La Commissione europea smentita dalla Corte di Giustizia Ue sul trasferimento dei dati personali dei cittadini. Oggi i giudici della Corte Ue hanno invalidato l’accordo per il trasferimento di dati tra Europa e Stati Uniti. Noto come “Privacy Shield”, per la Corte l’accordo stretto tra la Commissione europea e gli Usa non fornisce ai cittadini europei sufficienti garanzie contro le leggi statunitensi in materia di sorveglianza e sicurezza della privacy.
Gli Usa si sono detti “profondamente delusi” per la decisione della Corte Ue che ha invalidato il Privacy Shield. “Stiamo studiando la decisione per comprenderne appieno l’impatto pratico”, ha dichiarato il segretario Usa al Commercio Wilbur Ross.
Non è stata una buona giornata neanche per la Commissione europea (che ieri ha ricevuto un altro stop dal tribunale Ue sulla controversia fiscale con Apple e Irlanda).
La decisione di oggi potrebbe avere importanti implicazioni per il modo in cui le società tecnologiche (Facebook, Google &co) gestiscono i dati dei cittadini europei.
D’ora in poi è probabile che tali trasferimenti siano sottoposti a un maggiore controllo e che l’Ue e gli Stati Uniti lavorino per un nuovo accordo che garantisca la protezione della privacy.
#ECJ: the Decision on the adequacy of the protection provided by the EU-US Data Protection Shield is invalidated, but @EU_Commission Decision on standard contractual clauses for the transfer of personal data to processors established in third countries is valid #Facebook #Schrems pic.twitter.com/BgxGAvuq3T
— EU Court of Justice (@EUCourtPress) July 16, 2020
LA DECISIONE DELLA CORTE DI GIUSTIZIA UE
La Corte di giustizia Ue ha dichiarato invalida la decisione della Commissione sull’adeguatezza della protezione offerta dal regime dello scudo per la privacy (Privacy Shield) Ue-Usa.
Secondo la Corte, “ai sensi del regolamento generale sulla protezione dei dati (Gdpr) il trasferimento dei suddetti dati verso un Paese terzo può avvenire, in linea di principio, solo se il Paese terzo considerato garantisce a tali dati un adeguato livello di protezione”.
Allo stesso tempo il più alto tribunale europeo considera valide le clausole contrattuali standard per il trasferimento di dati personali a responsabili del trattamento stabiliti in paesi terzi.
Le clausole contrattuali standard sono utilizzate da molte aziende per trasferire dati in paesi che non rientrano nel regolamento generale sulla protezione dei dati dell’Ue. In termini pratici, ciò significa che i paesi extra-UE, o le aziende che desiderano trasferire i dati degli utenti europei all’estero, dovranno garantire un livello equivalente di protezione alle rigide leggi europee sui dati.
Una sentenza arrivata a sorpresa, dal momento che annulla di fatto un accordo di trasferimento dati ampiamente utilizzato dall’Ue e dagli Stati Uniti.
LA DICHIARAZIONE DELLA COMMISSIONE UE
“La Corte di giustizia ha dichiarato non valida la decisione relativa allo scudo per la privacy, ma ha anche confermato che le clausole contrattuali standard rimangono uno strumento valido per il trasferimento di dati personali a responsabili del trattamento stabiliti nei paesi terzi” ha dichiarato alla stampa la commissaria Ue alla trasparenza Věra Jourova. “Ciò significa che i flussi di dati transatlantici possono continuare sulla base dell’ampia cassetta degli attrezzi per i trasferimenti internazionali fornita dal Gdpr “, ha precisato. Aggiungendo che le “regole aziendali vincolanti” e le clausole contrattuali standard sono opzioni disponibili.
Jourava ha annunciato che la Commissione ha già contattato le controparti statunitensi per iniziare il processo di discussione di una via da seguire ora che il Privacy Shield è inutilizzabile.
LA REAZIONE DEGLI STATI UNITI
“Profonda delusione”. Hanno commentato così gli Stati Uniti la decisione della Corte Ue che ha invalidato il Privacy Shield. “Stiamo studiando la decisione per comprenderne appieno l’impatto pratico”, ha dichiarato il segretario Usa al Commercio Wilbur Ross. “Resteremo in stretto contatto con la Commissione Ue. Speriamo di limitare le conseguenze negative per le relazioni economiche transatlantiche pari a 7,1 trilioni di dollari che sono così vitali per i nostri rispettivi cittadini, aziende e governi”.
