Trasferimento di dati personali tra Unione Europea e Stati Uniti
Ancora una volta la Corte di Giustizia, con la sentenza 311/18 interviene sulla questione del trasferimento di dati personali tra Unione Europea e Stati Uniti smontando gran parte delle fondamenta del Privacy Shield cioè dell’accordo tra Europa e USA sulle modalità di trattamento dei dati e sulle eventuali ingerenze e controlli dell’Amministrazione americana (come fece già con il precedente accordo internazionale Safe Harbor).
Si stima che attualmente sono più di 5000 le aziende che hanno fatto ricorso al Privacy Shield. Aziende che attualmente si trovano senza un’adeguata base giuridica del trattamento.
In che modo la decisione della Corte incide sull’attività imprenditoriale e professionale italiana?
Innanzitutto possiamo affermare, come vedremo, che il venir meno del Privacy Shield comporta maggiori difficoltà (dal punto di vista della legittimità) nel trasferire dati personali tra imprese al di qua e al di là dell’Atlantico.
In secondo luogo ci saranno maggiori ed evidenti difficoltà a interagire con le grandi tech company, quali Facebook, Google ecc. le cui clausole contrattuali (soprattutto per i profili free) non indicano in maniera specifica il luogo di conservazione dei dati. Sotto questo profilo infatti, tutte le aziende che utilizzano cloud o i servizi dei social, quanto meno dovranno rivedere le loro informative e le loro politiche interne di gestione dati.
È proprio per questa ragione, occorre suggerire sin da subito, che è fondamentale, nel creare un account, prestare sempre molta attenzione a dove (cioè in quali data center) l’azienda fornitrice dichiara di conservare i dati.
Sinteticamente possiamo definire il Privacy Shield un accordo internazionale a mezzo del quale l’azienda attraverso una procedura di autocertificazione (sulla base di un preciso framework condiviso) dichiara che il trattamento dei dati presso gli uffici e/o stabilimenti negli Stati Uniti sono svolti in conformità del GDPR.
Tuttavia, il problema dell’accordo Safe Harbor che si era cercato di superare proprio con il Privacy Shield si è ripresentato: la Corte di Giustizia ha infatti sottolineato che la normativa in materia di sicurezza nazionale, interesse pubblico statunitensi risultano sovraordinate e pertanto giustificano ogni eventuale interferenza, da parte delle forze dell’ordine americane, sui diritti fondamentali delle persone i cui dati personali sono trasferiti negli USA.
Come è evidente la CGUE è intervenuta sotto un profilo che potremmo definire di livello costituzionale (la salvaguardai dei diritti fondamentali) che, tuttavia, presenta diretti risolvi anche nel mondo economico.
C’è, comunque, da evidenziare che non tutto è da buttare via sebbene, attualmente, la strada da percorrere non è semplice.
La Corte di Giustizia infatti non invalida di per sé il trasferimento verso gli USA, tuttavia, afferma che questo non può essere più giustificato dalla mera aderenza, da parte delle aziende coinvolte, al Privacy Shield.
Ad oggi, la possibilità di trasferire dati negli Stati Uniti e, più in genarle, verso uno Stato Terzo passa necessariamente dalla responsabilizzazione dell’azienda esportatrice e quella del Paese esterno. Una responsabilizzazione che in conformità del GDPR può trovare la propria base giuridica su quattro ipotesi:
- Accordi di adeguatezza (come era il Privacy Shield);
- clausole standard (accordi contrattuali tra azienda esportatore e aziende con sede estera);
- norme vincolanti di impresa (per i gruppi societari);
- dalle deroghe (consenso, contratto, interesse pubblico e diritto di difesa) previste dall’art. 49.
Dal punto di vista pratico pertanto, le aziende che trasferiscono dati personali verso gli Stati Uniti dovranno fornire ulteriori garanzie, non potendo più basarsi sull’adesione al Privacy Shield. Dovranno fornire all’interessato una adeguata tutela, compreso un mezzo di ricorso efficace per la tutela dei diritti (La Corte sottolinea infatti che “che i cittadini dell’Unione non hanno accesso agli stessi mezzi di ricorso di cui dispongono i cittadini statunitensi contro i trattamenti di dati personali da parte delle autorità degli Stati Uniti, poiché il quarto emendamento della Costituzione degli Stati Uniti, che, nel diritto statunitense, costituisce la tutela più importante contro la sorveglianza illegale, è inapplicabile ai cittadini dell’Unione”).
Occorrerà per le aziende, ma soprattutto per i consumatori, fare estrema attenzione al momento della sottoscrizione degli accordi di fornitura al fine di verificare che non inducano ad esprimere un consenso (più o meno evidente) al trasferimento verso il Paese terzo.
Ultima notazione. La Corte di Giustizia con la propria decisione intende affermare un principio (il diritto a corretto trattamento dei dati personali in relazione ai diritti fondamentali dell’individuo) che sta sempre più configurandosi come un diritto mondiale capace di incidere in maniera diretta nei rapporti politico-economici tra Stati.
Scrivi un commento