PRIVACY | Invalidato l’accordo che consente il trasferimento dei dati personali negli
Con la storica sentenza Schrems II della Corte di Giustizia Europea si ridisegnano i rapporti con i grandi players che trattano i nostri dati personali extra UE.
È stata emessa in questo torrido luglio una storica sentenza in materia di privacy e data protection, passata per lo più in sordina dalla stampa e dall’opinione pubblica italiana, ma destinata invece ad avere importanti ripercussioni nel trattamento dei dati personali di molte aziende e privati cittadini.
Il 16 luglio scorso, infatti, la Corte di Giustizia dell’Unione Europea, con la sentenza nota come Schrems II, ha dichiarato invalida la decisione 2016/1250 della Commissione Europea sull’adeguatezza della protezione offerta dal regime dello Scudo UE-USA per la privacy.
Tra queste aziende che hanno sede e server negli Stati Uniti ce ne sono molte che impattano quotidianamente con la vita delle nostre cooperative e dei nostri soci: parliamo ad esempio di Facebook Inc, WhatsApp, Microsoft Corporation, Mc Donald e molti altri.
L’elenco delle società certificate ai sensi del Privacy Shield è pubblicato sul sito del Ministero del commercio USA e raggiungibile dal sito www.privacyshield.gov/welcome. Attualmente sono 5375 le organizzazioni che risultano certificate privacy Shield.
Tra queste società ci sono quindi molti grandi player, che pur avendo sede negli Stati Uniti, trattano dati dei cittadini europei. Quotidianamente quindi molti dei nostri dati personali, più o meno consapevolmente, vengono trasferiti negli USA. Una volta ricevuti i dati, queste aziende, dichiarate conforme ai sensi del privacy shield non hanno bisogno di alcuna autorizzazione specifica per la loro conservazione e in generale per il loro trattamento.
Ebbene, la Corte di Giustizia europea, con la sentenza dello scorso 16 luglio, ha ora dichiarato invalido questo meccanismo, creando un evidente vuoto normativo. L’unico spiraglio possibile è che, conformemente alle disposizioni del Regolamento UE 2016/670, i trasferimenti negli USA possano fondarsi ora su altri meccanismi di trasferimento autorizzati, diversi dal Privacy Shield, e a cui rimandiamo per un successivo approfondimento: si tratta delle norme vincolanti d’impresa, consenso individuale esplicito e informato e le clausole contrattuali Standard.
La sentenza ha anche confermato il potere delle Autorità di Controllo degli Stati membri di sospendere o vietare i trasferimenti verso paesi terzi in assenza di garanzie adeguate.
Sappiamo infatti che ogni Paese Europeo ha una propria Autority, che per l’Italia è il Garante per la Protezione dei Dati personali, che può fornire un contributo per chiarire i dubbi circa gli strumenti giuridici da utilizzare per trasferire i di dati personali oltreoceano.
Alcuni Garanti come quello di Danimarca, Finlandia, Francia, Polonia, Spagna si sono già espressi in merito con l’impegno ad adoperarsi per trovare una soluzione condivisa all’interno delle istituzioni comunitarie e nello specifico del Comitato Europeo per la Protezione dei dati personali.
Il Garante Italiano, insieme con quello belga, non ha ancora espresso un parere in merito.
Illustri commentatori affermano che questa sentenza abbia un valore politico importante. Con essa, infatti, la Corte di Giustizia dell’Unione Europea (CgUe) ha invalidato l’Accordo “Privacy Shield” del 2016 in ragione delle forti limitazioni ai diritti fondamentali dei cittadini dell’Ue causate dai pervasivi programmi di sorveglianza operati dalle agenzie di intelligence statunitensi e alla sostanziale inesistenza di un diritto ad un effettivo ricorso dinnanzi alle autorità giudiziarie Usa in capo ai cittadini Ue. Ma la natura e le fasi del procedimento della Corte di Giustizia non hanno permesso agli Stati Uniti di avviare un contraddittorio per difendere le proprie posizioni.
Come comportarci in questo momento? Secondo il principio dell’accountability, le nostre cooperative dovranno essere in grado di dimostrare di aver avuto contezza di questa pronuncia e di effettuare un riesame del proprio registro delle attività di trattamento dei dati al fine di verificare l’esistenza di trasferimenti di dati verso aziende ed organizzazioni certificate ai sensi del privacy shield.
Siamo certi che i grandi player, magari congiuntamente alle istituzioni europee sapranno mettere in campo delle strategie e degli strumenti adeguati per superare questa vacatio normativa.
Cosa significa?
Per comprendere la portata di questa novità, occorre ricostruire alcuni elementi, sia storici che normativi.
Intanto il principio da cui partire per analizzare questa intrigata vicenda è quello per cui, in generale, l’Unione Europea vieta che i dati personali dei suoi cittadini vengano trasferiti al di fuori dei propri confini in paesi che non garantiscono un livello adeguato di protezione.
Era il 2016, ancor prima dell’entrata in vigore del GDPR, quando la Commissione Europa – a seguito di un precedente intervento giurisdizionale concretizzato con la sentenza Sherm I * (vedi nota a piè di pagina) -, riconosceva agli Stati Uniti d’America un livello di protezione delle libertà e dei diritti fondamentali delle persone sostanzialmente equivalente a quello garantito dall’ordinamento giuridico dell’Unione: questo riconoscimento, siglato in un accordo denominato Privacy Shield, garantiva quindi che i dati trasferiti dall’UE agli Stati Uniti fossero protetti secondo specifici standard approvati dalla Commissione Europea anche una volta fuoriusciti dai confini dell’Unione (e della Svizzera)
Le aziende statunitensi che aderivano al Privacy Shield venivano “certificate” come una destinazione sicura per i dati personali dell’UE.
