Privacy Shield a rischio: necessitÓ di ulteriori garanzie per tutelare i diritti fondamentali



[...] il problema dell’accordo Safe Harbor che si era cercato di superare proprio con il Privacy Shield si è ripresentato: la Corte di Giustizia ha infatti sottolineato che la normativa in materia di sicurezza nazionale e interesse pubblico statunitensi risultano sovraordinate e pertanto giustificano ogni eventuale interferenza, da parte delle forze dell’ordine americane, sui diritti fondamentali delle persone i cui dati personali sono trasferiti negli USA [...]





La sentenza 311/18 emessa dalla Corte di Giustizia UE (CGUE) interviene sul trasferimento di dati personali tra Unione Europea e Stati Uniti smontando gran parte delle fondamenta del Privacy Shield, cioè dell’accordo tra Europa e USA sulle modalità di trattamento dei dati e sulle eventuali ingerenze e controlli dell’Amministrazione americana (come fece già con il precedente accordo internazionale Safe Harbor).

In che modo la decisione della Corte incide sull’attività imprenditoriale e professionale italiana?

Prima di tutto, il venir meno del Privacy Shield comporta maggiori difficoltà (dal punto di vista della legittimità) nel trasferire dati personali tra imprese al di qua e al di là dell’Atlantico. Si stima infatti che siano più di 5.000 le aziende che hanno fatto ricorso al Privacy Shield. Aziende che attualmente si trovano senza un’adeguata base giuridica del trattamento.

In secondo luogo ci saranno maggiori difficoltà a interagire con le grandi tech company, quali Facebook, Google ecc. le cui clausole contrattuali (soprattutto per i profili free) non indicano in maniera specifica il luogo di conservazione dei dati.
 
Sotto questo profilo infatti, tutte le aziende che utilizzano cloud o servizi social,quanto meno dovranno rivedere le loro informative e le loro politiche interne di gestione dati. È proprio per questa ragione che è fondamentale, nel creare un account, prestare sempre attenzione a dove (cioè in quali data center) l’azienda fornitrice dichiara di conservare i dati. 

Privacy Shield

Sinteticamente, possiamo definire il Privacy Shield un accordo internazionale a mezzo del quale l’azienda, attraverso una procedura di autocertificazione (sulla base di un preciso framework condiviso), dichiara che il trattamento dei dati presso gli uffici e/o stabilimenti negli Stati Uniti sono svolti in conformità del GDPR.

Tuttavia, il problema dell’accordo Safe Harbor che si era cercato di superare proprio con il Privacy Shield si è ripresentato: la Corte di Giustizia ha infatti sottolineato che la normativa in materia di sicurezza nazionale e interesse pubblico statunitensi risultano sovraordinate e pertanto giustificano ogni eventuale interferenza, da parte delle forze dell’ordine americane, sui diritti fondamentali delle persone i cui dati personali sono trasferiti negli USA.

Come è evidente, la CGUE è intervenuta sotto un profilo che potremmo definire di livello costituzionale (la salvaguardia dei diritti fondamentali) che, tuttavia, presenta diretti risolvi anche nel mondo economico.
 
C’è, comunque, da evidenziare che non tutto è da buttare via sebbene, attualmente, la strada da percorrere non è semplice. La Corte di Giustizia infatti non invalida di per sé il trasferimento verso gli USA, tuttavia, afferma che questo non può essere più giustificato dalla mera aderenza, da parte delle aziende coinvolte, al Privacy Shield.

Ad oggi, la possibilità di trasferire dati negli Stati Uniti e, più in generale, verso uno Stato Terzo passa necessariamente dalla responsabilizzazione dell’azienda esportatrice e quella del Paese esterno. Una responsabilizzazione che in conformità del GDPR può trovare la propria base giuridica su quattro ipotesi:

 
  • Accordi di adeguatezza (come era il Privacy Shield);
  • clausole standard - SCC (accordi contrattuali tra azienda esportatore e aziende con sede estera);
  • norme vincolanti di impresa (per i gruppi societari);
  • deroghe (consenso, contratto, interesse pubblico e diritto di difesa) previste dall’art. 49. 

