La decisione, sul privacy shield, da parte della Corte di Giustizia europea sulla causa C-311/18 Data Protection Commissioner/Maximilian Schrems e Facebook Ireland – risalente al 16 luglio scorso – assume la valenza di un monito, rivolto non solo ai contendenti di turno, circa il ruolo di player mondiale che l’Unione Europea, con il portato dei suoi valori costituzionali, potrà giocare nello sviluppo dell’economia digitale a livello globale.
Una portata, quella di questa pronuncia sul Privacy Shield, che non da tutti è stata colta. Esaminiamo lo scenario in cui ci si muove e le prospettive sul medio-lungo periodo.
Privacy Shield, una questione di “inadeguatezza”
In via preliminare, è bene mettere in evidenza che la censura della Corte non è rivolta a sindacare la «validità» dello scudo UE-USA per la privacy, sebbene molti commentatori si siano spesi per segnalare una sua subitanea invalidità, bensì la «adeguatezza» del livello giuridico di protezione da esso derivante ai fini del trattamento dei dati migrati dall’Europa verso gli USA. Com’è noto, i trasferimenti di dati personali al di fuori dello Spazio Economico Europeo sono ammessi se il destinatario garantisce un livello di protezione dei dati adeguato, cioè sostanzialmente equivalente a quello offerto dal diritto dell’UE. Il requisito dell’adeguatezza del regime di protezione può esser certificato in diversi modi e, tra questi, v’è la decisione della Commissione Europea (art. 45 del Regolamento UE 2016/679).
Ebbene, sino ad ora, cioè sino alla sentenza della Corte di giustizia, il Privacy Shield – in vigore dal primo agosto del 2016 – era considerato un accordo idoneo a generare un regime di protezione dei dati in linea con gli standard richiesti a livello europeo, stante la decisione n. 2016/1250 della Commissione Europea che ne aveva decretato l’adeguatezza.
La valutazione condotta dalla Commissione in sede di decisione di adeguatezza non è stata sporadica ed isolata, posto che con la decisione medesima la Commissione aveva deciso di sottoporre a monitoraggio continuo il funzionamento dello scudo per verificare se gli Stati Uniti, nel corso della vigenza dell’accordo, si adoperassero per garantire un adeguato livello di protezione dei dati personali trasferiti dall’Unione verso organizzazioni presenti negli Stati Uniti (art. 4 decisione 2016/1250).
Ciò nonostante, la Corte di Giustizia (C-311/18 – Schrems II) ha giudicato questa decisione non più valida poiché il regime derivante dallo scudo non offre adeguate garanzie di protezione dei dati personali.
I rilievi della Corte di Giustizia
Nel comunicato stampa la CGUE ha evidenziato che “le limitazioni alla protezione dei dati personali derivanti dalla legge nazionale degli Stati Uniti in materia di accesso ed utilizzo di questi dati, da parte delle autorità pubbliche statunitensi, non sono circoscritte in modo tale da soddisfare i requisiti richiesti, nel diritto dell’UE, dal principio di proporzionalità, in quanto i programmi di sorveglianza basati su tali disposizioni non si limitano a quanto strettamente necessario”.
In un successivo passaggio viene inoltre riportato che “il meccanismo di mediazione previsto da tale decisione non fornisca a tali persone un mezzo di ricorso dinanzi ad un organo che offra garanzie sostanzialmente equivalenti a quelle richieste nel diritto dell’Unione, tali da assicurare tanto l’indipendenza del mediatore previsto da tale meccanismo quanto l’esistenza di norme che consentano al suddetto mediatore di adottare decisioni vincolanti nei confronti dei servizi di intelligence statunitensi”.
Dunque, a far data dal 16 luglio 2020, ad esser invalido non è il Privacy Shield bensì la decisione della Commissione Europea sulla sua adeguatezza, ex art. 45 del Regolamento UE 2016/679.
La precisazione non è di poco conto, poiché il livello di protezione derivante dal Privacy Shield, seppur degradato ad un livello inferiore a quello richiesto dal GDPR, e quindi non compliant rispetto al quadro normativo europeo, comunque continua a sussistere e, come precisato, non essendo stato colpito da una censura di «invalidità» potrà continuare ad esplicare i suoi effetti. In tale prospettiva si inserisce l’azione annunciata dall’U.S. Department of Commerce, titolare della gestione dello scudo sul fronte USA, la cui posizione è quella di continuare ad amministrare il programma Privacy Shield al fine di non far decadere le tutele sinora costruite e di non compromettere la fiducia da parte dei cittadini.
