E’ di pochi giorni fa la notizia che la Corte di Giustizia Europea ha dichiarato l’invalidità del Privacy Shield, cioè dell’accordo tra UE e USA attraverso il quale, mediante un meccanismo di autocertificazione, le società stabilite in USA potevano ricevere trasferimenti di dati personali dall’Unione Europea.
In forza di questo accordo, le società USA si impegnavano, infatti, a fornire agli interessati europei adeguati strumenti di tutela, pena la loro cancellazione dalla lista delle società certificate (“Privacy Shield List”) da parte del Dipartimento del Commercio Statunitense.
Molti commentatori della sentenza della Corte di Giustizia Europea – che ha annullato il Privacy Shield affermando che tale strumento non fornisce ai cittadini europei sufficienti garanzie contro le leggi statunitensi in materia di sorveglianza e sicurezza della privacy – hanno espresso l’opinione che i Giudici Europei abbiano potenzialmente assestato “un duro colpo al business delle grandi aziende tecnologiche” con sede in USA.
Per la verità, la Corte Europea si è anche espressa a favore della validità delle clausole contrattuali tipo per il trasferimento di dati personali in Paesi Terzi, affermando che queste, pur basandosi su accordi contrattuali – come tali, non in grado di vincolare gli Stati al loro rispetto – contengono meccanismi efficaci che consentono, in pratica, di garantire che sia rispettato il livello di protezione richiesto dal diritto della UE.
La Corte ha, altresì, precisato che i trasferimenti di dati personali fondati sulle clausole contrattuali tipo, devono essere sospesi o vietati qualora vi siano violazioni di tali clausole o si verifichino situazioni all’interno del Paese Terzo che determinino l’impossibilità di rispettarle.
La decisione della Corte Europea in merito all’invalidità del Privacy Shield determina, in ogni caso, importanti ed immediate ricadute pratiche per tutte le società stabilite in USA che attuavano il trasferimento di dati personali dalla UE sulla base dell’adesione al Privacy Shield, dato che, dalla pubblicazione della sentenza, queste società non sono più compliant con il GDPR.
In attesa che la Commissione Europea trovi una valida soluzione a questa situazione, se l’utilizzo delle clausole contrattuali tipo non fosse possibile o risultasse eccessivamente gravoso per effetto di normative privacy straniere di difficile interpretazione, potranno venire in soccorso i rimedi previsti dall’art. 49 del GDPR, che legittimano alcune ipotesi di trattamento pur in assenza di una decisione di adeguatezza.
Ricordo, infatti, che l’art. 49 prevede che, in assenza di una decisione di adeguatezza o di garanzie adeguate, comprese le norme vincolanti di impresa, è ammesso il trasferimento o un complesso di trasferimenti di dati personali vero un Paese terzo se si verifica una delle seguenti condizioni:
a) l’interessato abbia esplicitamente acconsentito al trasferimento, previa informativa sui possibili rischi;
b) il trasferimento sia necessario all’esecuzione di un contratto tra Titolare del trattamento e interessato o per l’esecuzione di misure percontrattuali adottate su richiesta dell’interessato;
c) il trasferimento sia necessario all’esecuzione di un contratto tra Titolare del trattamento e un altro soggetto ma a favore dell’interessato;
d) il trasferimento sia necessario per importanti motivi di interesse pubblico;
e) il trasferimento sia necessario per tutelare gli interessi vitali dell’interessato;
g) con i limiti e le modalità previste dalla norma di cui sopra, il trasferimento sia attuato partendo da un registro consultabile dal pubblico in generale o da chiunque sia in grado di dimostrare un legittimo interesse.
E’ evidente che la pronuncia di invalidità del Privacy Shield apre un periodo di forte incertezza nel trasferimento di dati personali tra UE e USA, ma è altrettanto innegabile che, pur con maggiori difficoltà pratiche (e, probabilmente, anche costi), il flusso di dati tra i due continenti dovrà essere garantito con gli strumenti normativi rimasti, in quanto una diversa soluzione è semplicemente inimmaginabile ed impraticabile.