La Corte di Giustizia Europea con sentenza del 16 Luglio ha abolito il Privacy Shield, ovvero lo “scudo” che permetteva alle aziende statunitensi di trattare i dati dei cittadini dell’UE. Il Privacy-Shield Framework, adottato dalla Commissione Europea con Decisione UE IP/16/216, permetteva alle aziende statunitensi che decidevano di aderirvi di ottenere una sorta di “certificazione” che i dati dei cittadini dell’UE erano trattati in maniera lecita e per gli scopi per cui erano stati raccolti.
Grazie a questo scudo, le aziende statunitensi hanno potuto continuare a svolgere il proprio commercio con i cittadini dell’UE (ad esempio gli acquisti on line) e le aziende dell’UE hanno continuato a utilizzare servizi proposti da aziende statunitensi (ad esempio l’invio di newsletter tramite Mailchimp).
Negli USA non esiste una precisa normativa sulla protezione dei dati, come invece avviene nell’UE ormai da diversi anni tramite l’applicazione di Direttive specifiche e in ultimo con il GDRP 679/2016, ed inoltre negli USA il Governo ha forti ingerenze nel trattamento dei dati raccolti dalle aziende statunitensi. Queste sono le motivazioni principali che sono alla base della sentenza di abolizione del Privacy-Shield.
E’ molto interessante conoscere il motivo da cui è partita la causa. In sintesi, essendo la vicenda molto lunga e complessa: un cittadino austriaco, Maximillian Schrems, diversi anni fa, ha richiesto a Facebook una copia dei propri dati sul social network. Il documento ricevuto da Schrems ammontava a 1.200 pagine e conteneva una inaspettata mole di dati inclusi tutti i soggetti con cui aveva mai stretto amicizia (anche cancellati), tutti i messaggi scambiati (inclusi quelli “cancellati” che erano solamente accompagnati dalla dicitura in coda “cancelled”) e i dati di chi altri si era loggato a Facebook dal suo computer. Questo dovrebbe farci riflettere attentamente sul senso che abbiamo della privacy dei nostri dati, anche alla luce del fatto che Facebook utilizza i nostri dati a scopo commerciale. Schrems ha quindi fatto causa a Facebook in quanto, essendo cittadino austriaco ovvero dell'UE, riscontrava illecito l'eventuale utilizzo dei suoi dati sia da parte di Facebook che da parte del Governo USA. La Corte di Giustizia Europea gli ha dato ragione.
Cosa comporta l’abolizione del Privacy-Shield?
I dati dei cittadini dell’UE non possono più essere trattati negli USA. Occorre quindi ricercare nell’art. 49 del GDPR la migliore deroga applicabile. Tenuto conto che le aziende USA non possono rifiutare l’ingerenza del Governo USA sul trattamento dei dati, anche di cittadini dell’UE (ovvero sono costrette a comunicare tutti i dati se richiesti sulla base della normativa FISA - Foreign Intelligence Surveillance Act), la sottoscrizione di clausole contrattuali standard non è applicabile.
L’unica strada percorribile sembrerebbe quindi quella di ottenere il consenso da parte dell’interessato, informandolo di tutti i rischi. Ad esempio, l'azienda che invia le newsletter tramite Mailchimp dovrà informare l'interessato che il suoi dati sono trasferiti in un paese terzo che non applica misure specifiche di protezione dei dati, ed ottenerne il consenso.
Oppure di trasferire i dati all’interno dell’UE o in Paesi che hanno sottoscritto decisioni di adeguatezza con la Commissione Europea (https://www.garanteprivacy.it/home/provvedimenti-normativa/normativa/normativa-comunitaria-e-internazionale/trasferimento-dati-estero)
Questo nuovo scenario merita sicuramente un’attenta analisi da parte delle aziende, per non incorrere nelle pesanti sanzioni stabilite dal GDPR 679/2016.