Tra queste aziende che hanno sede e server negli Stati Uniti ce ne sono molte che impattano quotidianamente con la vita delle nostre cooperative e dei nostri soci: parliamo ad esempio di Facebook Inc, WhatsApp, Microsoft Corporation, Mc Donald e molti altri.
L’elenco delle società certificate ai sensi del Privacy Shield è pubblicato sul sito del Ministero del commercio USA e raggiungibile dal sito www.privacyshield.gov/welcome. Attualmente sono 5375 le organizzazioni che risultano certificate privacy Shield.
Tra queste società ci sono quindi molti grandi player, che pur avendo sede negli Stati Uniti, trattano dati dei cittadini europei. Quotidianamente quindi molti dei nostri dati personali, più o meno consapevolmente, vengono trasferiti negli USA. Una volta ricevuti i dati, queste aziende, dichiarate conforme ai sensi del privacy shield non hanno bisogno di alcuna autorizzazione specifica per la loro conservazione e in generale per il loro trattamento.
Ebbene, la Corte di Giustizia europea, con la sentenza dello scorso 16 luglio, ha ora dichiarato invalido questo meccanismo, creando un evidente vuoto normativo. L’unico spiraglio possibile è che, conformemente alle disposizioni del Regolamento UE 2016/670, i trasferimenti negli USA possano fondarsi ora su altri meccanismi di trasferimento autorizzati, diversi dal Privacy Shield, e a cui rimandiamo per un successivo approfondimento: si tratta delle norme vincolanti d’impresa, consenso individuale esplicito e informato e le clausole contrattuali Standard.
La sentenza ha anche confermato il potere delle Autorità di Controllo degli Stati membri di sospendere o vietare i trasferimenti verso paesi terzi in assenza di garanzie adeguate.
Sappiamo infatti che ogni Paese Europeo ha una propria Autority, che per l’Italia è il Garante per la Protezione dei Dati personali, che può fornire un contributo per chiarire i dubbi circa gli strumenti giuridici da utilizzare per trasferire i di dati personali oltreoceano.
Alcuni Garanti come quello di Danimarca, Finlandia, Francia, Polonia, Spagna si sono già espressi in merito con l’impegno ad adoperarsi per trovare una soluzione condivisa all’interno delle istituzioni comunitarie e nello specifico del Comitato Europeo per la Protezione dei dati personali.
Il Garante Italiano, insieme con quello belga, non ha ancora espresso un parere in merito.
Illustri commentatori affermano che questa sentenza abbia un valore politico importante. Con essa, infatti, la Corte di Giustizia dell’Unione Europea (CgUe) ha invalidato l’Accordo “Privacy Shield” del 2016 in ragione delle forti limitazioni ai diritti fondamentali dei cittadini dell’Ue causate dai pervasivi programmi di sorveglianza operati dalle agenzie di intelligence statunitensi e alla sostanziale inesistenza di un diritto ad un effettivo ricorso dinnanzi alle autorità giudiziarie Usa in capo ai cittadini Ue. Ma la natura e le fasi del procedimento della Corte di Giustizia non hanno permesso agli Stati Uniti di avviare un contraddittorio per difendere le proprie posizioni.
Come comportarci in questo momento? Secondo il principio dell’accountability, le nostre cooperative dovranno essere in grado di dimostrare di aver avuto contezza di questa pronuncia e di effettuare un riesame del proprio registro delle attività di trattamento dei dati al fine di verificare l’esistenza di trasferimenti di dati verso aziende ed organizzazioni certificate ai sensi del privacy shield.
Siamo certi che i grandi player, magari congiuntamente alle istituzioni europee sapranno mettere in campo delle strategie e degli strumenti adeguati per superare questa vacatio normativa.
* L’attivista austriaco Maximilian Schrems (conosciuto come Max Schrems), nel 2013, ha presentato una denuncia nei confronti di Facebook Ireland Limited (l’Irlanda è il paese in cui vi è presente la sede europea di Facebook) dinanzi a un giudice. La denuncia mirava a vietare a Facebook di trasferire ulteriormente i dati dall’Irlanda agli Stati Uniti. Egli affermava che l’azienda non avrebbe rispettato i suoi diritti alla riservatezza e alla protezione dei dati personali, fatto che sarebbe dovuto essere garantito dalla normativa UE, nel caso di trasferimento di dati verso paesi extra-UE. Ha dichiarato anche invalido il regime di Safe Harbor, che nel 2000 fu garantito dalla Commissione europea, in quanto trattato adeguato alla protezione dei dati personali trasferiti al di fuori dell’UE (così dando per scontato la garanzia del diritto alla privacy dei cittadini europei). Quest’ultima accusa viene resa più credibile grazie alle rivelazioni di Edward Snowden, che denunciò una serie di programmi di sorveglianza di massa delle comunicazioni (che avevano come obbiettivo dati utenti di aziende come Facebook, Google ecc.), condotti dall’Agenzia di sicurezza nazionale americana. https://it.wikipedia.org/wiki/Sentenza_Schrems
La foto è tratta dalla mostra A scena aperta, esposizione fotografica sul teatro sociale organizzata dal Consorzio Parsifal e dalla cooperativa Altri Colori.
Lascia un Commento
Vuoi partecipare alla discussione?Fornisci il tuo contributo!