Sostituto l’accordo Safe harbor con lo EU-Usa privacy shield

Sostituto l’accordo Safe harbor con lo EU-Usa privacy shield

Una storica sentenza che ha profondamente modificato le modalità con cui i dati personali di cittadini europei possono essere trasferiti negli Stati Uniti. Di Adalberto Biasiotti.

Pubblicità

Modelli di documenti - Procedure per la gestione della Security nei luoghi di lavoro Tutti i modelli di procedure pronti all'uso per il responsabile della security (Security Manager)

Le rivelazioni di Edgard Snowden ed altre informazioni, che sono apparse sui giornali, hanno compromesso in modo definitivo la credibilità dell’accordo Safe harbor, che per anni e anni ha governato il trasferimento di dati personali dall’Europa negli Stati Uniti. Questa sentenza della corte europea ha obbligato la commissione europea a rielaborare rapidamente, di concerto con gli uffici  federali americani, il precedente accordo, giungendo al nuovo accordo, chiamato EU- USA privacy shield.

La direttiva sul trattamento dei dati personali dispone che il trasferimento di questi dati verso un paese terzo possa  avere luogo solo se il paese terzo garantisce un livello di protezione soddisfacente ed equivalente a quello garantito in Europa. Sulla base di queste considerazioni anni fa venne stipulato un accordo fra gli Stati Uniti e l’Europa, chiamato safe harbor. Le aziende che rispettavano questo accordo potevano ricevere dati personali provenienti dall’Europa. Molte aziende americane hanno utilizzato questo accordo, ad esempio Facebook, Google ed altri, perché erano assai di più i dati che dall’Europa venivano trasferiti negli Stati Uniti, che non i dati che si spostavano in direzione contraria.

Un cittadino austriaco, che aveva letto sui giornali le rivelazioni di Edgard Snowden, in merito alle attività di intercettazione della NSA national security agency, si è rivolto al garante irlandese per fargli dichiarare che il diritto e la prassi statunitensi non offrivano una sufficiente garanzia in tema di protezione di dati personali, che venivano trasferiti dall’Europa negli Stati Uniti.

L’autorità garante irlandese ha respinto la denuncia ed ecco il motivo per cui l’alta corte di giustizia irlandese, investita della causa, si è rivolta alla corte di giustizia dell’unione europea, per avere un parere su questa situazione  alquanto controversa.

La commissione europea riteneva che, grazie all’accordo Safe harbor, i dati personali di cittadini europei fossero sufficientemente protetti, mentre l’alta corte irlandese aveva molti dubbi in merito.

Una prima pronuncia di questa sentenza, oltremodo interessante, riguarda il fatto che, anche se esiste una decisione della commissione europea che autorizza il trasferimento di dati personali verso paesi terzi, non è detto che tale decisione sia assoluta. Essa può infatti essere sottoposta all’esame della corte di giustizia dell’unione europea, che può anche esprimere un parere negativo.

È questo un principio importante perché ricordo ai lettori che oggi la commissione europea ha compilato un elenco abbastanza lungo di paesi verso i quali è possibile trasferire liberamente i dati personali, perché in tali paesi esiste una legislazione che la commissione ha ritenuto soddisfacente. Appare evidente che se la corte di giustizia dell’unione europea non condivide questa decisione, la valutazione definitiva è quella della corte e non quella della commissione.

In ultima analisi, spetta alla corte il compito di decidere se una decisione della commissione è valida o no.

A questo punto la corte ha cominciato a studiare attentamente l’accordo Safe harbor ed ha rilevato alcuni aspetti veramente preoccupanti.

Ad esempio, la corte ha rilevato che quell’accordo era applicabile alle imprese americane che lo sottoscrivevano liberamente e che invece le autorità pubbliche degli Stati Uniti non erano inquadrate in quell’accordo. Questa è la ragione per la quale la national security agency, come autorità pubblica, non era obbligata a rispettare l’accordo Safe harbor.

La corte ha continuato, rilevando che le regole in vigore negli Stati Uniti fanno sì che il diritto alla sicurezza nazionale ed il pubblico interesse superano ampiamente qualsiasi altra disposizione limitativa, come appunto quella presente nell’accordo Safe harbor.

Un’altra considerazione avanzata dalla corte riguarda ad esempio il fatto che mentre nel diritto europeo è presente un vincolo generalizzato sulla conservazione dei dati personali, negli Stati Uniti non esiste alcuna indicazione del genere e quindi i dati potrebbero essere conservati per un tempo illimitato, violando un diritto fondamentale della vita privata di un cittadino.

Infine, per coronare l’analisi acribica dell’accordo Safe harbor, la corte ha osservato che la normativa vigente non prevedeva alcuna  facoltà, per il singolo interessato al trattamento, di accedere ai dati personali che lo riguardavano, onde ottenerne la verifica, la rettifica o la cancellazione.

È questa una violazione dello Stato di diritto che è stata ritenuta del tutto inaccettabile da parte della corte.

Subito dopo la pubblicazione di questa sentenza, è apparso evidente che l’accordo Safe harbor non poteva continuare a rimanere in vigore e questa è la ragione per la quale è stata accelerata al massimo la messa a punto del nuovo accordo, disponibile in banca dati.

Adalberto Biasiotti

Sentenza della Corte (Grande Sezione) del 6 ottobre 2015 (domanda di pronuncia pregiudiziale proposta dalla High Court (Irlanda) – Maximillian Schrems / Data Protectionregiudiziale proposta dalla High Court (Irlanda) – Maximillian Schrems / Data Protection Commissioner (Causa C-362/14) (Rinvio pregiudiziale – Dati personali – Protezione delle persone fisiche con riguardo al trattamento di tali dati – Carta dei diritti fondamentali dell’Unione europea – Articoli 7, 8 e 47 – Direttiva 95/46/CE – Articoli 25 e 28 – Trasferimento di dati personali verso paesi terzi – Decisione 2000/520/CE – Trasferimento di dati personali verso gli Stati Uniti – Livello di protezione inadeguato – Validità – Denuncia di una persona fisica i cui dati sono stati trasferiti dall’Unione europea verso gli Stati Uniti – Poteri delle autorità nazionali di controllo)

Il Garante per la Protezione dei Dati Personali - Autorizzazione al trasferimento di dati all'estero tramite l'accordo denominato "EU-U.S. Privacy Shield - Registro dei provvedimenti n. 436 del 27 ottobre 2016.

Decisione di Esecuzione (UE) 2016/1250 della Commissione del 12 luglio 2016 a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio, sull'adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy.

Guida europea allo scudo UE-USA per la privacy

Vai alla BANCA DATI SULLA PROTEZIONE DEI DATI PERSONALI

Questo articolo è pubblicato sotto una Licenza Creative Commons.

I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.