Privacy Shield: uno strumento inadeguato fin dalla sua nascita?

I trasferimenti di dati fra l’Unione Europea e gli Stati Uniti

Privacy Shield: uno strumento inadeguato fin dalla sua nascita?

Il già precario “scudo” del Privacy Shield che metteva al riparo da contestazioni i trasferimenti di dati fra l’Unione Europea e gli Stati Uniti è venuto meno a seguito della sentenza pronunciata dalla Corte di Giustizia UE il 16 luglio 2020 nel caso C-311/18, che vede coinvolte l’Autorità Garante irlandese, Facebook Ireland e il sig. Maximillian Schrems. La storica decisione arriva dopo una sentenza simile già emanata nel 2015 e che aveva azzerato lo “scudo” predecessore del Privacy Shield. In quell’occasione però non si era minata la fiducia della Commissione Europea circa l’affidabilità del partner americano relativamente al trattamento dei dati effettuato oltre oceano, invece, questa seconda sentenza rischia di avere effetti più incisivi, costringendo la Commissione a modificare il suo approccio.

Il “Safe Harbor”

La sentenza del 16 luglio ha origini lontane, infatti, prende i natali da una decisione che risale a circa vent’anni fa, al 2000, quando eravamo nella piena vigenza della Direttiva CE 95/46 in ambito di privacy. La direttiva del 1995 consentiva infatti il trasferimento di dati all’esterno dell’UE solo nel caso in cui questi paesi garantissero un livello di protezione adeguato ovvero nel caso in cui le parti negoziassero clausole contrattuali in grado di offrire garanzie sufficienti. Riguardo ai rapporti tra Europa e Stati Uniti in relazione al trasferimento dei dati personali sono stati inizialmente regolamentati con la Decisione CE del 26 luglio 2000 n. 2000/520/CE, che ha permesso la creazione del “Safe Harbor“, ovvero un accordo a cui potevano aderire, a determinate condizioni, le società statunitensi interessate a trattare dati in Europa al fine di garantire un livello di protezione in linea con quello previsto dall’allora normativa europea in materia.

Sotto lo scudo del Safe Harbor si è dato inizio ad una “normalizzazione” dei trasferimenti dati fra Stati Uniti e Unione Europea nonostante, poco dopo la decisione della Commissione Europea, gli Stati Uniti avessero preso, a seguito degli attentati dell’11 settembre 2001, una deriva “molto poco garantista” circa il trattamento dei dati personali dei propri cittadini e degli stranieri su suolo americano. La Commissione Europea diede poca rilevanza al fenomeno fino a quando, nell’ottobre 2015, non dovette affrontare la questione. Infatti, il 6 ottobre 2015, decidendo la causa C-362/14, la Corte di Giustizia Europea ha annullato il Safe Harbor con un perentorio “la decisione n. 200/520/CE è invalida” argomentando che tale meccanismo non era uno strumento adeguato a garantire il rispetto degli standard di sicurezza in tema di protezione dei dati previsti dalla normativa UE.
La pronuncia della corte nasce da un attivista austriaco, il sig. Schrems, che aveva adito l’autorità irlandese nel 2013, per lamentare che la sussidiaria europea di Facebook Inc. avesse illegittimamente trasferito i suoi dati (e quelli di tutti gli altri utenti del social) al di fuori dei confini dell’Unione senza adeguate garanzie. Schrems vide rigettate le sue richieste dall’Autorità garante irlandese e si rivolgeva quindi alla High Court la quale rimetteva la questione in rinvio pregiudiziale alla Corte di Giustizia UE, affinché valutasse se il “Safe Harbor” potesse legittimare il trasferimento dei dati di cittadini europei negli Stati Uniti.

Pochi anni prima, il clamore e le rivelazioni dovute al caso di Edward Snowden avevano rivelato al mondo le pesanti ingerenze della Casa Bianca relative alla protezione dei dati di cittadini americani ed europei sul suolo statunitense. A seguito di ciò crebbe a dismisura, in Europa, la preoccupazione circa il trattamento dei nostri dati da parte degli USA. La Corte di Giustizia raccolse queste preoccupazioni e, pronunciandosi sulla questione pregiudiziale, dichiarò appunto l’invalidità della Decisione che aveva istituito il Safe Harbor.

L’accordo tra UE e USA: il Privacy-Shield Framework

Dalle ceneri del “Safe Harbor”, abbattuto dalla Corte di Giustizia, è poco dopo nato un nuovo accordo fra UE e USA, detto Privacy-Shield Framework adottato dalla Commissione Europea con Decisione UE IP/16/216. Con tale accordo la Commissione ha cercato di smussare molti degli aspetti criticati del “Safe Harbor”, rafforzando le tutele per i cittadini UE, anche se era già allora evidente che non si trattava di una soluzione davvero garantista e che esistevano ipotesi in cui i dati dei cittadini europei non sarebbero stati al sicuro da ingerenze USA. L’accordo, in particolare, si preoccupava di ridurre i casi in cui le società statunitensi potevano conferire dati a terzi, nonché di ampliare le possibilità di accesso ai dati e di aumentare i controlli in capo al Dipartimento del Commercio USA.

Non veniva però affrontata a dovere la più ostile e antica delle questioni, ovvero, le possibili ingerenze governative circa il trattamento dei dati dei cittadini europei in USA e pertanto, siccome le argomentazioni con cui la Corte di Giustizia UE aveva abbattuto il Safe Harbor non erano state superate con il Privacy Shield, molti immaginavano che anche questo secondo “scudo” sarebbe presto caduto.

Gli Stati Uniti, nel frattempo, non hanno posto alcun limite alle ingerenze nei confronti delle società americane e questo a prescindere dal fatto che i dati riguardassero cittadini statunitensi, europei o di altre nazionalità. Anzi, il governo USA è andato addirittura oltre nel 2018, approvando il Clarifying Lawful Overseas Use of Data (CLOUD) Act, norma che consente al governo USA di chiedere ad organizzazioni americane di accedere ai dati ospitati anche su server transfrontalieri. Il Cloud Act può essere opposto solo in caso di sottoscrizione di appositi executive agreements con “qualifying foreign States” e, inoltre il Privacy Shield non rientra tra tali executive agreements.

In conclusione, si può affermare che lo scudo del Privacy Shield è nato come risposta parziale e inadeguata per sostituire precedenti “scudi” privacy che erano stati spazzati via dalla Corte di Giustizia UE ma non ha mai affrontato con adeguata risolutezza i problemi che avevano portato all’abolizione di tali risposte normative e, di conseguenza, anche quest’ultimo strumento ha subito la medesima fine: la sua cancellazione.