 

Dal punto di vista pratico, pertanto, le aziende che trasferiscono dati personali verso gli Stati Uniti dovranno fornire ulteriori garanzie, non potendo più basarsi sull’adesione al Privacy Shield. Dovranno fornire all’interessato una adeguata tutela, compreso un mezzo di ricorso efficace per la tutela dei diritti. La Corte sottolinea infatti che:

 
"i cittadini dell’Unione non hanno accesso agli stessi mezzi di ricorso di cui dispongono i cittadini statunitensi contro i trattamenti di dati personali da parte delle autorità degli Stati Uniti, poiché il quarto emendamento della Costituzione degli Stati Uniti, che, nel diritto statunitense, costituisce la tutela più importante contro la sorveglianza illegale, è inapplicabile ai cittadini dell’Unione".
 
 
Nonostante l'applicazione delle clausole standard come misure di sicurezza per i trattamenti dei dati personali trasferiti all'esterno, importante sottolineare che tale misura non significa la certezza della protezione dei dati personali dei cittadini in confronto ai paesi terzi, come spiegato qui di seguito.
 

Caso Schrems 

In breve, un cittadino austriaco ha interposto reclamo all'autorità di supervisione irlandese per la protezione dei dati personali (“ASN”), lamentando che gli strumenti delle SCC non fossero validi giuridicamente in quanto non avrebbero assicurato un’adeguata protezione.
 
La contestazione si fondava sul fatto che il Sig. Schrems, essendo utente del social di Facebook, vedeva i propri dati personali pertinenti, trasferiti dalla UE (in particolare da Facebook Ireland Ltd., società di gestione del social per l’area europea) verso gli Stati Uniti (cioè a Facebook Inc., casa-madre americana) sulla base della garanzia dello strumento delle clausole contrattuali tipo 2010/87/EU.  in sintesi,  ha contestato la validità del cosiddetto accordo "Safe Harbor" stipulato tra l'Unione europea e gli Stati Uniti d'America.
 

Cosa si deve sapere

  • Di solito, per trasferire al di fuori dell'UE i dati personali degli utenti dell’UE è necessario soddisfare le condizioni indicate negli articoli 44-50 del GDPR (se ad esempio salvi dati personali di cittadini dell'UE su un server negli Stati Uniti, dovrai basare questo trasferimento su uno dei meccanismi di conformità esistenti).

  • Prima della sentenza sopracitata, le aziende statunitensi potevano aderire al Privacy Shield ed essere certificate come una destinazione sicura per i dati personali dell'UE. Una volta ricevuti i dati, tali aziende non avevano bisogno di alcuna autorizzazione specifica per questa attività.

  • La Corte di Giustizia europea ha ora dichiarato invalido questo meccanismo. Questo significa che i trasferimenti che si basavano sul Privacy Shield devono rivolgersi altrove per essere conformi.

  •  Per rispettare la decisione della Corte fin da subito, necessario rivedere tutti i trasferimenti di dati che sono effettuati  verso gli Stati Uniti e verificare se si basano sul Privacy Shield.

    In caso affermativo, importante verificare se il titolare e/o responsabile del trattamento dell'azienda localizzata all'estero (paesi terzi) offre una base giuridica alternativa per giustificare il trasferimento dei dati, come ad esempio delle clausole contrattuali standard (art.46 del GDPR) integrate nel contratto o il consenso esplicito (ART.49 del GDPR).
 

Conclusione 

Per concludere, occorrerà per le aziende, ma soprattutto per i consumatori, fare estrema attenzione al momento della sottoscrizione degli accordi di fornitura al fine di verificare che non inducano ad esprimere un consenso (più o meno evidente) al trasferimento verso il Paese terzo.

Ultima osservazione: la Corte di Giustizia con la propria decisione intende affermare un principio (corretto trattamento dei dati personali in relazione ai diritti fondamentali dell’individuo) che sta sempre più configurandosi come un diritto mondiale capace di incidere in maniera diretta nei rapporti politico-economici tra Stati.

 
Implementa ora nella tua azienda le misure di sicurezza adeguate al trasferimento di dati. Il nostro team di professionisti è a tua disposizione per una consulenza privacy completa. Ti aspettiamo! 
 
 
 consulenza privacy, gdpr, consulenza torino
 
 
 
 


Scopri subito la nostra soluzione Privacy Facile
e trova la versione pi¨ adatta alle tue esigenze


SCOPRI