Il Privacy Shield UE-USA, cioè la decisione 2016/1250 sull’adeguatezza della protezione fornita dallo scudo di protezione dei dati UE-USA che fino ad oggi ha permesso il trasferimento dei dati personali dei cittadini europei nei server americani, non è valido: lo ha stabilito una sentenza di abolizione di giovedì scorso della Corte di Giustizia dell’Unione Europea (CGUE).
Un comunicato stampa della (CGUE) ha rivelato che, secondo la corte stessa, “le limitazioni alla protezione dei dati personali derivanti dalla legge nazionale degli Stati Uniti in materia di accesso ed utilizzo di questi dati, da parte delle autorità pubbliche statunitensi, non sono circoscritte in modo tale da soddisfare i requisiti richiesti, nel diritto dell’UE, dal principio di proporzionalità, in quanto i programmi di sorveglianza basati su tali disposizioni non si limitano a quanto strettamente necessario”.
La Corte di Giustizia dell’Unione Europea ha confermato tuttavia la validità delle clausole contrattuali standard per il trasferimento dei dati personali (decisione 2010/87), pur rilevando che il trattamento può avvenire previa messa in atto di adeguate misure di protezione nel paese terzo in cui vengono trasferiti i dati dell’UE, in particolare per quanto riguarda l’accesso da parte delle autorità pubbliche e il ricorso giudiziario.
In questo modo, è stato quindi imposto un pesante onere per gli esportatori di dati che desiderano utilizzare le clausole contrattuali standard: l’esportatore di dati deve infatti considerare la legge e le prassi del paese in cui verranno trasferiti i dati, soprattutto se le autorità pubbliche possono avere accesso ai dati. La sentenza dice infatti che le autorità nazionali dovranno verificare caso per caso ogni azienda e l’esistenza di garanzie per la protezione dei dati in ciascun Paese extra europeo.
Nella pratica, la decisione comporta il fatto che migliaia di aziende che oggi spediscono dati attraverso l’Atlantico potrebbero avere problemi o danni nell’ambito delle attività che coinvolgono cittadini europei. Di fatto, un effetto rilevante della sentenza è che se le società americane vorranno continuare a svolgere un ruolo nel mercato UE dovranno mantenere i dati dei cittadini europei nell’UE.
Ma la sentenza non impatta solo il trasferimento dei dati negli Stati Uniti, in quanto anche altri Paesi hanno forti poteri di sorveglianza statale, ragion per cui trasferimenti verso tali giurisdizioni potrebbero dover passare attraverso un controllo ad hoc. In generale, l’abolizione del Privacy Shield interessa quindi tutte le società di Paesi extra-Ue.
Indice degli argomenti
Abolizione del Privacy Shield: le reazioni
Il segretario al Commercio degli Stati Uniti, Wilbur Ross, ha dichiarato che l’agenzia è “delusa” per la decisione della Corte Europea e che sta “studiando la decisione e cercando di comprenderne appieno gli effetti pratici, sperando di poter “limitare le conseguenze negative per le relazioni economiche transatlantiche pari a 7,1 trilioni di dollari che sono così vitali per i nostri rispettivi cittadini, aziende e governi”.
In una conferenza stampa, la vicepresidente della Commissione europea per i valori e la trasparenza, Věra Jourová, e il commissario alla giustizia, Didier Reynders, hanno dichiarato di essere in trattative con i loro omologhi statunitensi sui prossimi passi. La Jourová ha osservato che “non partiranno da zero”, che la “decisione di Schrems II fornisce ulteriori indicazioni preziose” e che uno “strumento aggiornato sarà pienamente in linea con essa”.
In ogni caso, il risultato non è del tutto inaspettato, date le continue critiche mosse allo scudo per la privacy negli ultimi mesi da vari organi dell’UE, ma, chiaramente, costituisce un fatto deludente sia per la Commissione europea che per le società statunitensi, colpite dal constatare che sono tornate al punto di partenza.
Max Schrems, la cui causa legale nel 2015 aveva portato all’invalidazione negli Stati Uniti del Safe Harbor Framework, ha applaudito la decisione della CGUE: “È chiaro che gli Stati Uniti dovranno cambiare seriamente le loro leggi di sorveglianza se le società statunitensi vogliono continuare a svolgere un ruolo importante nel mercato dell’UE”.
Gli impatti della sentenza
Sebbene le clausole contrattuali standard rimangano valide, le implicazioni della decisione della CGUE saranno di vasta portata e influenzeranno il modo in cui le aziende operano in tutto il mondo.
In un recente studio del Future of Privacy Forum, oltre 250 aziende con sede in Europa erano partecipanti attivi di Privacy Shield. Ad oggi, oltre 5.400 aziende avevano aderito a Privacy Shield, di cui oltre 1.000 nell’ultimo anno.
Dal punto di vista pratico ci saranno ben poche conseguenze per i colossi dell’hi-tech, che già dopo l’annullamento del Safe Harbour si erano dotati di server europei.
Per le altre aziende, la decisione potrebbe comportare la necessità di una riorganizzazione tecnica. Occorrerà probabilmente che inizino a sfruttare, per i loro business locali, piattaforme cloud che abbiano i server in Europa. Giova appena sottolineare, comunque, che, in linea generale, non basta aprire dei data center nell’UE per garantire che i dati non vengano trasferiti o che siano adeguatamente protetti.
Inoltre, sebbene non sia evidenziato nella sintesi, la decisione conclude anche che tutti i trasferimenti di dati verso gli Stati Uniti effettuati tramite cavo sottomarino sono suscettibili all’accesso da parte dei servizi di intelligence statunitensi – e che la legge che circonda questo accesso non soddisfa i requisiti legali dell’UE. Alla luce di questa conclusione, la sentenza produce implicazioni per i trasferimenti di dati personali negli Stati Uniti, anche al di là di quanto previsto dallo scudo per la privacy UE-USA.
Come detto, oltre alle enormi implicazioni per i trasferimenti di dati negli Stati Uniti, la decisione comporterà un onere maggiore per le aziende che esportano dati in altri paesi tramite clausole contrattuali standard.
Richiederà, infatti, maggiore lavoro da parte delle autorità di vigilanza dell’UE, molte delle quali devono già disporre di risorse limitate.
Una chiara conseguenza della decisione è che le clausole contrattuali possono anche essere utilizzate per i trasferimenti verso quei paesi che hanno un livello di protezione insufficiente, ma per consentire a queste clausole di essere utilizzate come meccanismi legittimi per i trasferimenti verso quei paesi, il tribunale impone ai responsabili del trattamento di introdurre misure e garanzie supplementari a seconda della posizione prevalente in un determinato paese terzo, caso per caso. Si pensi, ad esempio, alla crittografia. Come funzionerà nella pratica?
In ogni caso, è presumibile un impatto negativo sul PIL dell’UE, data la stretta correlazione dell’economia europea con quella americana.
All’inizio, ci vorrà del tempo affinché le aziende, i professionisti della privacy e i regolatori digeriscano le implicazioni della decisione della CGUE. Man mano che si manifesterà l’impatto, sarà interessante anche vedere cosa questo significherà per le future decisioni dell’UE, molte delle quali sono in cantiere, e come ciò potrebbe avere un impatto sul trasferimento di dati nel Regno Unito dopo la Brexit nel 2021.