Le Standard Contractual Clauses
Un ulteriore aspetto che merita di essere approfondito, in considerazione degli effetti che porterà sul piano concreto, riguarda le Standard Contractual Clauses (SCC), strumenti negoziali alternativi allo scudo transatlantico attraverso cui può realizzarsi il trasferimento di dati personali verso paesi terzi, in assenza appunto di una decisione di adeguatezza (art. 46 del Regolamento UE 2016/679).
Anche le SCC vengono sottoposte al vaglio della Corte di Giustizia, sebbene rispetto ad esse venga confermata la validità della relativa decisione (n. 2010/87/CE del 5 febbraio 2010), per cui possono essere adoperate per operare legittimamente un trasferimento transfrontaliero dei dati. E, in effetti, le SCC non si riferiscono all’ordinamento vigente in un singolo paese ma si limitano a individuare una serie di clausole astrattamente idonee a garantire un adeguato livello di tutela. Per tale ragione, la Corte ritiene che esse continuino a esser valide, ferma restando la necessità di valutare, di volta in volta, il contesto in cui tali clausole verranno calate.
La precisazione è stata oggetto di una specifica indicazione dello European Data Protection Board, contenuta nelle FAQ pubblicate il 24 luglio scorso. In sintesi, la posizione del Board è quella di confermare la legittimità dei trasferimenti fondati sulle SCC laddove il titolare o il responsabile del trattamento forniscano garanzie adeguate che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati. E così, in linea generale, l’impresa europea esportatrice e quella extraeuropea importatrice potranno firmare le SCC e durante tutta la loro relazione dovranno monitorare la conformità dell’ordinamento di destinazione con gli standard di protezione del GDPR.
Ciò nonostante, resta forte il dubbio su come le SCC potranno essere utilizzate per i trasferimenti negli USA, posto che le leggi statunitensi in materia di sorveglianza, come acclarato dalla Corte di Giustizia, confliggono con i diritti fondamentali. Appare ragionevole dedurre che nei rapporti transatlantici il test di compatibilità non possa più essere superato, alla luce del giudizio negativo della Corte sui poteri intrusivi delle autorità americane, difficilmente arginabili da soggetti privati con l’ausilio di strumenti di natura pattizia, quali appunto le SCC.
Conclusioni
Quanto fin qui detto, può condurci verso una conclusione che si snoda su un duplice rilievo.
In primo luogo, non v’è dubbio che, nei suoi effetti diretti e immediati, la censura della Corte di Giustizia comporti una nuova battuta d’arresto del flusso di dati al di là dell’Atlantico. In effetti, già nel 2015, sempre su reclamo di Schrems, la Corte aveva già dichiarato invalido un meccanismo analogo al Privacy Shield e ribattezzato «Safe Harbor» (C-362/14 – Schrems I).
In secondo luogo, l’arresto giurisprudenziale mostra una portata ben più ampia se si guarda al medio e lungo periodo, avendo sancito un punto fermo nel dialogo, non solo tra UE e USA, intorno al tema della governance dei dati e dei valori espressi dalla regolamentazione europea. Un tema che, nel caso specifico del Privacy Shield, si sviluppa sul confronto tra due sistemi continentali che perseguano il medesimo obiettivo della garanzia di libertà attraverso differenti approcci, l’uno impiantato sull’esigenza di preservare la sicurezza nazionale, anche attraverso sistemi di sorveglianza diffusi, l’altro incentrato sulla protezione dei diritti fondamentali, di cui i dati personali sono moderna espressione. Nel mezzo restano gli sforzi protesi alla convergenza di strumenti ed azioni per la protezione dei dati personali, sforzi che andranno rinnovati nel solco tracciato dal Privacy Shield (e prima ancora dal Safe Harbor) da interpretarsi come un luogo di confronto e dialogo tra visioni e ordinamenti differenti, dove la strategia europea continuerà a promuovere un’apertura ai flussi internazionali di dati se verrà garantito il rispetto di valori e regole europee.
Appare chiaro che il tema della governance dei dati non è solo una questione interna all’accordo Usa-Ue ma rientra in un processo di integrazione digitale globale, e non è solo una questione di tutela di diritti fondamentali o di interessi economici (cd data driven economy) ma coinvolge aspetti che vanno dalla sicurezza del pluralismo dell’informazione sino alla salvaguardia delle stesse istituzioni democratiche.
