C’era una volta il Privacy Shield, il regime di protezione dei dati personali UE-USA, ed ora non c’è più. Ora si torna al passato.
Con la recentissima sentenza della Corte di Giustizia Europea, nella causa “Data Protection Commissioner/Maximilian Schrems e Facebook Ireland”, si è deciso, infatti, di invalidare la decisione 2016/1250 della Commissione Europea sull’adeguatezza dello scudo offerto dagli USA per la tutela della privacy e di ritornare al precedente regime di trasferimento dei dati personali dei cittadini europei verso gli Stati Uniti, individuato nelle clausole contrattuali tipo contenute nella decisione 2010/87.
Questo ritorno al passato è solo l’ultimo capitolo dell’epopea giudiziaria intrapresa nel 2013 dall’attivista autriaco Maximillian Schrems, che denunciò Facebook Ireland Limited per impedire alla società il trasferimento dei suoi dati personali dall’Irlanda agli USA, perché non garantito il suo diritto alla riservatezza, né la protezione delle sue informazioni su suolo americano.
La vicenda ebbe maggiore eco quando, a seguito delle rivelazioni di Edward Snowden, venne a galla che l’America alleata spiava, attraverso programmi di sorveglianza di massa delle comunicazioni, milioni di cittadini europei, utenti di aziende come Facebook o Google. Si pensò, quindi, di correre ai ripari mettendo in piedi una serie di regole e di accordi bilaterali per garantire un trasferimento protetto dei dati personali tra UE e USA.
Il Privacy Shield avrebbe dovuto rappresentare il più solido approdo alla soluzione del problema, soprattutto alla luce del nuovo Regolamento Europeo sul trattamento dei dati personali (GDPR) del 2016, invece, neppure lo “scudo” sembra garantire un livello di protezione adeguato ai dati personali dei cittadini europei che vengono trattati negli USA.
Lo ha deciso la Corte di Giustizia Europea, dando ragione in ultima istanza a Max Schrems, quando, rimandando alle clausole tipo contenute nella decisione della Commissione Europea 2010/87, in merito al trattamento dei dati personali da parte di Paesi terzi extra UE, afferma che l’esistenza di meccanismi che consentono, in pratica, il rispetto del livello di protezione richiesto dal diritto dell’Unione e, soprattutto, la sospensione o il divieto del trasferimento dei dati personali in caso di violazione di tali clausole o di impossibilità di rispettarle, garantisce l’obbligo in capo al destinatario di informare l’esportatore dei dati della sua eventuale impossibilità di conformarsi alle clausole tipo di protezione, con l’onere, in tal caso, per quest’ultimo di sospendere il trasferimento di dati e/o di risolvere il contratto concluso con il primo. Questo meccanismo contrattuale di salvaguardia è del tutto assente nella decisione 2016/1250, meglio nota come Privacy Shield, che, anzi, sancisce il primato delle esigenze attinenti alla sicurezza nazionale, all’interesse pubblico e al rispetto della normativa statunitense, rendendo così possibili ingerenze nei diritti fondamentali delle persone i cui dati sono trasferiti verso tale Paese terzo. Pertanto, secondo la Corte, le limitazioni della protezione dei dati personali che risultano dalla normativa interna degli Stati Uniti in materia di accesso e di utilizzo, da parte delle autorità statunitensi, di dati trasferiti dall’Unione verso gli USA, e che sono state valutate dalla Commissione nella decisione 2016/1250, non sono inquadrate in modo da rispondere al principio di proporzionalità e comunque allo spirito del nuovo GDPR, giacché i programmi di sorveglianza fondati sulla suddetta normativa non si limitano a quanto strettamente necessario.
Si torna indietro, quindi, ad una tutela dei cittadini più efficace; con l’oneroso compito per Facebook, Amazon o Google di ripensare alle proprie strategie industriali per adeguarsi alla sentenza della Corte Europea di Giustizia.
Rossella Marchese