La UE boccia il Privacy Shield. Problemi per chi trasferisce dati negli USA

Il Privacy Shield non è più lo “scudo” adeguato per proteggere il trasferimento dei dati personali negli USA.
La Corte di Giustizia UE giudicando il caso C-311/18 Facebook Ireland e Maximillian Schrems tramite apposito comunicato stampa lo ha appena reso noto.

Cosa è il Privacy Shield

Il Privacy Shield era l’accordo che regolamentava il trasferimento di dati tra Unione europea e USA, in modo che i diritti fondamentali delle persone nell’Unione Europea cui il trasferimento dati personali venisse effettuato negli Stati Uniti, avessero potuto essere garantiti. Aveva sostituito i principi del “Safe Harbour” a propria volta considerati invalidi e dall’agosto 2016 era utilizzato dalle imprese proprio nei trasferimenti all’estero di dati personali. Aveva già “rischiato” in passato di non passare il rinnovo annuale della decisione di adeguatezza tra polemiche e accuse di inadeguatezza, in quanto ritenuta una protezione più formale che sostanziale.

Cosa richiede il GDPR

Il regolamento generale sulla protezione dei dati (“GDPR” o Reg. UE 2016/679) prevede infatti che il trasferimento di tali dati verso un paese terzo possa, in linea di principio, avvenire solo se il paese terzo in questione garantisce infatti un livello adeguato di protezione dei dati a quello europeo.
In assenza di una decisione di adeguatezza, tale trasferimento può avvenire solo se i dati personali l’esportatore stabilito nell’UE fornisce garanzie adeguate, che possono derivare, in particolare, dalle clausole standard sulla protezione dei dati adottate dalla Commissione e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi.
Inoltre, il GDPR fornisce le condizioni alle quali tale trasferimento può verificarsi in assenza di una decisione di adeguatezza o di garanzie adeguate.

La sentenza Schrems II

Maximillian Schrems, cittadino austriaco residente in Austria, è un noto avvocato ed utente di Facebook dal 2008. Scopre che essendo residente nell’Unione Europea i suoi dati personali vengono trasferiti da Facebook Ireland a Facebook Inc. che si trova negli Stati Uniti, dove vengono di fatto trattati. Schrems ha così presentato un reclamo all’autorità di controllo irlandese nell’intento di vietare tali trasferimenti sostenendo che la legge e le pratiche negli Stati Uniti non offrono una protezione sufficiente contro l’accesso delle autorità pubbliche ai dati trasferiti in quel paese. La questione fa seguito a “la sentenza Schrems I”.

Nella sentenza odierna, La Corte considera, innanzitutto, che ”il diritto dell’UE, e in particolare il GDPR, si applica al trasferimento di dati personali a fini commerciali da parte di un operatore economico stabilito in uno Stato membro a un altro operatore economico stabilito in un paese terzo, anche se, al tempo di tale trasferimento o successivo, tali dati possono essere trattati dalle autorità del paese terzo in questione ai fini della sicurezza pubblica, della difesa e della sicurezza dello Stato. La Corte aggiunge che questo tipo di trattamento dei dati da parte delle autorità di un paese terzo non può impedire un simile trasferimento dall’ambito di applicazione del GDPR.”
Per quanto riguarda il livello di protezione richiesto in relazione a tale trasferimento, la Corte ritiene che “i requisiti stabiliti a tali fini dal GDPR in materia di garanzie adeguate, diritti esecutivi e rimedi giuridici efficaci debbano essere interpretati nel senso che gli interessati i cui dati personali sono trasferiti a un paese terzo in base alle clausole standard sulla protezione dei dati deve essere garantito un livello di protezione sostanzialmente equivalente a quello garantito nell’UE dal GDPR, letto alla luce della Carta. In tali circostanze, la Corte specifica che la valutazione di tale livello di protezione deve prendere in considerazione sia le clausole contrattuali concordate tra l’esportatore di dati stabilito nell’UE che il destinatario del trasferimento stabilito nel paese terzo interessato in merito all’accesso ai dati trasferiti delle autorità pubbliche di tale paese terzo, quanto di pertinenza del sistema giuridico di tale paese terzo”.

Per quanto riguarda gli obblighi delle autorità di controllo in relazione a tale trasferimento, la Corte ritiene che, a meno che non vi sia una decisione di adeguatezza della Commissione valida, tali autorità di controllo competenti sono tenute a sospendere o vietare un trasferimento di dati personali verso un paese terzo, alla luce di tutte le circostanze di tale trasferimento, e che le clausole standard di protezione dei dati non sono o non possono essere rispettate in quel paese quando la protezione dei dati trasferiti richiesta dal diritto dell’UE non può essere garantita con altri mezzi, laddove l’esportatore di dati stabilito nell’UE non abbia sospeso o cessato tale trasferimento.

Conclusioni

In conclusione, le imprese italiane o europee non potranno più fare affidamento nei trasferimenti all’estero sulle clausole che citavano il Privacy Shield.
Probabilmente il mercato USA dovrà anche adottare norme che si avvicinino sempre più a quella conformità prevista dal GDPR stesso. Al contempo occorre subito agire e ogni impresa dovrà trovare uno corretto strumento di adeguamento alla novità.