Con una sentenza che ha sorpreso molti, il 16 luglio 2020 la Corte di Giustizia dell’Unione Europea ha invalidato il Privacy Shield ovvero il meccanismo in vigore dal mese di agosto 2016 che permetteva lo scambio di dati tra soggetti con sede legale in Europa e quelli operativi negli Stati Uniti, a patto che venissero dimostrate modalità e finalità del trattamento.
Con la decisione relativa alla vertenza C-311/18, la Corte di Giustizia ha di fatto rigettato il meccanismo del Privacy Shield imponendo una revisione completa delle modalità di gestione dei dati da parte delle tante aziende, anche italiane, che fino ad oggi si sono appoggiati a server e strumenti USA.
Prima della sentenza, le aziende statunitensi potevano aderire al Privacy Shield ed essere certificate come una destinazione sicura per i dati personali appartenenti a cittadini residenti negli Stati membri dell’Unione Europea. Dopo aver ricevuto tali dati, memorizzati sui loro server, le aziende USA non avevano bisogno di alcuna autorizzazione specifica per svolgere l’attività.
Come conferma il Garante Privacy italiano in questo documento, il Privacy Shield era pienamente recepito anche nel nostro Paese.
D’ora in avanti, invece, stando a quanto stabilito dalla Corte di Giustizia, chi trasferisce dati dall’Europa verso gli Stati Uniti è tenuto a verificare puntualmente le normative e le prassi seguite accertandosi se le autorità pubbliche possano avere o meno accesso alle stesse informazioni. Spetta inoltre alle autorità nazionali di ciascuno Stato membro dell’Unione Europea controllare se le rassicurazioni ricevute da coloro che “esportano” i dati siano sufficienti.
Particolari timori sono stati infatti espressi in relazione al moltiplicarsi di vari programmi di sorveglianza di massa promossi dai singoli governi. Viene inoltre rammentato come l’ordinamento statunitense non accordi una tutela giurisdizionale effettiva ai diritti degli interessati.
I trasferimenti di dati potranno continuare ma, ad esempio, bisognerà porre sotto la lente il corretto utilizzo della crittografia così da avere la certezza che le informazioni non possano essere accessibili da parte del gestore del servizio ma solo dal titolare del trattamento.
La prima ovvia conseguenza comporterà per le imprese una revisione della lista dei fornitori: per evitare rischi si potrebbe valutare di trasferire i dati precedentemente memorizzati negli Stati Uniti in Italia o nella “regione” europea richiedendo la cancellazione delle informazioni da parte delle società a stelle e strisce.
Va detto che tutte le principali società che offrono servizi cloud si erano attrezzate per tempo mettendo a disposizione dei clienti server dislocati all’interno di data center europei offrendo piena conformità alle disposizioni contenute nel GDPR (Regolamento generale sulla protezione dei dati).
La sentenza europea, comunque, vuole rimarcare come la tutela del dato personale non possa essere ristretta ad accordi tra le parti, anche tra Stati, ma necessiti di tutta una serie di accortezze e garanzie accessorie.
Mentre gli Stati Uniti hanno già espresso una certa delusione per le conclusioni alle quali è pervenuta la Corte, la Commissione Europea ha fatto sapere di condividere le preoccupazioni e che sarà possibile pervenire in tempi brevi a uno strumento normativo pienamente in linea con quanto stabilito nella sentenza.