Non c’è stato il blocco immediato dei flussi dei dati degli utenti dell’Unione europea verso gli Stati Uniti il giorno dopo la storica sentenza della Corte di Giustizia dell’Ue che ha dichiarato invalido il Privacy Shield.
Infatti Apple, Facebook, Google&Co. continuano a trasferire i dati degli utenti europei nei server in Usa, ma perché?
La sentenza della Corte di giustizia Ue, oltre a mandare in pensione il Privacy Shield, ha ritenuto valide le clausole contrattuali tipo (Standard Contractual Clauses – SCCs) per il trasferimento di dati personali a incaricati del trattamento stabiliti in Paesi terzi. E, ad esempio, dopo l’abolizione del Safe Harbor Facebook ha continuato a trasferire i dati degli utenti europei dai server in Irlanda a quelli negli Stati Uniti secondo proprio le nuove regole europee chiamate Standard Contractual Clauses (SCCs).
Ma la Corte ha anche dichiarato che, salvo che esista una decisione di adeguatezza validamente adottata dalla Commissione, i Garanti della privacy dei singoli Stati dell’Ue sono tenuti a sospendere o vietare un trasferimento di dati personali verso un Paese terzo quando ritengano, alla luce delle circostanze proprie di tale trasferimento, che le clausole tipo di protezione dei dati non siano o non possano essere rispettate in tale Paese e che la protezione dei dati trasferiti, richiesta dal diritto dell’Unione, non possa essere garantita con altri mezzi, ove l’esportatore stabilito nell’Unione non abbia esso stesso sospeso tale trasferimento o messo fine a quest’ultimo.
“Faremo in modo che i nostri inserzionisti, clienti e partner possano continuare a usufruire dei servizi di Facebook mantenendo i loro dati sicuri e protetti”, ha dichiarato Eva Nagle, dirigente della società. “Le clausole sono utilizzate da migliaia di aziende in Europa, forniscono importanti garanzie per proteggere i dati dei cittadini dell’Unione”.
Il parere degli esperti per capire cosa cambia, cosa non è cambiato e il ruolo del GDPR nel ‘vuoto normativo’
Per capire meglio gli effetti della sentenza “Schrems II”, pronunciata ieri dalla Corte di giustizia dell’Unione Europea, e valutare l’esistenza o meno ora di un vuoto normativo sul trasferimento di dati tra Unione europea e USA abbiamo chiesto spiegazioni a due esperi di data protection:
Andrea Lisi (Avvocato, titolare Studio Legale Lisi, presidente ANORC professioni):
La decisione della Corte di Giustizia non è sorprendente e si attendeva da tempo. Era evidente, infatti, che l’approccio del “Privacy Shield”, mutuato dal “Safe Harbour”, fosse uno strumento inadeguato e “di compromesso”, digerito pur di superare un problema di politica internazionale tra UE-USA. Strumento senz’altro comodo ma non risolutivo in un sistema normativo europeo ormai orientato verso i principi più sostanziali di tutela che animano il GDPR con il suo principio di accountability.
Oggi da quella stessa sentenza vengono confermate nella loro legittimità le “standard clauses”. Ma non sarà più una strada automatica e comoda neppure quest’ultima, perché sarà sempre necessaria una reinterpretazione di convenzioni, contratti e clausole standard in modo più sostanziale e dinamico che dovrà prevedere una costante dimostrazione di scelte “interessatocentriche”, oculate e documentate .
Insomma una strada in salita di rigorosa analisi di rischi non solo informatici, ma anche normativi che potrà comunque continuare a legittimare i trasferimenti extra UE verso gli UE.
Non si può parlare pertanto di blocco in seguito a questa decisione. Le soluzioni ci saranno, saranno ritrovabili nell’alveo più corretto del GDPR, anche con i suoi considerando, dove le interpretazioni in punto di diritto potranno consentire scenari non impeditivi, ma senz’altro più rigorosi.
Filippo Bianchini, avvocato cassazionista e consulente in materia di protezione dati:
In ottemperanza al principio generale dettato dall’art. 44 del GDPR, un trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale può avere luogo solo qualora non venga pregiudicato il livello di protezione dei dati garantito dal Regolamento, ovvero qualora gli stessi rimanessero all’interno dell’UE. La decisione di adeguatezza è uno degli strumenti utilizzabili in tal senso.
Con la sentenza Schrems II, pronunciata ieri nella causa C-311/18, la Corte di giustizia dell’Unione Europea ha invalidato la decisione di adeguatezza della Commissione n. 2016/1250 (c.d. Privacy Shield). Il WP29 aveva già espresso le proprie perplessità in ordine al Privacy Shield nella propria “Opinion 01/2016” (disponibile qui).
L’EDPS ha pubblicato oggi un proprio comunicato riaffermando come la protezione dei dati personali sia “più di un diritto fondamentale “europeo” – si tratta di un diritto fondamentale ampiamente riconosciuto nel mondo” e “analizzando attentamente le conseguenze della sentenza sui contratti conclusi da istituzioni, organi, uffici e agenzie dell’UE”.
Quali prospettive future? Věra Jourová, Vicepresidente della Commissione, ha affermato che “i flussi di dati transatlantici possono continuare, sulla base dell’ampia gamma di strumenti per i trasferimenti internazionali forniti dal GDPR, quali ad esempio le norme vincolanti d’impresa (BCR) o le clausole contrattuali standard (SCC)”. Ancora, secondo Didier Reynders, Commissario europeo della Giustizia, “sarà molto importante avviare il processo per avere un’approvazione formale per modernizzare le clausole contrattuali standard il prima possibile”.
Le clausole contrattuali standard dovranno fornire all’interessato una tutela adeguata, compreso un mezzo di ricorso effettivo e le Autorità di controllo saranno libere di verificare eventuali violazioni della protezione dei dati personali per ciò che concerne le loro applicazione.