RIMANE PROBLEMATICO IL TRASFERIMENTO DI DATI PERSONALI VERSO GLI STATI UNITI: IL GARANTE EUROPEO BOCCIA IL PRIVACY SHIELD / by Giampietro Malusa

Come noto, il trasferimento di dati personali dall’Italia verso gli Stati Uniti è lecito in presenza di almeno una delle seguenti condizioni:

a) l'interessato ha manifestato il proprio consenso espresso o, se si tratta di dati sensibili, in forma scritta;

b) è necessario per l'esecuzione di obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato, ovvero per la conclusione o per l'esecuzione di un contratto stipulato a favore dell'interessato;

c) tra società appartenenti al medesimo gruppo, in presenza di BCC (Binding Corporate Rules, stringenti accordi contrattuali in materia di privacy), adottate in accordo con il Garante della privacy;

d) tra il Titolare del trattamento e il destinatario dei dati personali sono state stipulate SCC (Standard Contractual Clauses, redatte secondo un rigido schema prestabilito dall’Unione Europea);

e) alcune ulteriori condizioni particolari (salvaguardia di un interesse pubblico, salvaguardia della vita o dell’incolumità fisica di un terzo, investigazioni difensive, ecc.).

In assenza di almeno una di tali condizioni, il soggetto destinatario dei dati poteva essere aderente all’accordo c.d. “Safe Harbor”, un accordo tra UE e USA contenente le regole delle modalità attraverso cui le società statunitensi possono gestire dati personali di cittadini europei.

Nell’ottobre 2015, tuttavia, la Corte di Giustizia dell’Unione Europea ha dichiarato non valido il Safe Harbor, togliendo alle società (americane, ma anche europee) il principale strumento per il trasferimento dei dati personali verso gli Stati Uniti in assenza del consenso dell’interessato, in quanto non garantiva un sufficiente livello di protezione dei dati degli interessati.

Il Safe Harbor è stato sostituito, nel febbraio 2016, dal Privacy Shield, un nuovo accordo che dovrebbe risolvere la spinosa questione, e fornire una nuova “copertura” giuridica a tali trasferimenti di dati.

Ma sembra ora che neppure il Privacy Shield possa dare soluzione al problema: il Garante Europeo Giovanni Buttarelli ha dichiarato che al “Privacy Shield” servono “miglioramenti significativi” per rispettare i principi chiave della protezione dei dati personali, con particolare riguardo ai criteri di necessità e proporzionalità, nonché ai meccanismi di ricorso. 

Il Garante Europeo, con la sua opinione, esprime parere negativo in merito alla possibilità che il “Privacy Shield”, così come delineato, possa superare un futuro vaglio della Corte dell’Unione Europea.

In particolare, per garantire una tutela efficace, il “Privacy Shield” deve fornire un’adeguata tutela dei dati contro la sorveglianza indiscriminata, come pure obblighi su supervisione, trasparenza, ricorso e diritti degli interessati.

Quanto al nuovo Regolamento europeo in materia di trattamento dei dati, che sarà effettivo negli Stati membri a partire dal maggio 2018, il Garante Europeo sottolinea che esso sarà applicabile a qualsiasi forma di trattamento dei dati, incluso il trasferimento. E’ quindi chiaro perché il Garante Europeo prema affinché “il legislatore prenda il suo tempo per trovare una soluzione adeguata e a lungo termine”, tenuto anche conto delle osservazioni e preoccupazioni condivise dal Garante con europarlamentari, aziende, società civile, Università e altri interlocutori.

In particolare, Giovanni Buttarelli dichiara che le società internazionali che forniscono beni e servizi nell’Unione Europea dovrebbero essere assolutamente chiare in merito a tutte le regole che esse devono rispettare.

Quello che invece non è a questo punto per niente chiaro è come possano le società europee (oggi e nel prossimo futuro, in attesa della soluzione auspicata) trasferire legittimamente dati personali negli Stati Uniti in assenza del consenso dell’interessato, senza dover necessariamente mettere in atto strumenti giuridici particolarmente complessi come le Binding Corporate Rules o le Standard Contractual Clauses.

Fonte: Garante Europeo per la Protezione dei Dati