La Corte di Giustizia annulla il Privacy Shield

E’ di pochi giorni fa la pronuncia della Corte di Giustizia Europea che boccia l’accordo noto come “Privacy Shield” per il trasferimento dei dati tra l’Europa e gli Stati Uniti. L’accordo permetteva ad un’azienda europea di trasferire i dati ad un’azienda americana a patto che quest’ultima fornisse un’autocertificazione da rinnovare ogni anno in cui garantiva tutela e protezione della privacy dei cittadini europei. L’accordo in questione, secondo quanto affermato dai giudici europei, non fornirebbe sufficienti garanzie ai cittadini europei contro le leggi statunitensi in materia di privacy e tutela dei dati personali. Ciò che rileva infatti secondo la Corte europea è che “ai sensi del regolamento generale sulla protezione dei dati (GDPR) il trasferimento dei suddetti dati verso un Paese terzo può avvenire, in linea di principio, solo se il Paese terzo considerato garantisce a tali dati un adeguato livello di protezione”. Tuttavia la pronuncia in esame non sembra del tutto impedire la condivisione dei dati ma impone sia un adeguato livello di protezione degli stessi che un’intensificazione dei controlli che sono necessari secondo la Corte, considerati i rischi per la privacy derivanti dalla inadeguatezza dei programmi di sorveglianza americani.

La pronuncia trae origine dalla denuncia di un cittadino austriaco, Maximillian Schrems, utente di Facebook sin dal 2008, i cui dati furono trasferiti, in tutto o in parte, da Facebook Ireland verso server appartenenti a Facebook Inc., situati nel territorio degli Stati Uniti. Schrems si era rivolto alle autorità irlandesi per chiedere che i suoi dati tornassero nei server europei, ed aveva già ottenuto una pronuncia di invalidità del Safe Harbor, il precedente accordo transatlantico per disciplinare lo standard americano ed europeo per la trasmissione e la conservazione dei dati dei cittadini europei.

La sentenza di invalida del “Privacy Shield” della Corte di Giustizia europea inciderà sicuramente sull’attività dei colossi come Facebook, Google e Apple (ma anche ad altre aziende di dimensioni più ridotte che comunque avevano un ordinario interscambio di dati verso gli USA, per es. utilizzando server cloud locati negli USA per i propri dati aziendali) che si vedranno comunque costretti ad organizzarsi mediante la sottoscrizione di Clausole Contrattuali Standard o tramite la creazione di centri di raccolta dati in Europa ripensando quindi le strategie industriali da seguire in considerazione dei principi stabiliti dal GDPR e dalla sentenza in oggetto, nonché sulle società di Paesi extra UE che dovranno predisporre adeguati strumenti di tutela e di protezione dei dati di cittadini europei, nell’attesa che ci sia comunque un intervento da parte delle autorità europee volto a dare indicazioni alle aziende coinvolte su come operare.

Siamo a disposizione per maggiori informazioni.

Avv. Claudia Marica Sarubbo                                              Avv. Tommaso Olivieri