Ancora una volta, la Corte di Giustizia UE (sentenza 311/18) interviene sul trasferimento di dati personali tra Unione Europea e Stati Uniti smontando gran parte delle fondamenta del Privacy Shield, cioè dell’accordo tra Europa e USA sulle modalità di trattamento dei dati e sulle eventuali ingerenze e controlli dell’Amministrazione americana (come fece già con il precedente accordo internazionale Safe Harbor).
In che modo la decisione della Corte incide sull’attività imprenditoriale e professionale italiana?
Prima di tutto, il venir meno del Privacy Shield comporta maggiori difficoltà (dal punto di vista della legittimità) nel trasferire dati personali tra imprese al di qua e al di là dell’Atlantico. Si stima infatti che siano più di 5.000 le aziende che hanno fatto ricorso al Privacy Shield. Aziende che attualmente si trovano senza un’adeguata base giuridica del trattamento.
In secondo luogo ci saranno maggiori difficoltà a interagire con le grandi tech company, quali Facebook, Google ecc. le cui clausole contrattuali (soprattutto per i profili free) non indicano in maniera specifica il luogo di conservazione dei dati. Sotto questo profilo infatti, tutte le aziende che utilizzano cloud o servizi social,quanto meno dovranno rivedere le loro informative e le loro politiche interne di gestione dati. È proprio per questa ragione che è fondamentale, nel creare un account, prestare sempre attenzione a dove (cioè in quali data center) l’azienda fornitrice dichiara di conservare i dati.
Privacy Shield
Sinteticamente, possiamo definire il Privacy Shield un accordo internazionale a mezzo del quale l’azienda, attraverso una procedura di autocertificazione (sulla base di un preciso framework condiviso), dichiara che il trattamento dei dati presso gli uffici e/o stabilimenti negli Stati Uniti sono svolti in conformità del GDPR.
Tuttavia, il problema dell’accordo Safe Harbor che si era cercato di superare proprio con il Privacy Shield si è ripresentato: la Corte di Giustizia ha infatti sottolineato che la normativa in materia di sicurezza nazionale einteresse pubblico statunitensi risultano sovraordinate e pertanto giustificano ogni eventuale interferenza, da parte delle forze dell’ordine americane, sui diritti fondamentali delle persone i cui dati personali sono trasferiti negli USA. Come è evidente, la CGUE è intervenuta sotto un profilo che potremmo definire di livello costituzionale (la salvaguardia dei diritti fondamentali) che, tuttavia, presenta diretti risolvi anche nel mondo economico.
=> Audit di conformità al GDPR: come si realizza in azienda
C’è, comunque, da evidenziare che non tutto è da buttare via sebbene, attualmente, la strada da percorrere non è semplice. La Corte di Giustizia infatti non invalida di per sé il trasferimento verso gli USA, tuttavia, afferma che questo non può essere più giustificato dalla mera aderenza, da parte delle aziende coinvolte, al Privacy Shield.
Ad oggi, la possibilità di trasferire dati negli Stati Uniti e, più in generale, verso uno Stato Terzo passa necessariamente dalla responsabilizzazione dell’azienda esportatrice e quella del Paese esterno. Una responsabilizzazione che in conformità del GDPR può trovare la propria base giuridica su quattro ipotesi:
- Accordi di adeguatezza (come era il Privacy Shield);
- clausole standard (accordi contrattuali tra azienda esportatore e aziende con sede estera);
- norme vincolanti di impresa (per i gruppi societari);
- deroghe (consenso, contratto, interesse pubblico e diritto di difesa) previste dall’art. 49.
Dal punto di vista pratico, pertanto, le aziende che trasferiscono dati personali verso gli Stati Uniti dovranno fornire ulteriori garanzie, non potendo più basarsi sull’adesione al Privacy Shield. Dovranno fornire all’interessato una adeguata tutela, compreso un mezzo di ricorso efficace per la tutela dei diritti. La Corte sottolinea infatti che:
i cittadini dell’Unione non hanno accesso agli stessi mezzi di ricorso di cui dispongono i cittadini statunitensi contro i trattamenti di dati personali da parte delle autorità degli Stati Uniti, poiché il quarto emendamento della Costituzione degli Stati Uniti, che, nel diritto statunitense, costituisce la tutela più importante contro la sorveglianza illegale, è inapplicabile ai cittadini dell’Unione.
Occorrerà per le aziende, ma soprattutto per i consumatori, fare estrema attenzione al momento della sottoscrizione degli accordi di fornitura al fine di verificare che non inducano ad esprimere un consenso (più o meno evidente) al trasferimento verso il Paese terzo.
Ultima osservazione: la Corte di Giustizia con la propria decisione intende affermare un principio (corretto trattamento dei dati personali in relazione ai diritti fondamentali dell’individuo) che sta sempre più configurandosi come un diritto mondiale capace di incidere in maniera diretta nei rapporti politico-economici tra Stati.
__________
Articolo dell’Avv. Emiliano Vitelli
