L’Europa dice addio al Privacy Shield
Privacy Shield: sentenza cruciale
Con una sentenza cruciale, il 16 luglio 2020, la Corte di Giustizia Europea ha di fatto annullato la validità dell’accordo noto come Privacy Shield. Lo Scudo Privacy tra UE e USA è, o per meglio dire era, l’accordo contenente le regole per trasferire i dati dall’Unione Europea verso gli Stati Uniti.
La sentenza nella causa Facebook Ireland Ltd – Maximillian Schrems lo dichiara inadeguato in quanto, alla luce della normativa GDPR, non offre sufficienti garanzie ai cittadini europei rispetto alle leggi statunitensi in materia di sorveglianza e sicurezza della privacy.
Considerando quanto stabilito dal capo V del GDPR, “Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali”, ovvero negli articoli da 44 a 50, la Corte ha sottolineato come l’articolo 45 paragrafo 1 preveda che:
“Il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale è ammesso se la Commissione ha deciso che il paese terzo, un territorio o uno o più settori specifici all’interno del paese terzo, o l’organizzazione internazionale in questione garantiscono un livello di protezione adeguato.”
Non ritenendo soddisfacenti i livelli di tutela previsti dal Privacy Shield, ha stabilito che restino valide le clausole contrattuali tipo come stabilite nel Regolamento Europeo stesso.
Saranno molte le aziende multinazionali che dovranno rivedere la propria politica di trasferimento dati verso gli Stati Uniti e appoggiarsi, quindi, non allo Scudo ma alle clausole di cui sopra. Questo almeno fino a quando la Commissione Europea non individuerà un nuovo protocollo che regoli i rapporti tra Vecchio e Nuovo Continente.
“In considerazione dei rapporti commerciali tra l’UE e gli Stati Uniti, la Sentenza – oltre che sul piano politico – ha un risvolto molto importante su quello economico. Non si pensi difatti soltanto alle multinazionali, ma che a tutte quelle aziende che per il proprio business hanno la necessità di trasferire dati oltreoceano.” Così commenta Alessandro Cecchetti, Socio e Manager Colin & Partners.
Ma che cosa devono fare adesso queste aziende?
“In primis – continua – tengo a ricordare che il risvolto non è soltanto documentale/contrattuale, ma soprattutto tecnologico. E’ necessario pertanto gestire il rischio. Quindi occorre anzitutto valutare i progetti prossimi alla conclusione che comportano un trasferimento UE-USA – anche con grandi player – affinché questi siano già ab-origine allineati rispetto alla sentenza, evitando di aderire a servizi non conformi. Si pensi banalmente ai contratti in corso di sottoscrizione, che, va da sé, non dovranno richiamare le garanzie del Privacy Shield.
E’ inoltre necessario mappare nuovamente tutti i flussi UE-USA resi compliant rispetto al Privacy Shield, e rivederli nel rispetto delle clausole contrattuali tipo ritenute adeguate.
Ricordo che la decisione della Corte è vincolante per i giudici nazionali, e ciò con evidenti risvolti aziendali e di business.”