L’IMPORTANZA DEL TRASFERIMENTO TRANSATLANTICO DEI DATI
Il segretario Ross ha specificato inoltre che i “flussi di dati sono essenziali non solo per le aziende tecnologiche, ma anche per le aziende di ogni dimensione in ogni settore. Mentre le nostre economie continuano il loro recupero post-Covid-19, è fondamentale che le aziende — compresi gli oltre 5.300 partecipanti attuali al Privacy Shield — siano in grado di trasferire i dati senza interruzione, coerentemente con le forti protezioni offerte dallo scudo per la privacy”.
FESTEGGIANO GLI ATTIVISTI PER LA PRIVACY
L’annullamento del “Privacy Shield” rappresenta senz’altro una vittoria per gli attivisti della privacy che da tempo accusano gli Stati Uniti di pratiche invasive di sorveglianza inammissibili da applicare anche sui cittadini europei.
INVALIDATO IL PRIVACY SHIELD
Conosciuto come Privacy Shield, l’acccordo stretto tra Ue e Usa ha lo scopo di proteggere i dati personali degli europei che vengono trasferiti al di fuori dell’Unione Europea quando le aziende firmano contratti con società non Ue su servizi di outsourcing, tra cui buste paga e infrastruttura cloud.
L’accordo prevede attualmente una politica di trasferimento dei dati per oltre 5.000 aziende statunitensi.
In realtà Privacy Shield ha preso il posto di un precedente patto di trasferimento di dati, noto come Safe Harbour, invalidato dalla Corte europea nell’ottobre 2015 dopo che Edward Snowden aveva rivelato la pratica dello spionaggio digitale di massa da parte delle agenzie statunitensi.
LE CONSEGUENZE PER FACEBOOK, GOOGLE &CO
La decisione dei giudici potrebbe creare diversi problemi alle multinazionali americane e europee che proprio sul trasferimento di questi dati, e sul loro utilizzo, basano il loro business. La sentenza potrebbe costringere infatti società come Facebook, Apple o Google a dover ripensare la propria strategia industriale o ad affrontare costi notevoli per la creazione di centri per la raccolta dati in Europa.
In caso contrario le aziende potrebbero subire pesanti multe per violazione delle leggi sulla privacy dell’Ue.
SENZA DIMENTICA IL GDPR
Entrato in vigore il 25 maggio 2018, il regolamento generale sulla protezione dei dati (Gdpr) ha l’obiettivo di aumentare il controllo delle persone sulle loro informazioni personali. Le aziende che non si conformano sono soggette a multe fino al 4% del fatturato annuo globale.
IL CASO SCATENANTE FACEBOOK IRELAND VS SCHREMS
La battaglia legale è iniziata nel 2013, quando l’attivista per la privacy austriaco Max Schrems ha presentato una denuncia al Commissario irlandese per la protezione dei dati. Schrems voleva bloccare il trasferimento dei suoi dati Facebook da Facebook Ireland a server appartenenti a Facebook Usa.
Sostenne che, alla luce delle rivelazioni di Edward Snowden, la legge degli Stati Uniti non offriva una protezione sufficiente contro la sorveglianza da parte delle autorità pubbliche.
L’agenzia irlandese per la protezione dei dati, che è il principale regolatore di Facebook, ha portato il caso dinanzi all’Alta corte irlandese, che ha quindi chiesto assistenza alla Corte di Giustizia Ue.
Nel 2015 la Corte di giustizia europea ha stabilito che l’accordo Safe Harbor (vigente all’epoca), non era valido e non proteggeva adeguatamente i cittadini europei.
Schrems è diventato famoso proprio per aver spinto a sostituire le precedenti regole sulla privacy previste dal Safe Harbor.
Dopodiché la Commissione europea e gli Stati Uniti hanno impiegato più di un anno per concordare un’alternativa, l’attuale Privacy Shield.
L’ultimo caso — C-311/18 Facebook Ireland and Schrems — è stato presentato alla Corte di giustizia dell’Unione europea dopo che Schrems ha contestato l’uso da parte di Facebook delle clausole standard in quanto prive di sufficienti garanzie di protezione dei dati.
Lo scorso dicembre, un consulente della Corte di Giustizia ha affermato che tali meccanismi di trasferimento dei dati erano legali con la premessa che potrebbero essere bloccati se i paesi che ricevono tali informazioni non soddisfano gli standard europei di protezione dei dati.
“La Corte ha chiarito per la seconda volta che c’è uno scontro tra la normativa sulla privacy dell’Ue e la legge sulla sorveglianza degli Stati Uniti”, ha dichiarato oggi Schrems. Per l’attivista austriaco l’unica soluzione è l’introduzione da parte degli Stati Uniti di una solita normativa sulla privacy di tutte le persone, compresi gli stranieri.
“La riforma della sorveglianza diventa quindi cruciale per gli interessi commerciali della Silicon Valley”, ha concluso Schrems.