skip to Main Content

Ue: cosa prevede la sentenza Schrems II che invalida il Privacy Shield

Privacy Shield

Il 16 luglio la Corte di Giustizia UE ha emesso la sentenza Schrems II che invalida il Privacy Shield

Il 16 luglio la Corte di Giustizia UE ha emesso la sentenza sul caso Schrems II, invalidando il Privacy Shield e confermando la validità dello strumento delle clausole contrattuali tipo. Le reazioni alla sentenza forniscono differenti spunti interpretativi la cui lettura è necessaria al fine di comprenderne i risvolti geopolitici.

ANTEFATTI

Il 16 luglio la Corte di Giustizia UE ha emesso la tanto attesa sentenza Schrems II, invalidando la decisione della Commissione del 2016 sull’adeguatezza della protezione offerta dal Privacy Shield. Lo Scudo sulla Privacy era un accordo UE-USA che consentiva il trasferimento dei dati alle imprese statunitensi che, certificandosi ad esso, si impegnavano a rispettarne i principi. Principi che ricalcavano grosso modo quelli fondamentali della protezione dei dati dell’ordinamento europeo antecedentemente all’entrata in vigore del GDPR, il Regolamento Generale sulla Protezione dei Dati, che, dopo essere stato adottato nell’aprile 2016, divenne operativo a partire dal maggio 2018 con l’obiettivo di rafforzare il controllo dei cittadini sulle proprie informazioni e ponendo particolare enfasi sul principio di accountability. La sentenza è stata emessa sulla scia del caso Schrems I, per mezzo del quale l’omonimo attivista ottenne l’invalidazione del precedente regime per il trasferimento dei dati – il Safe Harbor – a seguito delle rivelazioni di Edward Snowden, alla luce delle quali si scoprì che i dati degli utenti Facebook che venivano trasferiti negli USA finivano nelle mani del NSA. Il reclamo presentato da Schrems all’Autorità di Controllo irlandese nel dicembre 2015, e quindi precedentemente all’entrata in vigore dello Scudo, concerneva in prima istanza la validità del trasferimento per mezzo delle clausole contrattuali tipo, le quali vincolano contrattualmente l’importatore al rispetto di un livello di tutela adeguato. Essendo all’epoca del rinvio pregiudiziale entrato in vigore il Privacy Shield, il giudice irlandese si interrogò altresì sul fatto se tale accordo fosse rilevante ai fini delle garanzie fornite dagli USA – il riferimento era in particolare all’istituzione dell’Ombusdman, una figura dedicata a ricevere le richieste dei cittadini europei in merito all’accesso dei propri dati da parte delle autorità statunitensi – per quel che concerne l’implementazione delle clausole contrattuali tipo.

LA SENTENZA

Proseguendo il percorso intrapreso di progressiva assunzione di ruolo di Corte Costituzionale europea, il giudice europeo si è arrogato ex officio la competenza a giudicare la validità dello Scudo, esprimendosi negativamente a tal proposito alla luce della persistente possibilità di accedere ai dati dei cittadini UE da parte delle Autorità USA in assenza di appropriate salvaguardie e al netto del rispetto dei requisiti di necessità e proporzionalità. L’esito della sentenza non implica però un blocco totale del trasferimento dei dati personali verso gli USA. Potranno infatti continuare a essere trasferiti i dati necessari ai sensi della normativa europea,ì e potranno essere esternalizzati i trattamenti verso titolari del trattamento non sottoposti alle leggi sulla sorveglianza. La Corte ha altresì confermato la validità del trasferimento per mezzo delle clausole contrattuali tipo alla luce della possibilità di esercitare un controllo ex ante da parte dell’esportatore ed ex post da parte dell’Autorità di Controllo dello Stato Membro all’interno del quale si esplicano le attività dell’esportatore.

