Privacy shield: un autunno caldo

Il Privacy Shield è un accordo che regolamenta il trasferimento di dati tra Unione europea e USA. L’accordo protegge i diritti fondamentali delle persone nell´UE i cui dati personali vengano trasferiti negli Stati Uniti e stabilisce regole certe per le imprese che effettuano trasferimenti di dati.

Come noto, il trasferimento di dati personali al di fuori dell’Unione Europea è vietato,  a meno che non ricorrano alcune particolari circostanze (o, per dirla con il legislatore europeo “garanzie”) dei meccanismi, cioè, che consentano di proteggere i dati anche al di fuori dell’UE.

Una di queste garanzie è che il Paese Terzo presenti delle caratteristiche di adeguatezza rispetto alla tutela dei dati personali, caratteristiche che vengono vagliate dalla Commissione UE e, se sufficienti, esitano in una decisione di adeguatezza.

Nel caso degli Stati Uniti tale decisione non coinvolge l’intero Paese, ma è limitata ad un protocollo, e, di conseguenza, sono consentiti i trasferimenti solo verso imprese che hanno spontaneamente deciso di aderire a tale protocollo.

Non si tratta però di una decisione stabile: è previsto un sistema di revisione annuale, che potrebbe modificarne gli standard e, in astratto, anche caducare l’intero protocollo.

Nel luglio 2018 il Parlamento Europeo ha osservato che il Privacy Shield non risponde ai requisiti per il trasferimento dei dati all’estero fissati dalla Corte di Giustizia UE, e ha chiesto, ove tali standard di protezione non venissero alzati, di sospenderlo, entro il primo settembre 2018.

In caso di sospensione i trasferimenti verso imprese USA poggiati esclusivamente sul Privacy Shield diverrebbero illeciti (potrebbero invece continuare i trasferimenti basati, ad esempio, anche su un altro meccanismo come le clausole contrattuali standard).

La Commissione UE non pare intenzionata a dar seguito alla richiesta di sospensione inoltrata dal Parlamento, ed ignorare tale richiesta fa parte delle sue prerogative. Occorrerà però vedere che peso avrà la posizione espressa dal Parlamento nel sistema di adeguamento già previsto dal Privacy Shield stesso.

Tutto bene quindi?

Non esattamente.

Sempre nel luglio 2018 anche L’EDPB (organo che ha sostituito il WP29 e che ha voce in capitolo nel sistema di vaglio annuale del Privacy Shield) si è espresso sul protocollo di adeguatezza e ha sintetizzato la sua posizione sull’incontro avuto con l’autorità indipendente che in USA vigila sul protocollo in questo modo:

“The EDPB pointed out that the meeting with the Ombudsperson was interesting and collegial but did not provide a conclusive answer to these concerns and that these issues will remain on top of the agenda during the Second Annual Review (scheduled for October 2018). In addition, it calls for supplementary evidence to be given by the US authorities in order to address these concerns. Finally, the EDPB notes that the same concerns will be addressed by the European Court of Justice in cases that are already pending, and to which the EDPB offers to contribute its view, if invited by the CJEU.”

Le preoccupazione già manifestate dal WP29 in ordine al Privacy Shield quindi non sono state sedate e verranno riproposte dall’EDPB in sede di revisione, a ottobre. In particolare a preoccupare l’EDPB è non solo il funzionamento dell’Autorità USA e la sua stabilità, ma anche il rapporto di questa con i servizi di intelligence.

Infine, come correttamente ricorda L’EDPB la Corte di Giustizia è stata chiamata a pronunciarsi sul Privacy Shield. Quando venne chiamata a decidere dell’adeguatezza del Safe Harbor, l’esito fu tranciante. E’ probabilmente questo il rischio più significativo cui è esposto il Privacy Shield e, leggendo in maniera coordinata le preoccupazioni manifestate dal Parlamento Europeo e dall’EDPB, pare abbastanza ovvio che, in assenza di adeguamenti significativi, la Corte sarà di nuovo chiamata a decidere tra diritti fondamentali e ragioni economiche: data la funzione, le prerogative e i precedenti della Corte stessa, il giudizio si profila abbastanza scontato.

Iscriviti alla newsletter