Privacy Shield UE-USA: il trasferimento dei dati personali dopo la sentenza Schrems

Come noto, con la sentenza Schrems dello scorso 6 ottobre (Sentenza C‐362/14, Schrems v. Data Protection Commissioner) la Corte di Giustizia dell’Unione Europea ha dichiarato l’invalidità della decisione 520/2000/CE della Commissione Europea ed ha, di conseguenza, dato una evidente accelerazione ai negoziati fra Stati Uniti ed Unione Europea in merito alla possibilità di trasferimento dei dati personali.

Così, dalle ceneri del c.d. Safe Harbour, già nel febbraio del 2016 prende vita una prima bozza di quello che diventerà, pochi mesi dopo, il Privacy Shield UE-Usa, ovvero quell’accordo che, dal momento della sua entrata in vigore il 12 luglio, da una parte, tutela i diritti fondamentali di qualsiasi persona nell’Ue i cui dati personali siano trasferiti verso gli Stati Uniti mentre, dall’altra, apporta maggiore chiarezza giuridica alle imprese che operano con trasferimenti transatlantici di informazioni.

Tra le novità previste dal nuovo accordo numerosi sono i punti da sottolineare.

Anzitutto la previsione di obblighi maggiori e più rigorosi per le imprese che esercitano qualsivoglia operazione di trattamento sui dati, sul cui rispetto vigilerà la Federal Trade Commission statunitense e la cui violazione comporterà per l’impresa dure sanzioni (compresa, nei casi più gravi, l’esclusione dall’elenco della imprese aderenti all’accordo).

In quest’ambito si evidenzia inoltre l’ulteriore inasprimento delle condizioni applicabili ai successivi trasferimenti dei dati verso terzi: in tal caso vi è infatti l’obbligo di fornire alla Federal Trade Commission, su richiesta della stessa, una copia delle clausole relative alla protezione dei dati incluse nel contratto tra la società aderente al Privacy Shield ed il terzo cui sono trasferiti gli stessi.

In secondo luogo, la nuova disciplina stabilisce garanzie ed obblighi di trasparenza relativamente all’accesso alle informazioni personali da parte del Governo degli Stati Uniti a fini di sicurezza nazionale: in merito le Autorità americane hanno formalmente assicurato all’Unione che tale circostanza sarà soggetta a precisi limiti, garanzie e meccanismi di controllo e che, inoltre, sarà impedito l’accesso generalizzato ai dati. In tal senso, in caso di condotta illegittima, è stata prevista la possibilità di ricorrere ad un nuovo organismo interno al Dipartimento di Stato statunitense, il c.d. Ombudsperson, indipendente dai servizi di sicurezza nazionali.

L’accordo prevede inoltre nuove possibilità di ricorso nel caso di abuso dei dati personali dei cittadini UE. Così, da una parte, si afferma che i reclami presentati da questi ultimi dovranno essere direttamente gestiti dalla società aderente al Privacy Shield entro 45 giorni mentre dall’altra è introdotta sia la possibilità per gli stessi di accedere a meccanismi gratuiti di composizione stragiudiziale delle controversie (ADR) sia quella di rivolgersi alla rispettive Autorità nazionali di protezione dei dati, le quali, collaborando con la Federal Trade Commission, assicureranno che i reclami vengano esaminati e risolti. Solo come extrema ratio, si prevede infine la possibilità di accedere ad un meccanismo di arbitrato, la cui decisione sarà esecutiva mentre del tutto facoltativa è la possibilità per le società aderenti all’accordo di impegnarsi a rispettare eventuali pareri delle Autorità di protezione dei dati dell’UE (disposizione invece obbligatoria per le società che trattino dati personali relativi alle risorse umane).

Da ultimo, l’accordo prevede anche un meccanismo di revisione congiunta annuale da parte della Federal Trade Commission e della Commissione Europea al fine di monitorare il funzionamento dell’accordo stesso nonché il rispetto degli impegni assunti dal Governo degli Stati Uniti.

Dopo aver condotto l’analisi dei punti focali della nuova disciplina, è necessario osservare come, da un punto di vista più pratico, le modalità di adesione non variano rispetto alla precedente disciplina in quanto la partecipazione è tuttora volontaria e subordinata ad una mera autodichiarazione e in un impegno a rispettare le nuove norme.

Per rientrare nell’elenco delle imprese partecipanti al Privacy Shield, una società americana dovrà quindi depositare una autocertificazione di adeguamento al complesso delle regole in esso contenute alla Federal Trade Commission: pur trattandosi di un atto meramente volontario, quest’ultimo determina un impegno pubblico a soddisfare i requisiti richiesti che sarà valutabile ai sensi del diritto statunitense.

Nel complesso sembra però indubbio che vi sia stato un passo in avanti rispetto alle tutela prevista dal Safe Harbour ma che allo stesso modo le soluzioni adottate siano state dettate anche, e soprattutto, dalla comune esigenza di superare quanto più rapidamente possibile la situazione di vuoto normativo conseguente alla sentenza Schrems.

Appare così evidente che qualsiasi valutazione potrà essere compiuta solo alla luce delle prassi applicative che si andranno a consolidare, anche se, in un recente opinion, il Garante europeo per la protezione dei dati personali ha avuto modo di evidenziare come l’accordo, negoziato per riparare alla situazione di limbo che si era venuta a creare, rischi di essere esso stesso non abbastanza robusto da superare un futuro esame giuridico della Corte di Giustizia dell’UE nel momento in cui, il 25 maggio 2018, verrà effettivamente applicata la nuova normativa comunitaria in materia, ovvero il Regolamento EU 2016/679.

Il punto debole sembra consistere nella necessità di garantire una protezione dei dati equivalente a quella comunitaria anche nel caso in cui questi siano trasferiti all’estero, nella specie negli Stati Uniti, scongiurando del tutto il rischio di una ingerenza da parte delle autorità governative nel tentativo di un ingiustificato controllo in nome della sicurezza nazionale. A tal proposito sembrano quindi insufficienti le garanzie prestate dagli organismi federali statunitensi.

A seguito di tali valutazioni risulta, pertanto, condivisibile l’invito del Garante Europeo a sviluppare una soluzione più a lungo termine nel dialogo tra le due sponde dell’Atlantico.