La Corte di giustizia dell’Unione europea si è pronunciata lo scorso 16 luglio 2020  in merito al regime di trasferimento dei dati tra l’Unione europea e gli Stati Uniti invalidando la decisione di adeguatezza del Privacy Shield, adottata nel 2016 dalla Commissione europea in seguito alla decadenza dell’accordo Safe Harbor. Vediamo dunque cosa ha stabilito la Corte nella suddetta sentenza che cambia notevolmente il panorama giuridico inerente il trasferimento dei dati negli USA.

La Corte ha ritenuto che i requisiti del diritto interno degli Stati Uniti comportino limitazioni alla protezione dei dati personali che non consentano di ritenere i requisiti giuridici sussistenti in tale Paese equivalenti a quelli previsti in Europa. Difatti la Corte ritiene non in linea con la nostra legislazione europea, la possibilità per le autorità pubbliche degli Stati Uniti di accedere per fini connessi alla sicurezza nazionale ai dati personali trasferiti dall’UE, peraltro non riconoscendo agli interessati l’esercizio dei diritti in sede giudiziaria contro le autorità statunitensi. Alla luce di tale grado di ingerenza nei diritti fondamentali delle persone i cui dati sono trasferiti verso il suddetto paese terzo, la Corte ha dichiarato invalida la decisione sull’adeguatezza dello scudo per la privacy sino ad oggi sussistente (Privacy Shield). La sentenza ovviamente produce effetti di abnorme portata in particolare sui trattamenti oggetto di trasferimento alla data della pronuncia. Difatti, annullando la decisione relativa allo scudo per la privacy senza preservarne gli effetti, la Corte rende illegittimo qualsiasi trasferimento negli USA con effetto immediato salvo onerare il Titolare del trattamento di analizzare caso per caso le garanzie di trasferimento valutandone ogni singolo esito. Diviene dunque illegale ogni trasferimento basatosi sul Privacy Shield a prescindere pertanto da trasferimenti all’interno dello stesso gruppo (avendo applicato le cosiddette Binding Corporate Rules) o con soggetti terzi. Eseguita l’analisi caso per caso (tipologie di dati trasferiti, misure di sicurezza adottate, misure organizzative sussistenti, ecc.)  laddove si possa garantire che la normativa statunitense non interferisca con l’adeguato livello di protezione dovuto si potrà procedere con il trasferimento, altrimenti si dovrà provvedere ad interrompere immediatamente il trasferimento.

Ricordiamo che una alternativa è il trasferimento subordinato al consenso dell’interessato. Il consenso ovviamente deve essere esplicito, quindi riferito espressamente al particolare trasferimento o insieme di trasferimenti, ed informato, ovvero con idonea comunicazione circa i possibili rischi del trasferimento. Per quanto riguarda i trasferimenti necessari all’esecuzione di un contratto tra l’interessato e il titolare del trattamento, occorre tenere presente che i dati personali possono essere trasferiti solo laddove tale trasferimento sia oggettivamente necessario all’esecuzione del contratto. Infine, rispetto ai rapporti con soggetti pubblici, i trasferimenti possono avvenire non tanto per la qualifica del soggetto pubblico stesso ma solo laddove ricorrano motivi di interesse pubblico.

Insomma, la situazione si fa particolarmente complessa. Allo stato attuale è in corso l’analisi da parte del Comitato europeo per la protezione dei dati della sentenza della Corte per stabilire quali misure supplementari sia giuridiche, tecniche o organizzative possano considerarsi valide per effettuare il trasferimento.

Ricordiamo che qualora ci si avvalga di un Responsabile esterno che per lo svolgimento dell’attività di trasferimento dati di cui siamo Titolari negli USA, dovremo intervenire contrattualmente per validare la legittimità analizzato il caso di specie dovendo altrimenti risolvere il contratto per il venir meno dei presupposti giuridici di legittimità.

Sotto il profilo pratico i Titolari del trattamento dovranno dunque predisporre il blocco del trasferimento dei dati negli USA salvo una delle ipotesi succitate. E restiamo in attesa di comprendere quali indicazioni emergeranno dalla Commissione. Una attesa che può avere costi organizzativi molto alti per le imprese italiane o in alternativa costringere le stesse ad accollarsi dei rischi non calcolati al momento del trasferimento dei dati. Un cambio della situazione giuridica in corsa piuttosto “dannoso”.