Adesso tutte le società che risiedono in USA come Apple, Google e Facebook e che trattano i nostri dati, di cittadini europei in base all’accordo del Privacy Shield non potranno più farlo. Diventa illecito.
È questo l’impatto evidente della sentenza, annunciata ieri, della Corte di Giustizia dell’Unione Europea: ha dichiarato invalida la decisione 2016/1250 della Commissione europea sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy (Privacy Shield). Invalida perché non sembra garantire sui dati europei tutele sufficienti, alla luce del Gdpr, nei confronti dei programmi di sorveglianza del Governo Usa (agenzia NSA) svelati da Edward Snowden.
Ha giudicato valida, invece, la decisione 2010/87 relativa alle clausole contrattuali tipo per il trasferimento di dati personali stabiliti in paesi terzi.
L’unica via è quindi ora usare un’altra base giuridica prevista dal Gdpr, diversa dallo Shield, per il trasferimenti dati all’estero e spostare sede e serve in UE.
Che cos’è il Privacy Shield e com’è nato
Tutto è cominciato nel 2013 quando un cittadino austriaco, Maximillian Schrems, iscritto a Facebook, presentava denuncia all’autorità Irlandese di controllo chiedendo che a Facebook venisse vietato di trasferire i dati dall’Irlanda agli USA, sostenendo che il diritto e le prassi degli Stati Uniti non assicurano una protezione sufficiente contro l’accesso da parte delle pubbliche autorità ai dati trasferiti verso tale paese.
La denuncia veniva inizialmente respinta (siamo ancora nella vigenza della direttiva 95/46/CE) sulla base del rilievo che in precedenza[1] si era stabilito che gli Stati Uniti d’America, offrivano un adeguato livello di protezione.
Nel 2015 però, la Corte di Giustizia (chiamata a pronunciarsi su una questione pregiudiziale) dichiarava invalida questa decisione riaprendo quindi la questione. Schrems, quindi, ripresentava la sua denuncia reiterando le preoccupazioni circa il fatto che gli USA non offrano una protezione sufficiente per i dati trasferiti verso questo paese.
Occorre precisare che la base giuridica che legittimava il trasferimento dei dati, allora, era la decisione 2010/87 ossia le clausole contrattuali tipo e pertanto, veniva presentata una domanda di pronuncia pregiudiziale sulla validità di tali clausole.
Nelle more, intanto, veniva emanato il regolamento europeo sulla protezione dei dati (Gdpr) e la commissione adottava la decisione 2016/1250 sull’adeguatezza della protezione offerta dallo scudo UE-USA per la privacy. Il Privacy Shield, appunto.
Alla lettera è lo “scudo per la privacy”, un accordo tra fra UE e USA (fra Commissione Europea e Dipartimento del Commercio degli Stati Uniti) che serve a tutelare la riservatezza dei dati personali dei cittadini europei in caso di trasferimento oltreoceano a scopo commerciale. Si basa un meccanismo di autocertificazione che le società Usa devono seguire per ricevere dati personali dall’Unione europea.
Non era finita qui però: venivano quindi portate innanzi alla Corte di Giustizia entrambe le decisioni, sollevando questioni sulla loro validità.
Il punto: il GDPR si applica ad un trasferimento di dati personali effettuato a fini commerciali da un operatore economico stabilito in uno Stato membro verso un operatore economico stabilito in un Paese terzo anche se, durante o dopo detto trasferimento, tali dati possono essere soggetti a trattamento a fini di sicurezza pubblica, di difesa e di sicurezza dello Stato ad opera delle autorità del Paese terzo considerato.
Si tratta quindi di comprendere se le clausole contrattuali tipo e il US-EU privacy shield, pur consentendo il trattamento dei dati da parte delle autorità del paese terzo, offrano garanzie adeguate; il che si traduce nel fatto che gli interessati, i cui dati siano stati trasferiti in paesi terzi, debbano godere di un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’Unione da detto regolamento attinenti a garanzie adeguate, diritti opponibili e mezzi di ricorso effettivi.
La sentenza della Corte
La Corte ha esaminato la prima decisione (2010/87 sulle clausole contrattuali tipo) ed ha riscontrato che questa, pur basandosi su statuizioni contrattuali che, come tali, non sono in grado di vincolare gli Stati al loro rispetto, contiene meccanismi efficaci che consentono, in pratica, di garantire che sia rispettato il livello di protezione richiesto dal diritto dell’Unione e che i trasferimenti di dati personali, fondati su tali clausole, siano sospesi o vietati in caso di violazione di tali clausole o di impossibilità di rispettarle.
Il meccanismo è semplice quanto efficace: preliminarmente c’è l’obbligo che incombe su entrambe le parti (esportatore e destinatario) di verificare, preliminarmente, che tale livello di protezione sia rispettato nel Paese terzo considerato, successivamente, il destinatario dei dati deve informare l’esportatore della sua eventuale impossibilità di conformarsi alle clausole tipo di protezione, con l’onere, in tal caso, per il fornitore di sospendere il trasferimento di dati e/o di risolvere il contratto concluso con il destinatario.
