Con la sentenza del 6 ottobre 2015, la Corte di Giustizia dell’Unione Europea ha dichiarato l’invalidità dell’accordo di “Safe Harbour” (decisione della Commissione 2000/520/CE), quale strumento idoneo a consentire il trasferimento di dati personali verso gli Stati Uniti d’America garantendo un adeguato livello di protezione dei dati personali relativi a cittadini comunitari che venivano trasferiti oltreoceano.
IL FATTO:
Il caso è stato portato all’attenzione della CGUE dall’Alta Corte irlandese, cui si era rivolto Max Scherms, cittadino austriaco che, a seguito delle rivelazioni fatte da Edward Snowden nel 2013 circa le attività dei servizi di intelligence USA (in particolare la National Security Agency – NSA e il programma di controllo Prism), aveva sostenuto l’inadeguatezza del quadro giuridico degli Stati Uniti nel garantire la protezione dei dati personali dei cittadini europei, presupposto ineliminabile per rendere lecito il trasferimento dei dati verso paesi extra-UE.
La Corte di Giustizia con la sua decisione ha da un lato riconosciuto che le Autorità nazionali di garanzia possono senza dubbio sovrintendere o valutare i trasferimenti di dati personali verso Paesi terzi extra UE anche qualora questi siano stati oggetto di una Decisione della Commissione UE, dall’altro si è espressa in modo piuttosto netto nel senso dell’invalidità della decisione Safe Harbour, sostenendo, tra l’altro, che una regolamentazione quale quella statunitense che consenta alle autorità pubbliche l’accesso in via generalizzata al contenuto di dati e comunicazioni elettroniche, deve essere valutata come in grado di compromettere l’essenza del diritto fondamentale al rispetto della vita privata.
PERCHÉ È IMPORTANTE:
La dichiarata invalidità dei principi stabiliti dalla decisione 2000/520/CE ha lasciato più di 4000 compagnie statunitensi che erano in possesso di certificati Safe Harbour emessi dal Ministero per il Commercio Estero USA in un totale vuoto normativo.
Nonostante l’annullamento della suddetta decisione da parte della CG UE non abbia in alcun modo determinato un divieto automatico di trasferimento di dati verso gli USA c’è da dire che l’accordo di approdo sicuro rappresentava la via più comoda e meno “burocratica” per fondare la liceità del trasferimento.
Rimangono quindi utilizzabili gli altri strumenti che, in applicazione della direttiva 95/46/CE, possono porsi a giustificazione del trasferimento, quali le clausole contrattuali standard (Model Clauses) e le Binding Corporate Rules (BCR).
Le compagnie che facevano affidamento sulla decisione 2000/520/CE dovranno quindi fare ben attenzione e cautelarsi, legittimando l’invio di dati verso gli Stati Uniti tramite l’adozione di uno degli strumenti ancora a disposizione.
È probabile che l’Unione Europea e gli Stati Uniti collaboreranno per studiare una soluzione alla situazione di incertezza che si è venuta a creare in seguito alla sentenza della Corte di Giustizia, mentre la Commissione Europea si è già attivata per dare attuazione alla sentenza e formulare un piano al fine di delineare un quadro normativo più chiaro e con salvaguardie idonee.
Ciononostante il Gruppo dei Garanti Privacy UE ha stabilito il termine per sostituire l’ormai invalida decisione Safe Harbour per gennaio 2016, termine trascorso il quale è probabile che le singole Autorità inizino ad indagare con più attenzione sul trasferimento di dati personali oltreoceano.
No Comments