La Corte di Giustizia, con la sentenza c.d. “Sentenza Schrems II” – C-311/18 del 16 luglio u.s., promossa dal noto attivista Maximiliam Schrems, ha nuovamente messo in discussione i rapporti fra Europa e Stati Uniti in tema di protezione dei dati personali. E non solo.
Ed invero, con la recente pronuncia, la Corte Europea ha invalidato il cd. “Privacy Shield List”, ossia l’accordo che conteneva le norme regolanti il meccanismo di autocertificazione delle società americane che intendono ricevere i dati personali da parte dell’Unione Europea.
Il Privacy Shield List, in vigore dal 1 agosto del 2016, costituiva un accordo fondamentale per il trasferimento di dati tra Europa e Stati Uniti e il suo annullamento non potrà che avere riflessi rilevanti anche nei rapporti commerciali, coinvolgendo le più famose multinazionali (Google, Facebook, Amazon).
Prima di fornire un commento alla statuizione in parola, è necessario dare atto del precedente annullamento, sempre da parte della Corte europea, della decisione della Commissione fondata sulla convenzione “Safe Harbor”.
Il “Safe Harbor” rappresentava un primo accordo contenente le prescrizioni per garantire un lecito trasferimento dei dati personali fra Usa e Europa, ritenuto dalla Corte di giustizia non sufficientemente garantista per i dati personali ricevuti dall’Europa, auspicando al contempo il licenziamento di un nuovo accordo che potesse rafforzare la tutela dei dati personali in ambito di lor trasferimento oltreoceano.
Il lavoro di revisione e di rivisitazione delle clausole contenute nel Safe Harbor ha portato alla decisione nel 2016 della Commissione europea del cd. scudo transatlantico (privacy Shield) “bocciato” con la sentenza europea in commento per aver ritenuto il livello di protezione dei dati in esso sancito, nella sostanza, non equivalente a quello europeo.
La pronuncia arriva sulla scorta dell’ulteriore innalzamento del grado di tutela per i cittadini europei in punto di protezione dei dati personali ampiamente rafforzata con l’entrata in vigore del GDPR, con l’effetto di aumentare notevolmente il divario di tutela fra Europa e USA rispetto alle garanzie contenute fino a poco tempo fa nel Privacy Shield da salvaguardare in caso di trasferimento dei dati personali.
La Corte ha voluto di conseguenza affermare che il trasferimento dei suddetti dati verso un Paese terzo possa avvenire, in linea di principio, solo se tale Paese terzo garantisce un adeguato livello di protezione.
La tutela del dato personale assume quindi parametri oggettivi, avendo come standard di riferimento proprio il Regolamento UE 679/2016.
Le lacune ravvisate dalla Corte di Lussemburgo spaziano dalla previsione di limitazioni dei diritti al contrario riconosciuti in ambito europeo ai soggetti interessati fino a rilevare una non efficiente risposta giurisdizionale da parte delle Autorità americane competenti.
Nella stessa sentenza, la Corte Europea ha inoltre ritenuta valida la decisione 2010/87 modificata dalla decisione 2016/2297, con cui la stessa Commissione Europea aveva adottato le clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in Paesi terzi.
Tale strumento è rimasto valido anche in seguito all’entrata in efficacia del GDPR, in quanto espressamente richiamato dall’art. 46, II comma, lett. c).
E’ la stessa Corte infatti ad affermare nel proprio comunicato stampa che: “le limitazioni alla protezione dei dati personali derivanti dalla legislazione domestica degli Stati Uniti, all’accesso e all’utilizzo da parte delle autorità pubbliche statunitensi di tali dati trasferiti dall’Unione Europea (…) non sono circoscritte in modo da soddisfare requisiti sostanzialmente equivalenti a quelli richiesti dalla legislazione dell’UE”.
Una delle conseguenze a seguito di detta pronuncia è che le società statunitensi, che operano in Europa o che trattano dati di clienti europei, dovranno ricorrere ad altri strumenti previsti dal Titolo V del GDPR per legittimare il trasferimento dei dati verso Paesi terzi non adeguati, quali le Binding Corporate Rules (BCR) per i trasferimenti infra gruppo o le clausole contrattuali standard (SCC).
Secondo quanto stabilito dalla sentenza, al punto 142 della stessa, i giudici comunitari precisano che “il titolare del trattamento stabilito nell’Unione e il destinatario del trasferimento di dati personali sono tenuti a verificare, preliminarmente, il rispetto, nel paese terzo interessato, del livello di protezione richiesto dal diritto dell’Unione. Il destinatario di tale trasferimento ha, se del caso, l’obbligo, in forza della stessa clausola 5, lettera b), di informare il titolare del trattamento della sua eventuale impossibilità di conformarsi a tali clausole, in tal caso incombe a quest’ultimo di sospendere il trasferimento di dati e/o di risolvere il contratto“.
In conclusione, sebbene sia ancora presto per poter definire con esaustività tutte le reali conseguenze di questa decisione, sicuramente possiamo ritenerla un importante risultato per i militanti in ambito privacy, i quali possono intravedere un primo passo contro una prassi poco tutelante per tutti noi perpetrata dagli Usa fino ad oggi.