Italiano
English 
La Corte di Giustizia dell’Unione Europea (CGUE) ha dichiarato invalida la decisione 2016/1250 della Commissione Europea sull’adeguatezza della protezione offerta dal Privacy Shield, lo scudo Ue-Usa per la protezione dei dati dei cittadini e delle imprese europei. Per la CGUE, gli Stati Uniti non offrono infatti garanzie in linea con il regolamento generale sulla protezione dei dati (GDPR) e i programmi di sorveglianza americani vanno oltre i limiti sanciti dalle tutele europee sui dati.
La decisione della CGUE potrebbe creare diversi problemi alle multinazionali americane e europee che proprio sul trasferimento dei dati autorizzato dal Privacy Shield, e sul loro utilizzo, fondano buona parte del loro business, oltre a richiedere un riesame della documentazione privacy predisposta dalle Società in merito al trasferimento dei dati.
Si ricorda che ai sensi del GDPR il trasferimento dei dati verso un Paese terzo può avvenire, in linea di principio, solo se il Paese terzo considerato garantisce a tali dati un adeguato livello di protezione. In mancanza di una decisione di adeguatezza, tale trasferimento può essere effettuato solo se l’esportatore dei dati personali, stabilito nell’Unione, prevede garanzie adeguate, le quali possono risultare, ad esempio, da clausole contrattuali tipo di protezione dei dati adottate dalla Commissione.
All’origine del rinvio pregiudiziale dinnanzi alla CGUE c’è il caso del sig. Schrems cittadino austriaco residente in Austria e iscritto alla rete sociale Facebook dal 2008. Al pari di quanto avviene per gli altri utenti residenti dell’Unione, i dati personali del sig. Schrems sono trasferiti, in tutto o in parte, da Facebook Ireland verso server appartenenti a Facebook Inc., situati nel territorio degli Stati Uniti, ove sono oggetto di trattamento. Il sig. Schrems ha presentato all’autorità irlandese di controllo una denuncia diretta a far vietare tali trasferimenti, sostenendo che il diritto e le prassi degli Stati Uniti non assicurano una protezione sufficiente contro l’accesso, da parte delle pubbliche autorità, ai dati trasferiti verso tale paese.
Con sentenza pubblicata il 16 luglio 2020 la CGUE afferma che “le limitazioni della protezione dei dati personali che risultano dalla normativa interna degli Stati Uniti in materia di accesso e di utilizzo da parte delle autorità statunitensi dei dati trasferiti dall’Unione verso tale Paese terzo” – e che sono state valutate dalla Commissione nella decisione 2016/1250 – “non sono inquadrate in modo da rispondere a requisiti sostanzialmente equivalenti a quelli richiesti nel diritto dell’Unione”.
La CGUE giudica, invece, valida la decisione 2010/87 relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in Paesi terzi ivi inclusi gli Stati Uniti. La CGUE precisa che tale decisione contiene meccanismi efficaci che consentono di garantire che sia rispettato il livello di protezione richiesto dal diritto dell’Unione e prevede che i trasferimenti di dati personali, fondati su tali clausole, siano in ogni caso sospesi o vietati qualora vi sia una violazione di tali clausole o un’impossibilità di rispettarle.
_
A cura di:
Avv. Giacomo Cardani
Avv. Talisia Cigaina
Il presente documento ha lo scopo di fornire una prima informativa generale sulle novità normative e, pertanto, non potrà essere utilizzato o interpretato quale parere legale. Un’analisi precisa delle ricadute della normativa rispetto alla singola società potrà essere effettuata solamente su specifico incarico.