Lo scorso 16 Luglio presso la Corte di Giustizia Europea (CGUE), è stata emessa una sentenza sul trasferimento di dati in paesi extra UE, nella fattispecie gli Stati Uniti di America, con una portata storica, che ha lasciato spiazzati i titolari e responsabili del trattamento in tutta Europa. Questi, infatti, a seguito degli effetti della sentenza, si trovano di fronte a una decisione che rende a oggi impossibile questa tipologia di trasferimento verso gli Stati Uniti, laddove i Garanti Europei al momento non si sono ancora pronunciati. Il tutto è partito a causa del ricorso effettuato dal giovane austriaco Maximilian Schrems che, nella sua guerra personale contro Facebook, dopo avere fatto inutilmente ricorso all’Autorità Irlandese della Privacy, si è rivolto alla Corte di Giustizia Europea che ha portato all’invalidità, dopo il caso Safe Harbour del 2000, anche il Privacy Shield Framework siglato nel 2016 tra le autorità EU e gli USA quale decisione di adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio.

E’ molto facile, infatti, che le aziende che si trovano all’interno del territorio EU utilizzino tecnologie che comportino, magari all’insaputa delle stesse, il trasferimento automatico e immediato di numerosissime informazioni contenenti dati personali allorquando i database gestiti dai propri PMS si trovino in storage su server USA (dove si trovano i maggiori rappresentanti di tali tecnologie in cloud).

La recente sentenza Schrems II (C-3111/18) della CGUE sul Privacy Shield potrebbe essere definita come un grosso meteorite che si è scagliato sul Continente Europeo, in relazione al trasferimento dei dati personali in Paesi Extra UE, specialmente e particolarmente, nella fattispecie, verso gli Stati Uniti di America.

Tale sentenza ha dato dei forti segnali che denotano la situazione di impasse attuale.

Uno particolarmente di natura politica, per cui si evince che non vengono tollerate invasioni in ambito privacy in tutte le latitudini, anche quando si parla di questioni prettamente di sicurezza nazionale (molto care alle intelligence USA). Appare infatti che i due paesi hanno due pesi e due misure in questioni legate alla sicurezza, per cui ci si trova in una situazione di grande incertezza.

In particolare, poi, Consiglio e Commissione Europea non si trovano allineate sulle posizioni e prese di decisione della suddetta Corte. Si tratta quindi di una sentenza che ha anche risvolti politici, con una parte tecnica importante, e il sistema Europeo considerato come modello da esportare (Il Regolamento EU Generale sulla Protezione dei Dati Personali – GDPR 679/2016 come esempio di normativa sul trattamento dati a livello globale).

La sentenza ribadisce, come era stato per quella relativa al Safe Harbour dell’Ottobre 2015 della causa C-362/14 sempre su ricorso di Max Scherms, come questi accordi siano di difficile attuazione, non tanto per le questioni di cyber sicurezza (infatti negli Stati Uniti su questo punto sono all’avanguardia) quanto per l’incompatibilità di valori tra Europa e Stati Uniti.

In questo contesto andranno anche verificate le impostazioni delle Clausole Contrattuali Tipo come previste dall’art 46 del GDPR (i.e Standard Contractual Clauses) considerate invece valide dalla stessa sentenza, che rappresentano dei veri e propri contratti tipo da utilizzare per il trasferimento dati verso Paesi Extra EU.

Certo che, se la sentenza tende a invalidare l’intero sistema di rapporti EU-USA per le motivazioni testé approfondite, appare moto improbabile che le Clausole Contrattuali Tipo ritenute dalla CGEU valide possano trovare un campo di applicabilità in un contesto non omogeneo e poco conciliabile. Si potrebbe individuare, infatti, una incompatibilità di fondo tra il Sistema Europeo ed il Sistema Stati Uniti rispetto all’applicazione di principi fondamentali legati al rispetto di dei diritti e delle libertà fondamentali, nonché della dignità delle persone fisiche, della riservatezza e dell’identità personale (principi fondamentali attorno a cui si muove l’azione del GDPR 679/2016).

Già in passato, comunque, il Team per la Revisione del Gruppo di Lavoro WP29, che ha raccolto informazioni sul funzionamento concreto e sull’applicazione della Privacy Shield, nonché sull’evoluzione della normativa e della giurisprudenza in materia di privacy negli Stati Uniti, aveva evidenziato particolari criticità nell’ambito di applicazione dello stesso, in particolare sia sugli aspetti commerciali che sugli aspetti relativi all’accesso da parte del governo USA ai dati personali trasferiti sotto la Privacy Shield ai fini dell’applicazione della normativa e della sicurezza nazionale.

Degno di nota ce il fatto che, tra le altre cose, con la sentenza Schrems II è stato anche analizzato il modello USA nella sua costituzionalità intrinseca: la Corte, infatti, ritiene che neanche il modello costituzionale del Paese può sfuggire ad analisi di compatibilità.

Ne esce comunque rafforzato il principio della Responsabilizzazione (i.e. Accountability/ex art 5 paragrafo 2 del GDPR) come una torcia nel buio. L’Europa, a baluardo della protezione dei diritti e libertà fondamentali del cittadino, vuole mantenere sotto controllo la circolazione dei suoi dati. E proprio per questo la CGUE si è trovata nella posizione scomoda di dover prendere una decisione senza possibilità transitorie in questa fattispecie e casistica.

Come detto, non si tratta tanto di un problema legato alla sicurezza quanto legato a valori UE non negoziabili che l’Europa vuole esportare in un modello globale di gestione e su cui i titolari e responsabili del trattamento si devono adattare ed adeguarsi. Una sentenza tecnico politica in un campo in cui gli Stati Uniti stanno faticando (cit. Snowden e Cambridge Analytica) e per cui sta cambiando lo scenario, e in cui senza la salvaguardia delle clausole contrattuali tipo ci sarà sicuramente da effettuare un assessment di compatibilità.

Le conseguenze, comunque, non sono così semplici poiché, se non si supera giuridicamente questa impasse giuridica, tutte le società che risiedono in USA e che consentono il trasferimento sulla base della loro adesione al Privacy Shield, all’indomani della sentenza in oggetto smettono (in teoria) di essere GDPR Compliant e quindi, a meno che non facciano immediatamente ricorso ad un’altra base giuridica di cui al titolo V del GDPR 679/2016, non potranno più trattare i dati personali degli utenti dei loro clienti.

Si pensi, ad esempio, a Google, Facebook, Apple (quelle con sede in USA, non le società europee), a Mailchimp, a ActiveCampaign, FaceApp, Magento (e alla quantità inimmaginabile di dati che conserva). Al momento sono quasi 5400 le società USA che si affidano a questo “scudo” per garantire un livello di protezione dei dati adeguato. Adesso, invece, dovranno invece trovare altra soluzione giuridica in linea con il GDPR per ritornare ad essere compliance, eventualmente anche spostando sede legale e server all’interno del territorio EU. Amazon invece, per citare un altro esempio, seguendo le indicazioni della sentenza CGUE Scherms II, affidandosi alle clausole contrattuali tipo non sarebbe coinvolta.

Autori – Amedeo LEONE & Massimo BRUNO