La corte di giustizia europea ha annullato l’accordo EU/USA (più conosciuto come Privacy Shield) con la sentenza “Schrems II” del 16 luglio.
È stata una sentenza storica quella della Corte di Giustizia Europea per i rapporti tra Unione Europea e Stati Uniti.
L’accordo, cosiddetto “Privacy Shield“, sanciva la possibilità per le società statunitensi e svizzere di poter trattare i dati provenienti dal blocco europeo implementando un Framework di procedure, principi e documenti di governance a cui si dovevano attenere rigidamente.
Il Privacy Shield era un accordo figlio di un trattato antecedente, detto “Safe Harbor“, stipulato nel 2000 tra EU ed USA sempre all’interno del regolamento quadro per lo scambio di dati oltreoceano legato ad operazioni commerciali.
Tale accordo (per il cui miglioramento si era impegnato Stefano Rodotà, all’epoca Garante italiano e presidente dell’organo di coordinamento dei Garanti europei) era stato a sua volta ritenuto inadatto ad assicurare livelli di protezione e sicurezza dei dati personali ricevuti dall’Europa.
Per la Corte di giustizia il livello di protezione dei diritti tra le due sponde dell’Atlantico non era equivalente e bisognava ribilanciare questo aspetto. Esito di questa negoziazione è stato lo “scudo della privacy” (Privacy Shield).
E quindi, alla fine della fiera, ci troviamo attualmente punto e a capo.
Il problema nasce dalla legislazione d’oltre oceano che non garantisce, al di là del Privacy Shield, sostanzialmente la stessa tutela dei dati presente a livello europeo e non concede una tutela giurisdizionale effettiva ai diritti degli interessati lesi.
Diverse e complesse le motivazioni della sentenza, che tuttavia non si occupa solamente di distruggere l’accordo, fornisce anche delle alternative.
La Corte spinge per basare i trasferimenti di dati all’estero su due validi alleati: le Clausole Contrattuali Tipo (Standard Contract Clausole) suscettibili di inclusione negli accordi commerciali per il trasferimento dei dati.
La legittimità del ricorso a queste clausole (pur non vincolanti, in ragione della loro natura negoziale, per le autorità Usa) si basa, si legge nella sentenza, sul controllo ulteriore che esse impongono sia ai data exporter che alle Autorità di protezione dati, circa le chances di loro effettiva attuazione nello Stato ricevente.
Al di là di quelle che saranno le oggettive difficoltà nella messa in pratica e nella normalizzazione (ancora distante) dei rapporti di scambio dati con gli USA la sentenza pone l’accento su una questione importante: la necessità di una tutela oggettiva sui dati personali.
Questa tutela non può esaurirsi nella fase negoziale tra soggetti privati, deve essere spalleggiata e presa in carico da tutele “pubblicistiche” effettive.
Sono principi molto forti quelli espressi nella sentenza di cui sicuramente si andrà a parlare e discutere nei mesi, o negli anni, a venire. Ad oggi invece ciò che ancora manca è una modalità di scambio riconosciuta e sicura tra i paesi extra UE che possa prendere il posto e migliorare ciò che voleva essere il Privacy Shield.
Per questa dovremo ancora attendere e, nel frattempo, bisogna usare molta cautela quando si tratta di comunicare dati all’estero e basare questo rapporto su delle forti tutele nei contratti per il trattamento dei dati.
La valutazione sulla conformità o meno del trattamento deve essere ponderata e misurata attentamente prima di procedere, altrimenti si rischia di incorrere in sanzioni pesanti.
Vuoi verificare se la tua Privacy policy è in regola? PRENOTA IL TUO CHECK-UP IN VIDEOCONFERENZA GRATUITO PER VALUTARE IL TUO LIVELLO DI CONFORMITÀ ALLA NORMA PRIVACY! Telefonaci al numero 011.4343181