giovedì 3 settembre 2020

La Corte di Giustizia invalida il Privacy Shield (Sentenza della Corte di giustizia dell'Unione europea nella causa C-311/18)

Con la sentenza del 16 luglio 2020 la Corte di Giustizia dell’Unione Europea ha dichiarato l’invalidità della decisione 2016/1250 della Commissione sull'adeguatezza della protezione offerta dal regime dello scudo UE-USA per la protezione dei dati.

La decisione trae origine da ricorso presentato da un cittadino austriaco iscritto alla rete sociale Facebook, volto a far vietare i trasferimenti dei suoi dati da Facebook Ireland a Facebook Inc. situata nel territorio degli Stati Uniti.

La questione è stata sottoposta alla Corte di Giustizia dell’Unione Europea la quale ha verificato la validità della decisione 2016/1250 rispetto ai requisiti risultanti dal GDPR, anche alla luce delle disposizioni della Carta dei diritti fondamentali dell’Unione Europea che garantisce il rispetto della vita privata e familiare, la protezione dei dati personali e diritto ad una tutela giurisdizionale effettiva.

Secondo la Corte, le limitazioni della protezione dei dati che risultano dalla normativa interna degli Stati Uniti in materia di accesso e di utilizzo, da parte delle autorità statunitensi, di tali dati trasferiti dall’Unione, non rispondono al principio di proporzionalità e di necessità del trattamento dei dati.

La Corte ha rilevato infatti che per taluni programmi di sorveglianza, attuati per motivi di sicurezza nazionale, non esistono limiti o autorizzazione particolari per l’utilizzo dei dati di soggetti terzi né garanzie adeguate.  Inoltre la stessa normativa, pur se prevede requisiti che devono essere rispettati dalle autorità statunitensi nell’attuare i programmi di sorveglianza considerati, non conferisce agli interessati diritti nei confronti delle autorità statunitensi azionabili dinanzi ai giudici.

Alla luce di tale grado di ingerenza nei diritti fondamentali delle persone i cui dati sono trasferiti verso il suddetto paese terzo e dell’assenza di tutele giurisdizionali adeguate, la Corte ha dichiarato invalida la decisione sull'adeguatezza dello scudo per la privacy (Privacy Shield).

A seguito della pronuncia della Corte di Giustizia, il Comitato europeo per la protezione dei dati ha reso noto che sono in fase di valutazione le conseguenze della sentenza stessa sugli strumenti di trasferimento diversi dalle clausole contrattuali standard (SCC) e dalle norme vincolanti d’impresa (BCR). Il parametro per l’adeguatezza delle garanzie che stanno prendendo in considerazione, così come previsto dal GDPR è l’"equivalenza sostanziale".

Visto il clima di incertezza venutosi a creare, soprattutto per le aziende europee che si avvalgono di imprese statunitensi per alcuni servizi in outsourcing, il Comitato Europeo per la protezione dei dati ha promulgato delle FAQ, che verranno integrate a seguito di ulteriori analisi della pronuncia di invalidità.

Nelle FAQ, tra le altre cose, il Comitato ha garantito la massima collaborazione e cooperazione con le autorità di controllo nazionali al fine di evitare decisioni divergenti e garantire approcci coerenti, in particolare qualora debbano essere vietati determinati trasferimenti verso paesi terzi.