Privacy Shield: un possibile nuovo inizio
Il tema del trasferimento di dati tra UE e USA è un tema fondamentale, per la sua importanza a livello giuridico e la sua centralità nell'operatività delle aziende, poiché coinvolge lo sviluppo delle tecnologie da un lato e la tutela dei diritti fondamentali dell'uomo dall'altro.
Il 25 marzo u.s. è stato dato alla stampa un annuncio congiunto da parte di UE e USA in merito ad un possibile nuovo protocollo per il flusso translantico di dati personali tra l'Unione Europea e USA.
Il tema del trasferimento di dati tra UE e USA è un tema fondamentale, per la sua importanza a livello giuridico e la sua centralità nell'operatività delle aziende, poiché coinvolge lo sviluppo delle tecnologie da un lato e la tutela dei diritti fondamentali dell'uomo dall'altro.
Tale tematica è stata oggetto di un'approfondita disamina da parte della Corte di Giustizia dell'Unione Europea che si è espressa nella sentenza resa in data 16 luglio 2020 nella causa C-311/18 (c.d. "Sentenza Schrems II") con cui, a fronte delle istanze sollevate dall'attivista Maximilian Schrems, è stato invalidato il Protocollo Privacy Shields in forza del quale sino ad allora i trasferimenti erano ammessi.
Nella c.d. "Sentenza Schrems II" la Corte di Giustizia ha, infatti, ritenuto che i requisiti del diritto interno degli Stati Uniti, in particolare alla luce della sussistenza di alcuni programmi che consentono l'accesso delle autorità pubbliche statunitensi ai dati personali trasferiti dall'UE agli Stati Uniti a fini della sicurezza nazionale, determinassero limitazioni alla protezione dei dati personali tali da non soddisfare requisiti sostanzialmente equivalenti a quelli richiesti dal diritto dell'UE secondo il Regolamento 679/2016, "GDPR".
Non solo: la Corte di Giustizia indicava chiaramente nella citata "Sentenza Schrems II" che, una volta invalidato il Protocollo Privacy Shield in assenza di garanzie "adeguate" da parte degli USA al trattamento dei dati personali, anche gli ulteriori strumenti giuridici vincolanti proposti dalla Commissione Europea (quali clausole contrattuali standard) ai fini del trasferimento di dati personali extra UE (in linea di principio vietato dal GDPR) non sarebbero state di per sé sufficienti, in sostanza, a garantire la legittimità del trasferimento.
Tale scenario non era, peraltro, del tutto nuovo: già in passato, nel 2015, la Corte di Giustizia aveva invalidato un precedente accordo, c.d. "Safe Harbour", in forza del quale avvenivano i trasferimenti di dati personali da UE a U.S.A. ai sensi della previgente normativa (Direttiva 95/46), facendo ben comprendere agli operatori del settore la delicatezza e l'instabilità del tema.
Indubbiamente, gli effetti del sostanziale divieto di trasferimento di dati personali tra UE e USA dichiarati nel luglio 2020, in un momento di grande espansione tecnologica ed in pandemia, hanno determinato per le aziende momenti di incertezza, costretto ad implementazioni di carattere contrattuale ed in termini di accountability e, in definitiva, portato forti rallentamenti nella gestione dei processi.
A fronte delle enunciazioni di principio della "Sentenza Schrems II" i provider statunitensi, leader di mercato nei contenuti tecnologici e di marketing, nonché per l'applicazione di elevati standard di sicurezza delle reti, hanno integrato "Carte dei Diritti" in relazione al rispetto di principi enunciati dal GDPR, talvolta allargando l'offerta dei servizi mediante data center localizzati all'interno dell'UE o in Paesi in regime di adeguatezza ai sensi dell'art. 49 GDPR, ma ciò non è stato sufficiente ad attenuare la portata del problema.
In sostanza, è di fondamentale importanza che UE e USA, nel framework ancora in via di definizione, individuino un percorso stabile che contemperi i diritti di libertà delle persone fisiche enunciati dal GDPR come fondamentali (in particolare: diritto al controllo dei dati e minimizzazione del trattamento in contrasto ad ogni sistema di "sorveglianza") con il diritto di accesso alle più avanzate tecnologie ed allo sviluppo digitale.
Nell'ambito della procedura legislativa stabilita dal GDPR, il nuovo Protocollo Privacy Shields sarà esaminato quale proposta legislativa dalla Commissione nell'ambito iter legislativo propulsivo e di consultazione previsto dal GDPR e dal Regolamento 2018/1725.
Nella conferenza stampa in cui è stato formulato l'annuncio congiunto, il Presidente della Commissione Europea Ursula von der Leyen ha confermato l'importanza che il framework in via di definizione possa consentire "flussi di dati prevedibili e affidabili attraverso l'Atlantico", toccando il cuore del problema nell'affrontare una delle più importanti sfide del nostro secolo.
*a cura dell'Avv. Giovanna Boschetti, Counsel - Studio CBA
Controlled Foreign Companies (CFC), semplificazioni e coordinamento con il “Pillar 2”
di Claudio Finanze, Stefania Gestra*
-U57014522851VLn-735x735@IlSole24Ore-Web.jpg?r=86x86)
