In data 16.7.2020 la Corte di Giustizia (Grande sezione) ha emesso una sentenza di notevole rilievo per gli operatori economici europei (e non) poiché ha invalidato il Privacy Shield, l’accordo che disciplinava le condizioni alle quali era possibile il trasferimento di dati personali verso gli USA.

 

 

La sentenza riguarda il caso di un cittadino austriaco, Maximillian Schrems, il quale, in quanto utente della piattaforma social network Facebook, ha presentato all’autorità irlandese di controllo una denuncia diretta, in sintesi, a far vietare i trasferimenti dei suoi dati tra Facebook Ireland e Facebook Inc., in quanto la legislazione USA non garantisce un livello di protezione adeguato.

L’autorità irlandese respingeva tale denuncia sulla base dell’esistenza della decisione 2000/520 (c.d. Safe Harbor) che riconosceva l’adeguatezza delle regole USA.

La Corte di Giustizia, con decisione 6.10.2015, invalidava il Safe Harbor.

Il sig. Schrems, quindi, ha riproposto la sua denuncia all’autorità irlandese, la quale si rivolge alla High Court irlandese affinché sottoponga la questione, di nuovo, alla Corte di Giustizia, poiché nel frattempo sono state intervenute la decisione 2010/87 e la decisione 2016/1250, che vanno a regolare la materia.

 

 

Secondo la Corte la decisione 2016/1250 (c.d. Privacy Shield) è invalida poiché non fornisce ai cittadini europei adeguate garanzie nel trattamento dei dati personali, a fronte di una normativa USA del tutto manchevole e priva di presidi giuridici a favore degli interessati.

Ai sensi del Regolamento UE 679/2016 il trasferimento di dati dall’UE verso un Paese terzo può avvenire “solo se tale Paese terzo garantisce un adeguato livello di protezione".

Per livello adeguato si intende un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’UE.

In particolare, la Corte invalida il Privacy Shield per l’assenza di limiti e di garanzie con riguardo ai programmi di sorveglianza posti in essere dalle agenzie di intelligence statunitensi, in contrasto coi i principi di necessità e proporzionalità.

Inoltre, la Corte fonda la sua decisione anche sulla mancanza di diritti esercitabili nei confronti delle autorità statunitensi azionabili davanti ai giudici, e quindi la conseguente mancanza di effettivi mezzi di ricorso per agire in tutela dei propri diritti da parte degli interessati.

 

 

In mancanza della copertura fornita dal Privacy Shield si apre un periodo transitorio, fino all’approvazione di un nuovo accordo da parte della Commissione.

In questo periodo gli operatori economici che trattano dati personali in tutto o in parte negli USA dovranno fare ricorso a mezzi alternativi affinché il trattamento sia adeguato al GDPR, per non rischiare di incorrere nelle pesanti sanzioni previste da detto Regolamento.

Ad esempio, possono prevedere la stipulazione di clausole contrattuali standard le quali, peraltro, sono state ritenute, nella medesima decisione della Corte, uno strumento valido ai fini di garantire i minimi di tutela previsti dal Regolamento.