Privacy Shield: La Rottura dell’Accordo
Tutte le società che risiedono in USA come Apple, Google e Facebook e che trattano i nostri dati, di cittadini europei in base all’accordo del Privacy Shield non potranno più farlo, tutto ciò diventa illecito.
È questo l’impatto evidente della sentenza, annunciata ieri, della Corte di Giustizia dell’Unione Europea: ha dichiarato invalida la decisione 2016/1250 della Commissione europea sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy (Privacy Shield). Invalida perché non sembra garantire sui dati europei tutele sufficienti, alla luce del Gdpr, nei confronti dei programmi di sorveglianza del Governo Usa (agenzia NSA) svelati da Edward Snowden.
Ha giudicato valida, invece, la decisione 2010/87 relativa alle clausole contrattuali tipo per il trasferimento di dati personali stabiliti in paesi terzi.
L’unica via è quindi ora usare un’altra base giuridica prevista dal Gdpr, diversa dallo Shield, per il trasferimenti dati all’estero e spostare sede e server in UE.
Tutto è cominciato nel 2013 quando un cittadino austriaco, Maximillian Schrems, iscritto a Facebook, presentava denuncia all’autorità Irlandese di controllo chiedendo che a Facebook venisse vietato di trasferire i dati dall’Irlanda agli USA, sostenendo che il diritto e le prassi degli Stati Uniti non assicurano una protezione sufficiente contro l’accesso da parte delle pubbliche autorità ai dati trasferiti verso tale paese.
La denuncia veniva inizialmente respinta sulla base del rilievo che in precedenza si era stabilito che gli Stati Uniti d’America, offrivano un adeguato livello di protezione.
Nel 2015 però, la Corte di Giustizia (chiamata a pronunciarsi su una questione pregiudiziale) dichiarava invalida questa decisione riaprendo quindi la questione. Schrems, quindi, ripresentava la sua denuncia reiterando le preoccupazioni circa il fatto che gli USA non offrano una protezione sufficiente per i dati trasferiti verso questo paese.
Intanto, veniva emanato il regolamento europeo sulla protezione dei dati (Gdpr) e la commissione adottava la decisione 2016/1250 sull’adeguatezza della protezione offerta dallo scudo UE-USA per la privacy.
Il Privacy Shield, è l‘accordo tra fra UE e USA (fra Commissione Europea e Dipartimento del Commercio degli Stati Uniti) che serve a tutelare la riservatezza dei dati personali dei cittadini europei in caso di trasferimento oltreoceano a scopo commerciale. Si basa un meccanismo di autocertificazione che le società Usa devono seguire per ricevere dati personali dall’Unione europea.
Il GDPR si applica ad un trasferimento di dati personali effettuato a fini commerciali da un operatore economico stabilito in uno Stato membro verso un operatore economico stabilito in un Paese terzo anche se, durante o dopo detto trasferimento, tali dati possono essere soggetti a trattamento a fini di sicurezza pubblica, di difesa e di sicurezza dello Stato ad opera delle autorità del Paese terzo considerato.
Si tratta quindi di comprendere se le clausole contrattuali tipo e il US-EU privacy shield, pur consentendo il trattamento dei dati da parte delle autorità del paese terzo, offrano garanzie adeguate; il che si traduce nel fatto che gli interessati, i cui dati siano stati trasferiti in paesi terzi, debbano godere di un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’Unione da detto regolamento attinenti a garanzie adeguate, diritti opponibili e mezzi di ricorso effettivi.
La Corte ha esaminato la prima decisione (2010/87 sulle clausole contrattuali tipo) ed ha riscontrato che questa, pur basandosi su statuizioni contrattuali che, come tali, non sono in grado di vincolare gli Stati al loro rispetto, contiene meccanismi efficaci che consentono, in pratica, di garantire che sia rispettato il livello di protezione richiesto dal diritto dell’Unione e che i trasferimenti di dati personali, fondati su tali clausole, siano sospesi o vietati in caso di violazione di tali clausole o di impossibilità di rispettarle.
Il meccanismo è semplice quanto efficace: preliminarmente c’è l’obbligo che incombe su entrambe le parti (esportatore e destinatario) di verificare, preliminarmente, che tale livello di protezione sia rispettato nel Paese terzo considerato, successivamente, il destinatario dei dati deve informare l’esportatore della sua eventuale impossibilità di conformarsi alle clausole tipo di protezione, con l’onere, in tal caso, per il fornitore di sospendere il trasferimento di dati e/o di risolvere il contratto concluso con il destinatario.
La seconda decisione (2016/1250 sull’adeguatezza della protezione offerta dallo scudo UE-USA) invece, sancisce il primato delle esigenze attinenti alla sicurezza nazionale, all’interesse pubblico e al rispetto della normativa statunitense, rendendo così possibili ingerenze nei diritti fondamentali delle persone i cui dati sono trasferiti verso tale Paese terzo.
Secondo la Corte, le limitazioni della protezione dei dati personali che risultano dalla normativa interna degli Stati Uniti non sono inquadrate in modo da rispondere a requisiti sostanzialmente equivalenti a quelli richiesti, nel diritto dell’Unione, dal principio di proporzionalità e stretta necessità.
Inoltre, quanto al requisito della tutela giurisdizionale, la Corte ritiene che il meccanismo di mediazione previsto da tale decisione non fornisce a tali persone un mezzo di ricorso dinanzi ad un organo che offra garanzie sostanzialmente equivalenti a quelle richieste nel diritto dell’Unione, tali da assicurare tanto l’indipendenza del Mediatore previsto da tale meccanismo quanto l’esistenza di norme che consentano al suddetto Mediatore di adottare decisioni vincolanti nei confronti dei servizi di intelligence statunitensi. Per tutte queste ragioni la Corte dichiara invalida la decisione 2016/1250.
L’impatto di questa decisione è forte; tutte le società che risiedono in USA e che consentono il trasferimento sulla base della loro adesione al privacy shield, da oggi smettono (in teoria) di essere compliant e quindi, a meno che non facciano immediatamente ricorso ad un’altra base giuridica di cui al titolo V, non potranno più trattare i dati personali degli utenti dei loro clienti.
Pensiamo a Google, Facebook, Apple (quelle californiane, però, non le società europee); ad un Mailchimp; ad ActiveCampaign; FaceApp; Magento ed alla quantità inimmaginabile di dati che conserva; in totale sono 5378 le società che si affidano a questo “scudo” per garantire un livello di protezione dei dati (in)adeguato. Adesso dovranno fare compliance Gdpr e spostare sede e server in UE. Amazon, invece, per citare un altro esempio, si affida alle clausole contrattuali e sarebbe salva.
Resta solo da aspettare e vedere quello che succederà, tenendo presente che: “Il rinvio pregiudiziale consente ai giudici degli Stati membri, nell’ambito di una controversia della quale sono investiti, di interpellare la Corte in merito all’interpretazione del diritto dell’Unione o alla validità di un atto dell’Unione. La Corte non risolve la controversia nazionale. Spetta al giudice nazionale risolvere la causa conformemente alla decisione della Corte. Tale decisione vincola egualmente gli altri giudici nazionali ai quali venga sottoposto un problema simile.
Articolo ripreso da: Agenda Digitale