolmente conformarsi alle regole imposte dal GDPR, considerando soprattutto le pesanti sanzioni da questo previste. In primis, occorrerà verificare il ruolo assunto dai fornitori dei servizi oggetto di trasferimento dei dati ed aggiornare conseguentemente le rispettive informative sul trattamento: spetterà infatti agli interessati a decidere se, in assenza di adeguati meccanismi di protezione, accollarsi il rischio di un trasferimento dei propri dati all’estero (dove, è sempre bene ribadirlo, le prerogative del GDPR non valgono).