Con la sentenza del 16 luglio 2020 relativa alla causa C-311/18, la Corte di Giustizia europea (CGUE) ha dichiarata invalida la decisione 2016/1250 della Commissione sull’adeguatezza delle tutele offerte dal Privacy Shield, l’accordo UE-USA per la protezione dei dati personali oggetto di trasferimento transatlantico. La più alta corte d’Europa ha stabilito che l’accordo lascia i cittadini europei – clienti o utenti di compagnie americane operative in Europa – privi di diritti fondamentali e di adeguate garanzie relative ai dati personali, nonché troppo esposti alla sorveglianza del governo americano.

Come ha affermato la Corte nel comunicato stampa di presentazione della sentenza, “le limitazioni alla protezione dei dati personali derivanti dalla legislazione domestica degli Stati Uniti, all’accesso e all’utilizzo da parte delle autorità pubbliche statunitensi di tali dati trasferiti dall’Unione Europea (…) non sono circoscritte in modo da soddisfare requisiti sostanzialmente equivalenti a quelli richiesti dalla legislazione dell’UE”. In altre parole, la normativa statunitense è troppo carente per proteggere i dati dei cittadini dell’UE nella misura richiesta dal diritto comunitario; diritto UE che – anche dopo l’entrata in vigore del GDPR – dispone che il trasferimento dei suddetti dati verso un Paese terzo possa avvenire, in linea di principio, solo se tale Paese terzo garantisce un adeguato livello di protezione.

Il Privacy Shield, è in vigore dal 2016 e più di 5.000 aziende a stelle e strisce sono iscritte allo “scudo” garantendo di operare secondo i suoi termini ritenuti adeguati dalla Commissione europea. In seguito alla sentenza della Corte, le società statunitensi che operano in Europa o che trattano dati di clienti europei dovranno ricorrere ad altri strumenti previsti dal Titolo V del GDPR per legittimare il trasferimento dei dati verso Paesi terzi non adeguati, quali le Binding Corporate Rules (BCR) per i trasferimenti infra gruppo o le clausole contrattuali standard (SCC). Riguardo a queste ultime, la sentenza del 16 luglio ne ha confermato la fruibilità (tra data exporter e destinatario) confermando valida la decisione 2010/87 della Commissione. Ciò detto, anche alla luce della sentenza, il ricorso a tali strumenti alternativi pare – comunque sia – non privo di rischi perché, ad esempio in tema di SCC, l’importatore dei dati dovrà pur sempre assicurare che il contesto regolamentare in cui riceve e tratta i dati fornisce adeguate garanzie a tutela degli interessati (e la CGUE con quest’ultimo giudizio ha chiarito che gli USA non forniscono tali garanzie).

La sentenza si applica ai dati che aziende come Facebook raccolgono in UE e trasferiscono sui propri server USA, ed è originata dai ricorsi dell’attivista austriaco Maximillian Schrems che, sempre nel contestare le politiche di Facebook, aveva già indotto la CGUE ad invalidare nel 2015 l’accordo “Safe Harbor” poi sostituito dal Privacy Shield.

La decisione può avere un grande impatto non solo sui modelli di business di grandi attori della digital economy – come Facebook, Amazon, Apple, Microsoft, Salesforce, e Google – probabilmente costretti a dover ripensare la propria strategie negoziali e a dover valutare la creazione di data center in Europa, ma inciderà anche su migliaia di aziende più dimensionate (basti pensare agli innumerevoli sviluppatori USA di app utilizzate da utenti europei).

La Computer & Communications Industry Association – che rappresenta molte delle grandi aziende tecnologiche tra cui Amazon, Facebook e Google – ha espresso in un comunicato le proprie preoccupazioni: “Questa decisione crea incertezza giuridica per le migliaia di grandi e piccole aziende su entrambe le sponde dell’Atlantico che si affidano al Privacy Shield per il loro quotidiano trasferimento di dati commerciali. Confidiamo che i responsabili delle decisioni dell’UE e degli Stati Uniti svilupperanno rapidamente una soluzione sostenibile, in linea con la legislazione dell’UE, per garantire la continuazione dei flussi di dati che sono alla base dell’economia transatlantica“.

A questo punto la soluzione più auspicabile sarebbe il rimpiazzo del Privacy Shield con un nuovo accordo tra la Commissione e le autorità americane (magari in tempi brevi, similmente a quanto accadde nel 2016 col passaggio da Safe Harbor a Privacy Shield). Ma una negoziazione in tal senso non sarà agevole finché gli Stati Uniti non garantiranno uno status di adeguatezza a lungo termine che rispetti la protezione dei dati come diritto fondamentale (se non di nome, di fatto) della persona. In via generale, gli Stati Uniti dovrebbero adottare un framework federale di protezione della privacy e dei dati che metta gli utenti al centro del “gioco” e fornisca loro diritti di ricorso e di controllo sui dati. In specie, agli utenti UE dovrebbe essere garantito un vero diritto di ricorso in caso di violazioni dei diritti dovute a un trattamento illecito dei dati effettuato dalle compagnie USA o ad indebite intrusioni da parte delle autorità statunitensi.