Privacy Shield: la Corte di Giustizia Europea invalida l’Accordo UE – USA

Con la sentenza del 16 luglio 2020, “Data Protection Commisioner v Facebook Ireland Limited, Maximilian Schrems C-311/18”, la Corte di Giustizia dell’Unione Europea (“CGUE” o “Corte”) ha dichiarato invalida la Decisione n. 2016/1250 e, con essa, l’accordo siglato tra l’Unione Europea e gli Stati Uniti d’America avente l’obiettivo di tutelare e disciplinare il trasferimento dei dati personali dei cittadini europei verso soggetti destinatari allocati nel territorio americano (“Privacy Shield”).

La decisione della corte di giustizia

La Corte ha constatato che i potenziali trattamenti effettuati dalle autorità pubbliche americane su tutti i dati personali trasferiti nel territorio degli Stati Uniti prevalgono sulle limitazioni previste dai diritti fondamentali dei cittadini europei (“interessati”) che la normativa europea si prefigge di tutelare.

Ad oggi, la normativa europea di riferimento in materia di protezione dei dati personali è contenuta nel Regolamento (UE) 2016/679 (il “Regolamento”) secondo cui i dati personali degli interessati, se trasferiti verso Paesi non appartenenti all’Unione, debbono essere tutelati da garanzie equivalenti a quelle previste dal diritto europeo.

La CGUE, nell’invalidare il Privacy Shield, riafferma la legittimità dello strumento rappresentato dalle c.d. Clausole Contrattuali Standard (“SCC – Standard Contractual Clauses”) adottate dalla Commissione Europea ma indica alle autorità di controllo dei singoli Paesi dell’Unione, il compito di verificare e, ove necessario, sospendere nonché vietare il trasferimento dei dati personali presso Paesi Terzi il cui ordinamento non rispetta i requisiti contenuti in tali Clausole.

Gli strumenti previsti dal Regolamento

La decisione in esame non pone un divieto assoluto di trasferimento dei dati personali verso gli Stati Uniti ma impone ai soggetti e alle organizzazioni che effettuano tale tipologia di trasferimento l’individuazione di strumenti alternativi che legittimino lo scambio e garantiscano adeguati livelli di protezione per gli interessati.

Sul punto, si precisa che il Regolamento prevede diversi strumenti e meccanismi da utilizzare al fine di porre in essere un corretto trasferimento di dati al di fuori dell’Unione Europea. In particolare:

• la presenza di una decisione di adeguatezza ai requisiti europei in materia di protezione dei dati personali;
• l’adozione di Clausole Contrattuali Standard;
• l’adozione di Norme Vincolanti d’Impresa (“BCR _ Binding Corporate Rules”) da parte dei grandi gruppi internazionali a seguito della negoziazione con le Autorità di controllo dei paesi coinvolti;
• l’adesione a specifici Codici di condotta o, comunque, a meccanismi di certificazione i quali devono essere contestualmente applicati dal soggetto al quale i dati vengono trasferiti;
• il consenso dell’interessato che deve essere adeguatamente informato così come previsto dal Regolamento stesso.

◊◊◊◊

Alla luce di quanto di quanto espresso dalla Corte di Giustizia con la sentenza in esame, le organizzazioni che effettuano i trasferimenti di dati personali degli interessati verso gli Stati Uniti d’America, sono tenute a rivedere i meccanismi sui quali hanno fondato tali trasferimenti andando ad individuare degli strumenti alternativi nelle ipotesi in cui, sino ad oggi, è stato utilizzato il Privacy Shield.

Come specificato dalla Corte, nel caso in cui si scelga lo strumento delle Clausole Contrattuali Standard, sarà necessario individuare i rischi, anche potenziali, analizzando non solo l’organizzazione del soggetto ricevente tali dati ma anche fattori quali il contesto, il settore ovvero l’ordinamento del Paese Terzo in cui quest’ultimo opera.