Nella sentenza (caso C-311/18 che vede coinvolta l’Autorità garante irlandese, Facebook e il Sig. Maximillian Schrems) pronunciata il 16 luglio scorso, la Corte di Giustizia dell’Unione Europea ha invalidato il c.d. Privacy Shield (o “scudo per la privacy”), un meccanismo di autocertificazione, resosi necessario a seguito dell’invalidazione del predecessore Safe Harbor, in base al quale le società stabilite negli USA che intendano ricevere dati personali dall’Unione europea si impegnano a rispettare determinati principi e a fornire agli interessati, i cui dati personali siano stati trasferiti dall’Unione europea, adeguati strumenti di tutela.
Nel ritenere che “ai sensi del regolamento generale sulla protezione dei dati (Gdpr) il trasferimento dei suddetti dati verso un Paese terzo può avvenire, in linea di principio, solo se il Paese terzo considerato garantisce a tali dati un adeguato livello di protezione“, la Corte UE ha invalidato il Privacy Shield sostenendo che non fornisce ai cittadini europei sufficienti garanzie contro le leggi statunitensi in materia di sorveglianza e sicurezza della privacy.
Secondo la Corte, che già nel 2015 in conseguenza del c.d. Datagate (che aveva rivelato le ingerenze del governo americano nei dati personali dei cittadini americani ed europei) aveva ritenuto il livello di protezione del Safe Harbor non in continuità con la normativa europea, anche il Privacy Shield deve ritenersi inadeguato rispetto agli standard di tutela previsti dal GDPR, sia in termini di proporzionalità e necessità del trattamento, che di effettiva tutela giurisdizionale in ordine ai diritti degli interessati lesi.
Se per gli attivisti della privacy, da sempre convinti che gli USA adottino pratiche di sorveglianza invasive e contrarie alle tutele introdotte nella UE dal GDPR, questa è una vittoria, i problemi che la decisione potrebbe creare alle multinazionali americane ed europee (per fare degli esempio Google o Facebook) sono molteplici, primo fra tutti la necessità, per continuare a trattare i dati di chi vive in Europa, di spostare sia la sede aziendale che il server.
Ma non è tutto. Con la predetta sentenza, la Corte prende una posizione molto chiara ed estremamente critica nei confronti della Commissione Europea, denunciando come, nelle ripetute decisioni con le quali ella ha riconosciuto un livello di protezione adeguato ai trasferimenti di dati negli Stati Uniti, abbia posto in essere un vero e proprio trattamento di favore nei confronti di questi ultimi, ed abbia consapevolmente scelto di non vedere le palesi criticità insite nel decidere per l’adeguatezza, pur di non compromettere il continuo flusso dell’enorme mole di dati fra UE e USA.
Allo stato attuale pertanto, in attesa che la Commissione faccia i passi necessari per porre rimedio alla questione e nell’impossibilità, come è stato fatto per il Priacy Shield, di adottare una decisione che nasca dalle ceneri delle precedenti depurata dalle imperfezioni, le società coinvolte dovranno certamente riconsiderare i propri rapporti, eventualmente regolamentando in maniera diversa i flussi di dati ad esempio utilizzando l’anonimizzazione, oppure rivisitando con maggiore attenzione le deroghe di cui all’articolo 49 del GDPR, che legittimano alcune ipotesi di trattamento pur in assenza di decisione di adeguatezza, e in particolare lo consentono quando l’interessato è informato dei rischi e vi consente (https://www.privacyshield.gov/list).
E’ chiaro https://www.privacyshield.gov/listche, nell’attesa, sarebbe preferibile che gli USA decidessero di sfruttare questa occasione per elevare il livello di protezione dei dati personali dei loro cittadini e degli stranieri che affidano i loro dati alle aziende statunitensi, così da mantenere inalterato il ruolo di “cloud storage” che hanno assunto nel tempo.