Privacy Shield: le cause e le conseguenze dell’invalidazione

Privacy Shield

I trasferimenti dei dati personali delle aziende europee verso società statunitensi sono stati regolati, negli ultimi anni, dal Privacy Shield, un meccanismo di autocertificazione per la tutela dei diritti degli interessati. A luglio la Corte di Giustizia Europea ha dichiarato invalido questo regime di privacy UE-USA, creando una situazione di incertezza e sbaraglio nelle aziende di entrambi i paesi. In questo articolo cerchiamo di capire cos’è il Privacy Shield e come potranno gestire i dati personali le aziende europee e statunitensi dopo la sentenza di invalidazione.

 

Privacy Shield: che cos’è

Shield in inglese significa “scudo” e il Privacy Shield è appunto lo scudo per la privacy che la CE e gli USA hanno approvato reciprocamente. Questo accordo risponde al requisito di adeguatezza contenuto nel GDPR: in pratica il trasferimento di dati personali verso un paese extra CE viene consentito solo se il paese ricevente assicura un livello di protezione dei dati adeguato a quello europeo.

Il Privacy Shield regola il trasferimento dei dati personali dei cittadini europei verso società operanti in USA, assicurando che le società americane rispettino tutti i principi sostenuti dallo scudo e tutelino i soggetti interessati tramite adeguati strumenti.

Qualora una società non rispetti l’accordo, il Dipartimento del Commercio statunitense può decidere di eliminarla dalla lista delle società certificate, detta Privacy Shield List, mentre la Federal Trade Commission può decidere di sanzionare la società stessa.

Un po’ di storia: com’è nato il Privacy Shield

Lo scudo per la privacy tra Europa e Stati Uniti nasce da una denuncia del 2013 contro Facebook. Un cittadino irlandese, Maximillian Scherms, querelò il social network in quanto trasferiva i propri dati personali agli Stati Uniti, dove la tutela della privacy è ben diversa rispetto alla normativa europea. In particolar modo dopo gli eventi del  settembre 2011, infatti, le autorità pubbliche statunitensi godono di facile accesso ai vari database, anche di aziende private. È stata proprio la denuncia di Scherms che ha fatto pronunciare, nel 2015, la Corte di Giustizia Europea: l’accordo tra CE e USA (Safe Harbor stipulato nel 2000), riguardante i trasferimenti dei dati personali fu dichiarato invalido. Qualche mese più tardi, nel 2016, i due paesi firmarono il nuovo accordo di adeguatezza, denominato appunto Privacy Shield.

Come funziona il Privacy Shield

Aderire al Privacy Shield è un atto volontario dell’azienda: le società statunitensi, che sono sotto la giurisdizione della Federal Trade Commission (FTC, Commissione federale per il commercio) o del Department of Transportation (DoT, Ministero dei trasporti), possono presentare un’autocertificazione ai sensi dello scudo della privacy. Se la richiesta di adesione all’accordo va a buon fine, l’azienda viene inserita nella Privacy Shield List. In questo modo le aziende americane assicurano le società europee di essere in grado di tutelare i dati personali dei cittadini europei in modo adeguato alla tutela esistente in Europa.

Un’azienda europea, prima di trasferire i dati personali dei propri cittadini, deve accertarsi che l’azienda americana destinataria sia inserita nella lista delle società certificate e che questa certificazione sia attiva, visto che ha validità annuale. Per fare questa verifica basta andare sul sito del Privacy Shield, gestito dal Ministero del commercio USA , e consultare le società abilitate. Il sito fornisce anche l’elenco delle aziende che non sono più coperte da Privacy Shield perché non rinnovato. In questo caso queste società non sono più abilitate alla ricezione di dati personali europei, ma sono obbligate a tutelare i dati ricevuti nel periodo in cui l’autocertificazione era attiva.

Lo scudo sulla privacy ha come oggetto esclusivamente i dati personali come ad esempio:

  • numero di telefono,
  • codice cliente,
  • i dati della carta di credito o altri identificativi,
  • i dati del conto corrente,
  • l’indirizzo.

Il Privacy Shield tutela in particolare i seguenti diritti:

  • diritto all’informazione e alla divulgazione
  • diritto di opposizione (se ritenuto giusto, un cittadino può opporsi al trattamento dei dati)
  • diritto di rettifica dei dati inesatti
  • diritto di cancellazione dei dati
  • diritto di utilizzo delle procedure di reclamo e di risoluzione.

Un cittadino europeo può mettersi in contatto con una società americana per rivendicare i propri diritti: in questo caso l’azienda ha tempo 45 giorni per rispondere alla richiesta ricevuta. Il soggetto può rivolgersi anche al difensore civico del Dipartimento di Stato americano oppure alle proprie autorità preposte alla difesa della privacy, che si occupano poi di richiedere riscontro alla Federal Trade Commission (FTC) statunitense per ulteriori chiarimenti.

Privacy Shield invalidato: le motivazioni della sentenza

Il regime dello scudo UE-USA è stato dichiarato invalido dalla Corte di Giustizia Europea il 16 luglio 2020 con la  sentenza Schrems II (C-311/18), che ha annullato la decisione 2016/1250 di adeguatezza della Commissione Europea al Privacy Shield. Dopo l’entrata in vigore del Regolamento Europeo sulla Privacy, infatti, la normativa USA (e quindi anche lo scudo UE-USA) è stata ritenuta inadeguata a garantire la protezione dei dati forniti dalle aziende europee a quelle americane, rispetto alle garanzie che in Unione Europea la nuova legge fornisce.

In sintesi quello che la Corte ha voluto affermare, con la sentenza di luglio, è che il diritto alla protezione della privacy di un cittadino europeo non può limitarsi alla disponibilità di una società di rispettare gli accordi con le aziende UE: la tutela deve essere oggettiva ossia deve venire dall’autorità pubblica, non deve essere un affare privato, ma deve avere un’importanza pubblica, deve essere in pratica una misura di democrazia.