LE REAZIONI ALLA SENTENZA

Il capo del Dipartimento del Commercio statunitense, Wilbur Ross, si è dichiarato profondamente deluso dall’esito della sentenza, ribadendo la volontà di proseguire il dialogo con il Garante Europeo e la Commissione al fine di limitare le potenziali ricadute nelle relazioni economiche. Differenti sono invece state le reazioni all’interno del panorama istituzionale europeo. Da un lato, accogliendo con favore l’esito delle sentenza, il Garante europeo della protezione dei dati, Wojciech Wiewiòrowski, ha sottolineato la necessità di adottare un quadro regolatorio tale da garantire un livello di tutela simile a quello dell’Unione, dall’altro la Commissione ha posto l’enfasi sulla necessità di garantire la continuità del flusso dei dati nel rispetto di quanto indicato all’interno della sentenza e del diritto alla protezione dei dati. Di particolare interesse le dichiarazioni del Commissario per la Giustizia, Didier Reynders, che, ponendo l’enfasi sulla confermata validità del trasferimento per mezzo delle clausole contrattuali tipo, ha rimarcato il lavoro sino a ora fatto dalla Commissione al fine di modernizzare lo strumento attualmente più utilizzato per il flusso dei dati, affermando la volontà di portare a compimento tale processo al più presto possibile.

I RISVOLTI GEOPOLITICI

Il 70% delle società USA certificate ai sensi dello Scudo sono piccole e medie imprese, per le quali l’uso delle clausole contrattuali tipo implica un sensibile aumento dei costi di transazione. Inoltre, avendo il giudice europeo fornito un’interpretazione estensiva delle responsabilità dell’esportatore, questi dovrà nella sostanza effettuare delle valutazioni dalla portata simile a quella delle decisioni di adeguatezza della Commissione, condotte ai sensi dell’articolo 45 del GDPR al fine di valutare il livello complessivo di tutela offerta da un Paese terzo, e le quali rischiano dunque di rivelarsi impossibili da espletarsi nella pratica. La soluzione preferibile sarebbe la conclusione di un nuovo accordo UE-USA, la cui realizzazione potrebbe essere complicata alla luce delle correnti tensioni commerciali, e soprattutto stante la ferma posizione assunta dalla Corte. Le tensioni politiche sono altresì interne alle Istituzioni UE. Il Privacy Shield era stato oggetto di critiche anche dal Parlamento Europeo, il quale sostenne che lo scandalo Cambridge Analytica dimostrò come lo Scudo non offrisse un’adeguata tutela della protezione dei dati, e come esso non fosse conforme alle novità previste dal GDPR. Garantire la continuità del flusso di dati per mezzo delle clausole contrattuali tipo potrebbe altresì scontrarsi con una diversificazione degli esiti dei controlli ex posto condotti dalle Autorità di Controllo – basti pensare alle recenti critiche rivolte ai Garanti di Lussemburgo e Irlanda in merito alla loro indulgenza derivante dalla presenza di Tech Companies statunitensi sui rispettivi territori. Eventualità che, come suggerì il compianto ex Garante Europeo Giovanni Buttarelli, può trasformarsi in un’occasione per riformare tale strumento sfruttando il contenuto dell’articolo 60 del GDPR, ai sensi del quale il Garante Europeo può intervenire fornendo un’interpretazione comune delle diverse posizioni assunte su base nazionale. Un processo di riforma che, così come confermato da Reynders, è già avviato, e che deve porsi quale obiettivo primario l’imposizione all’importatore di una condivisione degli oneri spettanti all’esportatore ai sensi del GDPR – si pensi alla portata delle disposizioni concernenti la protezione by design e la valutazione d’impatto, – permettendo all’Unione di utilizzare il proprio potere normativo – il cosiddetto Brussels Effect – al fine di garantire un maggiore controllo sui dati anche al di fuori dell’Unione. Al netto dell’eventualità che le imprese USA, e su tutte i provider cloud, decidano di delocalizzare le proprie attività nell’Unione, l’esercizio extraterritoriale del potere normativo UE potrebbe potenzialmente indurre gli USA a rivedere la propria normativa alla luce delle dimensioni del mercato unico e la sua affluenza, dell’assimilazione, da parte degli importatori degli oneri imposti ai titolari del trattamento che rende conveniente per questi conformarsi esclusivamente al set di regole imposto dal diritto comunitario, nonché dell’eco mediatico del caso Cambridge Analytica, che ha provato come la tutela dei dati sia un vantaggio competitivo per le aziende.

Articolo pubblicato su ilcaffegeopolitico.net

ISCRIVITI ALLA NEWSLETTER
Back To Top