Privacy Shield bocciato dall’UE

privacy shield

L’accordo che consentiva un lecito trasferimento dei dati personali verso società americane da parte dell’Unione Europea, il cd. “Privacy Shield List, è stato oggetto di una sentenza della Corte di Giustizia, la c.d. “Sentenza Schrems II” – C-311/18 del 16 luglio u.s. con la quale la Corte lo ha categoricamente bocciato.

L’accordo era in vigore dal 1° agosto del 2016 e fondava la convenzione per il trasferimento di dati tra Europa e Stati Uniti.

Stessa sorte aveva ricevuto la precedente convenzione cd “Safe Harbor”, abolito sempre da parte della Corte europea in quanto ritenuto non sufficientemente garantista per i dati personali ricevuti dall’Europa.

La necessaria rivisitazione delle norme disciplinanti il trasferimento verso paesi terzi contenute nel Safe Harbor ha portato alla decisione nel 2016 della Commissione europea avente ad oggetto l’approvazione del cd. scudo transatlantico (privacy Shield).

Il perché si è arrivati all’abolizione anche di questo secondo accordo, è presto detto, e trova le sue radici proprio a seguito  dell’emanazione del GDPR.

Gli standard di tutela dei dati personali imposti dal Regolamento Ue 679/16 si sono particolarmente innalzati e particolarmente rafforzata risulta la tutela dei diritti e delle libertà dei soggetti interessati.

Ciò ha creato ancora più differenza nel livello di protezione dei dati personali tra l’Europa e gli USA mettendo in crisi e poi bandendolo lo scudo sulla privacy di secondo conio il quale, come ben ha argomentato la Corte, non è stato ritenuto equivalente nell’assicurare le garanzie prescritte dal Regolamento sulla protezione dei dati personali.

Ed invero, la Corte ha affermato che il trasferimento dei dati personali verso un Paese terzo possa avvenire, in linea di principio, solo se tale Paese terzo garantisce un adeguato livello di protezione.

Ed invero, ai sensi degli artt. 45 e ss, il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale è ammesso se la Commissione ha deciso che il paese terzo, un territorio o uno o più settori specifici all’interno del paese terzo, o l’organizzazione internazionale in questione garantiscono un livello di protezione adeguato. In tal caso il trasferimento non necessita di autorizzazioni specifiche.

Nel valutare l’adeguatezza del livello di protezione, la Commissione prende in considerazione in particolare i seguenti elementi:

  1. lo stato di diritto, il rispetto dei diritti umani e delle libertà fondamentali, la pertinente legislazione generale e settoriale (anche in materia di sicurezza pubblica, difesa, sicurezza nazionale, diritto penale e accesso delle autorità pubbliche ai dati personali), così come l’attuazione di tale legislazione, le norme in materia di protezione dei dati, le norme professionali e le misure di sicurezza, comprese le norme per il trasferimento successivo dei dati personali verso un altro paese terzo o un’altra organizzazione internazionale osservate nel paese o dall’organizzazione internazionale in questione, la giurisprudenza nonché i diritti effettivi e azionabili degli interessati e un ricorso effettivo in sede amministrativa e giudiziaria per gli interessati i cui dati personali sono oggetto di trasferimento;
  2. l’esistenza e l’effettivo funzionamento di una o più autorità di controllo indipendenti nel paese terzo o cui è soggetta un’organizzazione internazionale, con competenza per garantire e controllare il rispetto delle norme in materia di protezione dei dati, comprensiva di adeguati poteri di esecuzione, per assistere e fornire consulenza agli interessati in merito all’esercizio dei loro diritti e cooperare con le autorità di controllo degli Stati membri; 
  3. gli impegni internazionali assunti dal paese terzo o dall’organizzazione internazionale in questione o altri obblighi derivanti da convenzioni o strumenti giuridicamente vincolanti come pure dalla loro partecipazione a sistemi multilaterali o regionali, in particolare in relazione alla protezione dei dati personali. 

Le lacune ravvisate dalla Corte di Lussemburgo spaziano dalla previsione di limitazioni dei diritti al contrario riconosciuti in ambito europeo ai soggetti interessati fino a rilevare una non efficiente risposta giurisdizionale da parte delle Autorità americane competenti.

Nella stessa sentenza, la Corte Europea ha inoltre ritenuta valida la decisione 2010/87 modificata dalla decisione 2016/2297, con cui la stessa Commissione Europea aveva adottato le clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in Paesi terzi. 

Queste linee guida non sono state messe in discussione neanche dopo l’effettiva entrata in efficacia del GDPR, in quanto espressamente richiamato dall’art. 46, II comma, lett. c).

Eleonora Mataloni

GRAZIE PER LA TUA RICHIESTA.

Contattaci tramite email, telefono
o compila il form così da capire come aiutarti al meglio.