La recente decisione della Corte di Giustizia Europea di invalidare il Privacy Shield, anche noto come “scudo per la privacy”, se da un lato fa esultare gli attivisti della privacy, dall’altro avrà delle ripercussioni notevoli sulle multinazionali americane ed europee che fanno dell’utilizzo e del trasferimento dei dati il proprio business.
Il Privacy Shield framework è stato progettato dal Dipartimento del Commercio degli Stati Uniti e dalla Commissione europea, nonché dall’amministrazione svizzera, per fornire alle società di entrambe le sponde dell’Atlantico un meccanismo per conformarsi ai requisiti di protezione dei dati durante il trasferimento di dati personali dall’Unione europea e dalla Svizzera negli Stati Uniti a sostegno del commercio transatlantico.
Il programma Privacy Shield, che è gestito dall’International Trade Administration (ITA) all’interno del Dipartimento del Commercio degli Stati Uniti, è un meccanismo di autocertificazione attraverso cui le società con sede negli USA che intendano ricevere dati personali dall’Unione europea, si impegnano a rispettare i principi in esso contenuti e a fornire agli interessati adeguati strumenti di tutela, pena l’eliminazione dalla lista delle società certificate (“Privacy Shield List”) da parte del Dipartimento del Commercio statunitense e possibili sanzioni da parte della Federal Trade Commission. Per l’adesione a un Privacy Shield Framework da parte di un’organizzazione USA era sufficiente auto-certificare presso il Dipartimento del Commercio (tramite sito Web) e impegnarsi pubblicamente a conformarsi ai requisiti del Framework. Sebbene l’adesione allo scudo per la privacy fosse volontaria, una volta che un’organizzazione assumeva l’impegno pubblico di conformarsi ai requisiti, l’impegno diventava esecutivo ai sensi della legge degli Stati Uniti. L’adesione al Privacy Shield da parte della società destinataria dei dati stabilita negli USA permetteva alle società europee di rispettare le norme di diritto nazionale che recepiscono l’articolo 25 della direttiva 95/46/CE (art. 44 del Codice in materia di protezione dei dati personali – d. lgs. n. 196/2003). La Commissione europea aveva ritenuto lo strumento idoneo a fornire un livello adeguato di protezione per i dati personali trasferiti da un soggetto nell’UE a una società americana. Il GPDR, che si applica ad un trasferimento di dati personali effettuato a fini commerciali da un operatore economico stabilito in uno Stato membro verso un operatore economico stabilito in un Paese terzo, stabilisce che il trasferimento dei dati può avvenire solo se il paese terzo garantisce un adeguato livello di protezione, sostanzialmente equivalente a quello garantito dalle rigide regole europee. Oggi la Commissione viene smentita dalla Corte di Giustizia UE che ritiene, invece, il Privacy Shield uno strumento inadeguato a garantire i cittadini europei rispetto alle leggi statunitensi in materia di privacy e sorveglianza dei dati, normativa, quella statunitense, che sancisce il primato degli interessi della sicurezza nazionale e dell’interesse pubblico. Le ripercussioni saranno immediate e notevoli: non solo colossi come Facebook, Google e Apple, ma anche una miriade di aziende minori non saranno più conformi e dovranno ripensare le loro strategie e le loro politiche di gestione e raccolta dei dati.
