È notizia di queste ore che la Corte di Giustizia Europea ha bocciato il Privacy Shield, l’accordo tra Usa e Ue per il trasferimento e il trattamento dei dati personali verso gli USA che era in vigore dal luglio 2016.

Nel contempo, ritiene valida la decisione 2010/87 relativa alle clausole contrattuali tipo (SCCs) per il trasferimento di dati personali a incaricati del trattamento stabiliti in Paesi terzi ai sensi del regolamento generale sulla protezione dei dati, purché il paese di destinazione garantisca un adeguato livello di protezione, equiparato a quello del GDPR, dei dati personali che andrà a trattare.

Già da due anni si stava mettendo in dubbio l’adeguatezza del c.d. “Scudo”, in seguito alle vicende del celebre caso Facebook-Cambridge Analityca, due delle società inserite proprio tra quelle operanti sotto l’egida del Privacy Shield.

Ora si aggiungono ulteriori dubbi sull’ingerenza massiccia di enti governativi americani nelle banche dati trasferite dall’UE, che travalicano le eccezioni all’accordo previste nello stesso in ambito di lotta al terrorismo, attività di polizia e per procedimenti legali.

La Corte di Giustizia Europea, in questi anni, aveva già richiesto diversi interventi da parte degli USA, riguardo il controllo sul trasferimento e trattamento dati, come la revisione periodica della lista delle società aderenti al Privacy Shield, una revisione della normativa americana per un puntuale allineamento della stessa a quella a livello europeo prevista dal GDPR, le necessità di rivalutare alcuni aspetti essenziali per le libertà degli utenti e la gestione dei loro dati personali, e una maggiore garanzia per quello che riguarda la gestione e la possibilità di accesso a dati personali di cittadini non americani da parte di soggetti pubblici americani.

Con la sentenza di questo 16 luglio 2020, la Corte Europea afferma quindi che “…le limitazioni alla protezione dei dati personali derivanti dalla legislazione degli Stati Uniti all’accesso e all’utilizzo da parte delle autorità pubbliche americane di tali dati trasferiti dall’UE non sono circoscritte in modo da soddisfare i requisiti sostanzialmente equivalenti a quelli richiesti dalla legislazione europea”.

Il Privacy Shield, dunque, che doveva garantire una protezione dei dati dei cittadini dell’Unione Europea trasferiti negli USA non ottempera ai suoi doveri, e la sentenza blocca pertanto il trasferimento di dati personale dall’UE verso gli USA con effetto immediato.

Nel contempo, come abbiamo detto, però, convalida gli accordi per le clausole contrattuali standard (SCCs), purchè il paese di destinazione garantisca l’adeguata protezione. Questa deve essere controllata, quindi, di volta in volta dal trasferente, riportando indietro di alcuni anni le procedure di trasferimento ed elaborazione dati per i paesi extra europei.

Ciò comporterà sicuramente problemi alle grandi aziende digitali come appunto Facebook, Amazon, Google, Apple, ma soprattutto dei grossi problemi alle migliaia di piccole e medie aziende di entrambi i fronti atlantici presenti ora nella lista del Privacy Shield che si servono di server extra europei per il trattamento dei dati raccolti su territorio UE.

A seguito di questa sentenza, pertanto, rimangono compatibili al trasferimento dei dati solo le clausole standard (accordi contrattuali tra azienda esportatrice europea e azienda con sede estera), e le norme vincolanti di impresa (per i gruppi societari), oltre le deroghe previste dall’art. 49.