La seconda decisione (2016/1250 sull’ adeguatezza della protezione offerta dallo scudo UE-USA) invece, sancisce il primato delle esigenze attinenti alla sicurezza nazionale, all’interesse pubblico e al rispetto della normativa statunitense, rendendo così possibili ingerenze nei diritti fondamentali delle persone i cui dati sono trasferiti verso tale Paese terzo.
Secondo la Corte, le limitazioni della protezione dei dati personali che risultano dalla normativa interna degli Stati Uniti non sono inquadrate in modo da rispondere a requisiti sostanzialmente equivalenti a quelli richiesti, nel diritto dell’Unione, dal principio di proporzionalità e stretta necessità.
Inoltre, quanto al requisito della tutela giurisdizionale, la Corte ritiene che il meccanismo di mediazione previsto da tale decisione non fornisce a tali persone un mezzo di ricorso dinanzi ad un organo che offra garanzie sostanzialmente equivalenti a quelle richieste nel diritto dell’Unione, tali da assicurare tanto l’indipendenza del Mediatore previsto da tale meccanismo quanto l’esistenza di norme che consentano al suddetto Mediatore di adottare decisioni vincolanti nei confronti dei servizi di intelligence statunitensi. Per tutte queste ragioni la Corte dichiara invalida la decisione 2016/1250.
Addio privacy shield, quali conseguenze per le società
L’intero capo V del regolamento europeo per la protezione dei dati personali tratta dei “trasferimenti di dati verso paesi terzi o organizzazioni internazionali” sancendo i principi e le regole cui le società che intendano esportare i dati devono attenersi.
In particolare, si stabilisce che i dati possano essere trasferiti sulla base di:
– una decisione di adeguatezza (come il privacy shield)
– Trasferimento soggetto a garanzie adeguate (clausole standard tra cui quelle contrattuali)
– Norme vincolanti d’impresa
Oppure, in assenza di ciò, attraverso altri strumenti[2].
L’impatto di questa decisione è forte.
Tutte le società che risiedono in USA e che consentono il trasferimento sulla base della loro adesione al privacy shield, da oggi smettono (in teoria) di essere compliant e quindi, a meno che non facciano immediatamente ricorso ad un’altra base giuridica di cui al titolo V, non potranno più trattare i dati personali degli utenti dei loro clienti.
Pensiamo a Google, Facebook, Apple (quelle californiane, però, non le società europee); ad un Mailchimp; ad ActiveCampaign; FaceApp; Magento ed alla quantità inimmaginabile di dati che conserva; in totale sono 5378 le società che si affidano a questo “scudo” per garantire un livello di protezione dei dati (in)adeguato[3].
Adesso dovranno fare compliance Gdpr e spostare sede e serve in UE.
Amazon, invece, per citare un altro esempio, si affida alle clausole contrattuali e sarebbe salva.
Resta solo da aspettare e vedere quello che succederà, tenendo presente che: “Il rinvio pregiudiziale consente ai giudici degli Stati membri, nell’ambito di una controversia della quale sono investiti, di interpellare la Corte in merito all’interpretazione del diritto dell’Unione o alla validità di un atto dell’Unione. La Corte non risolve la controversia nazionale. Spetta al giudice nazionale risolvere la causa conformemente alla decisione della Corte. Tale decisione vincola egualmente gli altri giudici nazionali ai quali venga sottoposto un problema simile”.
E siamo certi che, nelle more dei giudizi, questi colossi si adegueranno per non perdere milioni di introiti.
NOTE
[1] decisione 520/2000
[2] a) l’interessato abbia esplicitamente acconsentito al trasferimento proposto, dopo essere stato informato dei possibili rischi di siffatti trasferimenti per l’interessato, dovuti alla mancanza di una decisione di adeguatezza e di garanzie adeguate;
- b) il trasferimento sia necessario all’esecuzione di un contratto concluso tra l’interessato e il titolare del trattamento ovvero all’esecuzione di misure precontrattuali adottate su istanza dell’interessato;
- c) il trasferimento sia necessario per la conclusione o l’esecuzione di un contratto stipulato tra il titolare del trattamento e un’altra persona fisica o giuridica a favore dell’interessato;
- d) il trasferimento sia necessario per importanti motivi di interesse pubblico;
- e) il trasferimento sia necessario per accertare, esercitare o difendere un diritto in sede giudiziaria;
- f) il trasferimento sia necessario per tutelare gli interessi vitali dell’interessato o di altre persone, qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
- g) il trasferimento sia effettuato a partire da un registro che, a norma del diritto dell’Unione o degli Stati membri, mira a fornire informazioni al pubblico e può esser consultato tanto dal pubblico in generale quanto da chiunque sia in grado di dimostrare un legittimo interesse, solo a condizione che sussistano i requisiti per la consultazione previsti dal diritto dell’Unione o degli Stati membri.
[3] È possibile effettuare una verifica tramite: https://www.privacyshield.gov/participant_search#
