La sentenza
Il 16 luglio 2020 ha segnato una data che verrà ricordata a lungo. La Corte di Giustizia, con la decisione ‘Schrems II’ ha invalidato il Privacy Shield UE-USA.
Il Privacy Shield era il principale strumento giuridico che regolava il trasferimento di dati personali dall’Unione Europea verso gli Stati Uniti.
La motivazione principale della decisione della Corte di Giustizia è la mancanza di garanzie adeguate da parte degli Stati Uniti in merito al rispetto della normativa europea privacy.
Negli Stati Uniti le autorità pubbliche e le agenzie di intelligence dispongono di enormi poteri di accesso ai dati trattati dalle aziende, a fronte di pochissime tutele per le persone – soprattutto per i cittadini europei.
Questo fatto ha determinato la decisione di invalidare il Privacy Shield, ritenuto uno strumento inadeguato per garantire il rispetto dei diritti dei cittadini europei.
E ora?
Non potendo più contare sul Privacy Shield, il principale strumento giuridico per rendere lecito il trasferimento di dati personali dall’Unione Europea agli Stati Uniti sono le Standard Contractual Clauses (SCC).
Le SCC sono uno strumento contrattuale con cui un esportatore (azienda italiana) ed un importatore (azienda statunitense) determinano le condizioni del trattamento di dati e le garanzie per il rispetto della normativa europea.
Le SCC possono essere utilizzate soltanto a fronte di una valutazione dei rischi riguardo all’importatore. Il titolare del trattamento/esportatore dovrà infatti valutare attentamente la concreta capacità dell’importatore/responsabile del trattamento di poter rispettare la normativa europea. In assenza di tali garanzie, neanche le SCC potranno essere usate validamente, e il titolare dovrà sospendere il trasferimento, o rischiare una sanzione per violazione del GDPR.
Nei fatti, difficilmente sarà possibile dimostrare l’esistenza di adeguate garanzie da parte delle aziende statunitensi, proprio a causa della legislazione degli Stati Uniti.
In ogni caso, è onere del titolare/esportatore adottare misure adeguate per assicurare il rispetto della normativa privacy e la tutela dei diritti delle persone, come già previsto dal GDPR per numerose altre questioni.
Quali effetti per le aziende italiane?
La sentenza della Corte ha una portata dirompente che è difficilmente valutabile in questo momento. Ciò che è certo è che i servizi statunitensi sono sempre più oggetto di scrutinio da parte delle autorità europee.
La sentenza è solo un ulteriore tassello che mostra la volontà di spostare il trattamento di dati all’interno dei confini virtuali dell’Unione Europea e dei paesi ritenuti adeguati dalla Commissione Europea, come Svizzera, Giappone, Nuova Zelanda, Canada.
Le aziende italiane ed europee, a fronte di una valutazione del rischio, dovrebbero iniziare un processo di esame delle possibili alternative ai servizi statunitensi utilizzati, soprattutto per quanto riguarda attività di trattamento di dati particolarmente sensibili, come quelli relativi alla salute, dati biometrici o dati di profilazione.
La maggior parte delle Autorità di supervisione nazionali (come il Garante Privacy italiano) non si sono ancora espresse, ma tutti attendiamo un commento del neo-eletto comitato del Garante Privacy.
L’unica ad aver già preso posizione è l’Autorità di Berlino (Berliner Beauftragte für Datenschutz und Informationsfreiheit) che ha già invitato le aziende tedesche a cambiare tempestivamente i propri provider di servizi Cloud, con obbligo di scegliere provider all’interno dell’Unione Europea, o in paesi che possano assicurare garanzie adeguate.
In questo momento di trasformazione digitale, in cui ogni paese del mondo si sta accorgendo dell’importanza dei dati (sia economica che politica), è sempre più importante per le aziende acquisire competenze in materia di protezione dei dati personali e affidarsi anche a Data Protection Officer in grado di valutare adeguatamente tutti questi rischi e guidare l’azienda in queste complesse tematiche.