In data 16 luglio 2020, la Corte di Giustizia Europea ha dichiarato l’invalidità del cd. Privacy Shield, strumento che consentiva il lecito trasferimento di dati personali dall’Unione Europea agli Stati Uniti d’America (USA).
Il Privacy Shield, adottato dalla Commissione Europea con la Decisione 2016/1250 in ossequio anche all’art. 45 del GDPR, era fondato su un sistema di autocertificazione in base al quale le società statunitensi si impegnavano a rispettare un insieme di principi in materia di privacy, ossia i principi del regime dello scudo UE-USA, legittimando pertanto i trasferimenti di dati personali.
La dichiarazione d’invalidità pronunciata dalla Corte del Lussemburgo sorge da un reclamo presentato da un cittadino austriaco, Maximiliam Schrems, all’Autorità Irlandese di Protezione dei Dati nel quale sosteneva che il trasferimento di dati personali basato sul Privacy Shield da parte di Facebook non garantisce un livello di protezione adeguato, così come previsto dalla Carta Fondamentale dei Diritti dell’UE.
Così, attraverso il meccanismo del rinvio pregiudiziale azionato dalla High Court Irlandese, la Corte di Giustizia ha dichiarato che il sistema del Privacy Shield non può garantire i diritti sanciti sulla protezione dei dati personali dal diritto comunitario. Le ragioni di tale pronuncia sono da ricercarsi, come sancito dalla Corte, dallo sbilanciamento che viene posto in essere dai programmi di sorveglianza dalle Autorità Americane, quale ad esempio l’NSA, sui dati trattati negli USA, comprendendo tra essi anche i dati personali degli interessati europei. La Corte ha aggiunto altresì che i suddetti programmi di sorveglianza presenti negli Stati Uniti non prevedono disposizioni tali che possano limitare i poteri conferiti alle Autorità con particolare riguardo a cittadini non americani, non permettendo a quest’ultimi alcuna azione giurisdizionale per limitare la relativa ingerenza da parte della stessa. Per tali ragioni, la Corte di Giustizia ha sancito che il sistema del Privacy Shield non fornisce il rispetto dei diritti che gli interessati europei hanno all’interno dell’UE, e, come conseguenza, il trasferimento di dati dall’UE agli Stati Uniti non potrà più basarsi sulla Decisione 2016/1250 della Commissione Europa.
In aggiunta, l’High Court Irlandese ha richiesto alla Corte di Giustizia la validità della Decisione 2010/87 della Commissione relativa alle Clausole Contrattuali Standard che un operatore economico europeo può utilizzare per trasferire dati personali in un paese ritenuto non adeguato. Sul punto, la Corte di Giustizia ha stabilito che i modelli contrattuali predisposti dalla Commissione rimangono uno strumento soggetto a garanzie adeguate ai sensi dell’art. 46 del GDPR. Ciononostante, la Corte di Giustizia ha ravvisato come l’utilizzo delle clausole contrattuali standard necessiti di ulteriori garanzie nei confronti degli interessati; per tale motivo, prima di adottare lo strumento delle clausole contrattuali standard, le imprese dovranno verificare che il paese terzo assicuri effettivamente garanzie adeguate agli interessati e che non vi siano eccessive ingerenze da parte delle autorità nazionali del paese terzo. In tutto ciò, l’operato delle Autorità di controllo nazionali giocherà un ruolo fondamentale. Le Autorità di controllo nazionali possono, come previsto dal GDPR e ribadito nella sentenza in esame dalla Corte, sospendere o vietare i trasferimenti in paesi terzi non ritenuti adeguati. Alla luce di ciò, l’utilizzo del meccanismo delle clausole contrattuali standard non potrà più essere considerato un mero formalismo negoziale tra le parti bensì le stesse dovranno, caso per caso, valutare il livello di adeguatezza del paese terzo importatore.
Nonostante la Corte di Giustizia abbia dichiarato l’invalidità del Privacy Shield e abbia imposto particolari restrizioni all’utilizzo delle clausole contrattuali standard, gli operatori economici che hanno intenzione di trasferire dati negli Stati Uniti potranno avvalersi delle misure previste dall’art. 49 del GDPR. Così, i trasferimenti di dati ritenuti “necessari” potranno ancora essere posti in essere, ad esempio fondando la comunicazione sul consenso dell’interessato o sull’adempimento di un contratto. In ultimo, la Corte ha comunque evidenziato che, attraverso la sentenza in esame, non si sia voluto creare un impedimento assoluto al trasferimento di dati sul territorio statunitense, ma, semplicemente, considerare il trasferimento di dati personali negli Stati Uniti alla stregua di un trasferimento effettuato in un paese terzo ritenuto non adeguato dalla Commissione. Ovviamente, gli operatori economici che allo stato attuale fondano il trasferimento di dati sul sistema del Privacy Shield dovranno senza dubbio trovare una via alternativa prevista espressamente dal GDPR.
È importante comunque notare come la sentenza della Corte di Giustizia avrà importanti ripercussioni non solo sui trasferimenti dei dati negli Stati Uniti, ma anche in altri paesi in cui vigono particolari sistemi ingerenti di sorveglianza, quali Russia e Cina.