* * *
I dati personali sono oggetto di un diritto fondamentale della persona e, al tempo stesso, patrimonio prezioso per le aziende: per questo, nell’odierno mercato digitale globale, il loro trasferimento gioca un ruolo fondamentale nelle relazioni commerciali tra Unione Europea e Stati Uniti.
La protezione “sostanzialmente equivalente” e il Privacy Shield: un sistema di autocertificazione con maggiori garanzie
Il trasferimento di dati personali dall’UE a paesi terzi è ammesso esclusivamente qualora il livello di protezione garantito dal paese terzo sia “ sostanzialmente equivalente” a quello garantito dalle leggi europee (1).
Nel tentativo di fornire un ombrello per il trasferimento dei dati personali altamente protettivo, UE e USA hanno adottato l’accordo Privacy Shield, un sistema ritenuto dalla Commissione Europea adeguato agli standard europei (2). Tale meccanismo, gestito dal Dipartimento del Commercio americano, offre alle società statunitensi che intendono ricevere dati personali dall’UE la possibilità di autocertificare la propria ottemperanza a stringenti obblighi di trasparenza, informazione e monitoraggio.
I dettagli relativi alle società aderenti al Privacy Shield sono facilmente accessibili dagli interessati (3) ai quali, per la prima volta, viene data la possibilità di rivolgersi e presentare reclami direttamente all’Ombudsperson, il difensore civico dedicato all’esame dei reclami degli interessati relativi all’accesso da parte delle autorità di intelligence americane, per finalità di sicurezza nazionale, ai dati personali trasferiti dall’UE agli USA (4).
Se il Privacy Shield rappresenta indubbiamente un reciproco sforzo UE-USA nel bilanciamento della tutela del diritto fondamentale alla vita privata e della garanzia dell’efficiente prosecuzione delle attività commerciali, l’adeguatezza del livello di protezione dei dati personali garantito dalle leggi americane rimane sotto la lente di ingrandimento delle istituzioni UE.
I metodi alternativi per il trasferimento dei dati a Paesi terzi: verso l’invalidazione delle Clausole Contrattuali Standard?
Uno dei metodi alternativi più utilizzati dalle società per il trasferimento dei dati personali extra UE è quello delle clausole contrattuali standard (CCS) che, approvate dalla Commissione Europea, prevedono obblighi reciproci di tutela dei dati personali in capo al soggetto esportatore e importatore di dati, quali, ad esempio, l’adozione di misure di sicurezza e la garanzia da parte dell’importatore che le leggi applicabili allo stesso non impediscono l’adempimento degli obblighi contrattuali di protezione dei dati (5).
Nel “secondo round” del caso Schrems, la Corte Suprema Irlandese: (i) ha di nuovo espresso “fondate preoccupazioni” circa l’adeguatezza del livello di protezione dei dati personali garantito dalle leggi americane; e (ii) ha chiarito che le CCS non sono in sé sufficienti a rimediare l’eventuale inadeguatezza del livello di protezione fornito dalle leggi del paese terzo cui i dati vengono trasferiti, tanto da ritenere necessario un rinvio alla Corte di Giustizia dell’Unione Europea sulla validità della relativa decisione di adeguatezza (6).
Ciò significa che i contratti dal contenuto standard sino ad oggi utilizzati per garantire un flusso costante di dati personali tra UE e paesi terzi anche, ad esempio, tra società appartenenti allo stesso gruppo, potrebbero presto non costituire più strumento valido per il trasferimento (7).
Un dialogo difficile tra interlocutori che parlano due lingue profondamente diverse
Il terreno della protezione dei dati personali è una cartina tornasole delle differenze di approccio tra UE e USA nella protezione dei dati personali tra cui, ad esempio:
- L’assenza di un’autorità americana garante della protezione dei dati personali. Dalle decisioni e dagli interventi delle istituzioni europee e dall’introduzione della figura dell’Ombudsperson nella cornice del Privacy Shield risulta evidente il tentativo europeo di creare un equivalente americano, politicamente indipendente, delle autorità garanti della protezione dei dati personali. Tuttavia, l’Ombudsperson è nominato direttamente dal Dipartimento di Stato americano e il Privacy Shield è gestito dal Dipartimento del Commercio, entrambi branche del potere esecutivo.
- Le leggi americane a tutela della privacy e la common law “third party doctrine”. Il quadro normativo americano a protezione della privacy è un mosaico di leggi federali e statali, la cui interpretazione è ancora influenzata dalla “third party doctrine”, teoria giuridica di common law che nega protezione costituzionale ai dati personali che l’interessato volontariamente riveli a soggetti terzi (8).
* * *
L’UE sembra continuare a muoversi nell’illusione che il trasferimento dei dati personali verso paesi terzi, dunque su scala globale, debba avvenire solo ed esclusivamente applicando gli standard europei, così rischiando di scivolare facilmente in valutazioni politiche.
A fronte dell’“effetto domino” scatenato da Schrems I, la sfida più che mai attuale delle aziende operanti in attività commerciali cross-border UE-USA è quella di procedere ad un’attenta revisione delle proprie strategie e procedure di trasferimento dei dati personali, cercando di tutelare il diritto fondamentale alla riservatezza, mantenendo al tempo stesso intatte le opportunità di business.
* * *
Read the english version of this post.
(1) CGUE, sentenza C-362/14, Schrems v. Data Protection Commissioner, 6 ottobre 2015.
(2) Decisione di esecuzione (UE), 2016/1250 della Commissione del 12 luglio 2016.
(3) https://www.privacyshield.gov/list
(4) L’Ombudsperson, alto funzionario del Dipartimento di Stato americano, è un meccanismo istituito con l’accordo Privacy Shield e dedicato alla gestione di tutti i reclami (non esclusivamente rivolti a società iscritte al Privacy Shield) relativi all’accesso da parte dei servizi di intelligence americani ai dati personali trasferiti dall’UE agli USA per motivi di sicurezza nazionale.
(5) Irish High Court, sentenza del 3 ottobre 2017, Data Protection Commissioner v Facebook and Maximilian Schrems.
(6) Al 15 novembre 2017 i quesiti per il rinvio pregiudiziale non sono ancora stati formulati: qualora l’ordinanza di rinvio pregiudiziale venisse depositata entro fine del 2017, verosimilmente la CGUE non deciderà prima del 2019. Pertanto, in pendenza della decisione della CGUE, le CCS rimangono valide.
(7) Al 15 novembre 2017 i quesiti per il rinvio pregiudiziale non sono ancora stati formulati: qualora l’ordinanza di rinvio pregiudiziale venisse depositata entro fine del 2017, verosimilmente la CGUE non deciderà prima del 2019. Pertanto, in pendenza della decisione della CGUE, le CCS rimangono valide.
(8) Katz v. United States, 389 U.S. 347, 351 (1967).