La Corte di Giustizia dell’Unione Europea, con sentenza emessa lo scorso 6 ottobre nella Causa C-362/14 (M. Schrems vs Data Protection Commissioner), ha stabilito che gli accordi per la gestione e il trasferimento dei dati personali tra aziende americane ed europee potranno essere sospesi dai singoli Stati membri quando non sussistano le garanzie di un adeguato livello di protezione dei dati.
Così statuendo, la Corte ha di fatto dichiarato l’invalidità della decisione della Commissione Europea sul c.d. programma “Safe Harbour” (Porto Sicuro): ovvero l’accordo tra Unione Europea e Stati Uniti che consentiva alle imprese americane, quali Facebook o Google (ma non solo, poiché sono infatti 4.500 le aziende americane che hanno utilizzato il Safe Harbor), di poter conservare i dati personali degli utenti europei sia su server presenti nell’Ue che su quelli dislocati negli Usa.
Il Safe Harbour era stato autorizzato dalla Commissione Ue con la Decisione 520/2000/CE (la c.d. “Decisione di Safe Harbour”), riconoscendo che i c.d. Principi di Safe Harbour sulla Privacy, approvati dal Dipartimento del Commercio degli Stati uniti d’America, avrebbero assicurato una adeguata protezione dei dati personali trasferiti dall’UE oltre oceano, nel rispetto quindi della Direttiva europea sulla privacy (Direttiva 95/96/EC). In pratica, le società americane per poter aderire al programma avrebbero dovuto rispettare i setti principi: 1) Gli utenti devono essere avvertiti sulla raccolta e l’utilizzo dei propri dati personali; 2) Ciascuno deve essere libero di rifiutare la raccolta dei dati e il loro trasferimento a terzi; 3) I dati possono essere trasferiti solo a organizzazioni che seguono principi adeguati di protezione dei dati; 4) Le aziende devono fornire garanzie contro il rischio che i dati vengano smarriti; 5) Devono essere raccolti solo i dati rilevanti ai fini della rilevazione; 6) Gli utenti hanno il diritto di accedere ai dati raccolti ed eventualmente a correggerli o cancellarli se sono inesatti; 7) Queste regole devono essere efficacemente attuate. Una volta che l’impresa ha aderito al programma, deve rinnovare la certificazione ogni 12 mesi.
In estrema sintesi, con tale sentenza si sancisce che, dalla data della sua emissione, con effetto definitivo, il Safe Harbor dovrà invece sottostare alla giurisdizione di ogni singolo stato dell’Unione, che potrà sospendere, se lo riterrà opportuno, il trasferimento dei dati personali verso i server americani.
La decisione della Corte europea è stata emessa in seguito all’azione proposta da un utente austriaco di Facebook, Sig. M. Schrems, il quale, nel giugno del 2013, presentò una denuncia presso l’autorità garante della privacy Irlandese, dove il social network ha sede legale, affermando che, muovendo dal caso Snowden, le leggi degli Stati Uniti non offrissero sufficiente protezione ai dati trasferiti dall’Europa. L’Authority Irlandese respinse il reclamo e la Corte Suprema Irlandese, a cui il Sig. Schrems si rivolse, in sede di rinvio pregiudiziale, rinviò alla Corte di Giustizia Europea, che con la recente sentenza ha accolto le istanze dell’attivista.
La Corte europea ha infatti statuito che “l’esistenza di una decisione della Commissione, secondo la quale un paese terzo assicura un adeguato livello di protezione dei dati personali, non può né escludere né ridurre i poteri delle Autorità garanti nazionali. Pertanto, anche se la Commissione ha adottato una propria decisione, le Autorità nazionali, allorquando ricevano un reclamo da parte di un cittadino, devono poter valutare in completa indipendenza se il trasferimento dei dati in un paese terzo soddisfi i requisiti previsti dalla Direttiva”.
L’aspetto più rilevante della decisione riguarda però il fatto che la Corte ha altresì dichiarato invalida la Decisione Safe Harbour, adducendo, come principale motivo, il fatto che il programma Safe Harbour non impedisce alle pubbliche autorità degli Stati Uniti di interferire con i diritti fondamentali delle persone.
La sentenza della Corte europea ha importanti conseguenze per le imprese europee che trasferiscono dati personali verso gli USA. Infatti, le Autorità garanti nazionali non saranno più vincolate dalla Decisione Safe Harbour e potranno adottare i necessari provvedimenti nel caso in cui dovessero ritenere che i trasferimenti oltre Oceano non rispettino la normativa sulla privacy. Di conseguenza, le imprese saranno tenute a verificare i contratti in essere con le proprie controparti statunitensi e, qualora tali contratti facciano affidamento sul Safe Harbour come base giuridica per il trasferimento dei dati, dovranno far ricorso agli strumenti giuridici alternativi disponibili per trasferire dati personali verso gli Stati Uniti, come le clausole standard approvate dalla Commissione Europea.
In un comunicato stampa reso pubblico in questi giorni, il Gruppo di Lavoro Article 29 Data Protection Working Party (organo consultivo indipendente istituito in conformità all’articolo 29 della Direttiva 95/46/CE sulla protezione dei dati personali) ha sottolineato l’urgenza dell’avvio di un negoziato che individui una posizione condivisa dei governi sui trasferimenti internazionali.
Il Working Party conclude auspicando che le aziende siano coscienti dei “rischi che si assumono nel trasferimento dei dati” e che adottino tempestivamente soluzioni legali e tecniche atte a mitigare tali rischi nel rispetto delle norme comunitarie sulla data protection.
Pertanto, entro la fine di gennaio 2016, si dovrà giungere a una conclusione che soddisfi le autorità europee: nel caso in cui Europa e gli Stati Uniti non dovessero trovare un accordo, i garanti europei si impegneranno ad avviare tutti i provvedimenti necessari e appropriati, che prevedono la possibilità di una azione coordinata.