 

Le conseguenze dell’invalidazione del Privacy Shield

La sentenza dell’invalidazione del Privacy Shield ha un impatto davvero rilevante, non solo sulle aziende della cosiddetta digital economy (si pensi ai dati raccolti da Facebook, Amazon, Google, eccetera), ma anche su aziende di minore importanza che “sfruttano” i dati dei cittadini europei per i propri servizi (si pensi a tutte quelle aziende fornitrici di App che vengono tranquillamente scaricate anche in Europa). Il rimedio più immediato ed efficace per le aziende statunitensi interessate potrebbe essere lo spostamento della sede e dei server in Europa o, in alternativa, trovare degli strumenti che possano garantire il pieno rispetto del GDPR europeo, come ad esempio l’adozione di clausole contrattuali tipo di cui parla l’articolo 46 della nuova legge sulla privacy (Trasferimento soggetto a garanzie adeguate” comma 2 lettera c). Ricorrendo a queste clausole, l’azienda europea può fare un accordo con una società di un paese estero, che assicuri un grado di protezione adeguato a quello vigente in UE, puntando in particolare su un alti livelli di sicurezza e sulla tutela dei diritti degli interessati.

Quest’ultimo strumento tuttavia può essere valutabile per qualsiasi paese extra UE, ma non certamente per gli Stati Uniti, visto che la sentenza sostiene inadeguata la normativa statunitense: il ricorso quindi alle clausole contrattuali standard con aziende USA non è sufficiente e questo crea una situazione di notevole incertezza per il mondo aziendale interessato, rilevato da più parti. Ad esempio la Computer & Communications Industry Association, che è un’organizzazione che si occupa di innovazione tecnologica e comunicazione digitale e conta aziende come EBay, Google, Amazon, Facebook, ha pubblicato un comunicato stampa esprimendo forti perplessità sulla sentenza e sul futuro dei rapporti tra aziende: “Questa decisione crea incertezza giuridica per le migliaia di grandi e piccole aziende su entrambe le sponde dell’Atlantico che si affidano al Privacy Shield per il loro quotidiano trasferimento di dati commerciali. Confidiamo che i responsabili delle decisioni dell’UE e degli Stati Uniti svilupperanno rapidamente una soluzione sostenibile, in linea con la legislazione dell’UE, per garantire la continuazione dei flussi di dati che sono alla base dell’economia transatlantica“.

 

Le aziende europee dopo l’invalidazione del Privacy Shield: come comportarsi?

Nel tempo che le due autorità, quella statunitense e quella europea, trovino nuovi accordi, le aziende europee potrebbero ricorrere alle altre soluzioni previste dal Regolamento UE 2016/679 per il trasferimento dati personali ad un paese extra-UE. Questi strumenti possono essere adottati senza una specifica autorizzazione da parte delle Autorità di controllo. Vediamo quali sono:

  • Binding corporate rules: sono uno strumento utilizzabile solo da società che fanno parte di uno stesso gruppo. Si tratta di un insieme di clausole con principi vincolanti a cui devono attenersi tutte le società del gruppo, indipendentemente dalla loro sede e normativa prevista dal loro paese (art. 47 GDPR).
  • Clausole contrattuali standard (CSSs): come già detto sopra, per applicare questo strumento occorre che la normativa del paese estero garantisca lo stesso trattamento previsto dal GDPR. Siccome le autorità pubbliche statunitensi hanno libero accesso ai dati, questo strumento è di difficile e pericoloso utilizzo nei confronti di aziende USA.
  • Deroghe alle decisioni di adeguatezza: il GDPR prevede delle deroghe precise all’obbligo degli accordi di adeguatezza, quale era il Privacy Shield USA-UE. Queste eccezioni però sono molto severe e possono essere applicate solo nei casi in cui si verifichino queste condizioni:
    • esplicito consenso dell’interessato, dopo che ha ricevuto tutte le informazioni sui possibili rischi del trasferimento dei propri dati personali in un paese dove non ci sono accordi di adeguatezza;
    • il trasferimento sia occasionale e strumentale all’esecuzione di un contratto o di un accordo pre-contrattuale, tra l’interessato (o una persona fisica o giuridica che rappresenti l’interessato) e il titolare del trattamento;
    • il trasferimento sia giustificato da interesse pubblico riconosciuto dal diritto dello Stato membro del titolare o dal diritto dell’UE, e non l’interesse pubblico dello Stato terzo ricevente;
    • il trasferimento sia occasionale e necessario per accertare, esercitare o difendere un diritto in sede giudiziaria, nell’ambito di un procedimento attuale;
    • il trasferimento sia necessario per la tutela degli interessi vitali dell’interessato o di altre persone, qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
    • il trasferimento derivi dall’esistenza di un registro pubblico (in questo caso però il trasferimento non può riguardare tutti i dati personali o intere categorie di dati personali contenute nel registro).

In definitiva, quindi, in questa situazione ibrida, possiamo dire che allo stato attuale i trasferimenti necessari si possono effettuare, purché siano occasionali e non ripetitivi: quindi ok ai trasferimenti che si basano ad esempio su accordi contrattuali oppure sul consenso dell’interessato. Sicuramente non sono più possibili i trasferimenti di convenienza ossia quelli motivati da una valutazione esclusivamente economica (quando cioè l’azienda europea valuta più economico tenere i suoi dati personali su cloud americani piuttosto che quelli europei).

 

Fonti Articolo
CORTE DI GIUSTIZIA EUROPEA | SENTENZA C-311/18
GAZZETTA UFFICIALE UE | REGOLAMENTO 2016/679