Game Over Privacy Shield

La fine del Privacy Shield

Sono già passati tre mesi dal giorno (16 Luglio 2020) nel quale la Corte di Giustizia Europea, nella causa C-311/18 promossa dal noto attivista Maximiliam Schrems, ha dichiarato invalida la decisione di esecuzione UE 2016/1250 della Commissione, con cui veniva stabilita l’adeguatezza del Privacy Shield per i trasferimenti dei dati personali dall’Unione Europea verso gli Stati Uniti d’America.

Addio Privacy Shield: e ora?

La decisione della Corte di Giustizia Europea ha di fatto messo nei guai, rendendole teoricamente non più “GDPR compliant”, tutte quelle società che risiedono negli USA e che basavano il trasferimento dei dati sullo strumento in oggetto, il Privacy Shield.

Parliamo di realtà quali, ad esempio:

  • Google;
  • Facebook;
  • Apple (le società californiane);
  • Mailchimp;
  • ActiveCampaign;
  • FaceApp;
  • Magento;
  • e tutte le altre oltre 5300 realtà che facevano del Privacy Shield il loro punto di forza per certificare l’adeguato livello di protezione dei dati raccolti.

Privacy Shield Invalidato

Tutte queste realtà si trovano ora, quindi, nella condizione di dover ricorrere ad altri strumenti di garanzia tra quelli previsti dal GDPR (articoli 44-50), oppure di trasferire sedi e server all’interno della UE.

I trasferimenti di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo o verso un’organizzazione internazionale sono consentiti, infatti, a condizione che l’adeguatezza del Paese terzo o dell’organizzazione sia riconosciuta tramite decisione della Commissione europea (art. 45 del Regolamento UE 2016/679).

In assenza di tale decisione, il trasferimento è consentito ove il titolare o il responsabile del trattamento forniscano garanzie adeguate che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati (art. 46 del Regolamento UE 2016/679). 

Tra gli strumenti di garanzia, una strada che sembrerebbe percorribile per queste realtà è quella di affidarsi alle Clausole Contrattuali Standard (che ad esempio Amazon adotta già da tempo); tramite le quali l’azienda dovrà garantire che i dati dell’utente non siano utilizzati, negli Stati Uniti, in modalità non congrue con le norme europee, fornendo una garanzia adeguata.
Il fatto però che le agenzie di sicurezza americane abbiano, per legge, accesso privilegiato ai dati rende quantomeno difficoltoso garantire una tutela adeguata.

La Corte di Giustizia Europea ha osservato che, oltre ad aderire alle Clausole Contrattuali Standard, l’esportatore e l’importatore di dati personali potrebbero dover accettare misure supplementari per garantire un livello adeguato di protezione dei dati trasferiti, ma non ha specificato quali potrebbero essere tali misure.

Il Comitato Europeo per la Protezione dei Dati (EDPB) ha recentemente comunicato tramite alcune FAQ che sta analizzando la decisione della Corte di Giustizia Europea e fornirà al più presto indicazioni per orientarsi sulle misure aggiuntive che si potranno adottare.

A tre mesi dalla caduta del Privacy Shield, i giochi sono quindi ancora aperti…