Il 12 luglio 2016 la Commissione europea, per mezzo della decisione 1250/2016, con un atto di estrema rilevanza – politica, comunitaria e di sicurezza – ha adottato il cosiddetto “scudo” UE-USA per la privacy – noto come Privacy Shield – entrato in vigore dopo travagliate trattative tra i rappresentanti degli stati dell’Unione e della Federal Trade Commission, l’Agenzia federale per il commercio statunitense (FTC).
Il Privacy Shield è un accordo valido per gli scambi di dati personali che transitano dall’Unione Europea agli Stati Uniti d’America, fortemente voluto dall’Unione a seguito di una rinnovata sensibilità circa l’importanza della riservatezza dei dati personali nella nostra società, culminata con l’approvazione del Regolamento UE 679/2016 – il noto GDPR vincolante per tutti gli stati membri. Lo “scudo” è stato pensato con l’obbiettivo di monitorare la riservatezza dei dati personali dei cittadini europei in caso di trasferimento oltreoceano a scopo commerciale e si basa su un meccanismo di autocertificazione che le società private USA devono implementare per essere considerate a norma di legge, ovvero poter essere definite compliance GDPR.
La cornice teorica interpretativa alla base di questo scudo accordato tra Bruxelles e Washington fa riferimento alla necessità inderogabile di tutelare e salvaguardare i dati dei cittadini europei, garantendo che il trattamento condotto da aziende americane nell’attivazione di servizi e nella vendita di prodotti rispecchi i livelli di sicurezza stabiliti dall’applicazione del GDPR: in particolare il rispetto dei principi di integrità, riservatezza e disponibilità dei dati, fondamentali per ogni buona prassi organizzativa in materia di privacy. È noto, infatti, come il livello di tutela dei dati nell’Unione e nelle singole nazioni appartenenti ad essa sia, per motivi storici, culturali e giudiziari, molto più elevato che negli Stati Uniti, dove sono presenti alcuni stati (come la California) le cui legislazioni permettono ampi margini di manovra per le aziende in ambito di trattamento dei dati, assicurano scarsa data protection e prevedono situazioni di pressoché totale assenza di sanzioni per quanto riguarda politiche di accountability aziendale. Non è un caso che tutti i quartieri generali dei colossi Big Tech – i cosiddetti Over The Top – si trovino nello stato a stelle e strisce bagnato dall’Oceano Pacifico. Ripercorriamo ora brevemente le tappe che hanno portato alla stipulazione del Privacy Shield e, recentemente, al suo annullamento.
Nel 2013 un cittadino austriaco iscritto a Facebook, Maximilian Schrems, presentò un esposto all’Autorità Garante irlandese chiedendo che al social di Mark Zuckerberg venisse vietato di trasferire i dati dall’Irlanda agli USA, in quanto secondo l’utente gli Stati Uniti non assicuravano una protezione sufficiente contro l’accesso e l’utilizzo degli stessi da parte delle pubbliche autorità. La denuncia veniva inizialmente respinta, sostenendo che Washington garantisse un adeguato livello di protezione, per poi essere ripresa in considerazione nel 2015 quando la Corte di Giustizia dichiarò invalida questa decisione: lo stesso Schrems, quindi, citò nuovamente davanti al tribunale il colosso di Menlo Park, sottolineando le preoccupazioni, mai del tutto sopite e mai del tutto chiarite, circa il livello di protezione dei dati trasferiti fuori dall’Unione, direzione Washington.
Fino a quel momento la base giuridica che legittimava tale trasferimento dei dati era rappresentata dalla decisione della Commissione 87/2010 che stabiliva le Clausole Contrattuali tipo – note come SCC – potevano essere considerate sufficienti nella tutela della privacy se e solo se attraverso esse venivano assicurati consoni livelli di protezione nel paese terzo, comunicando l’impossibilità di adeguarsi laddove fosse esistente e applicando il divieto assoluto di trasferimenti di dati personali in caso di possibile violazione di tali clausole o di impossibilità di rispettarle. Secondo la Corte, entrambe le parti, esportatore e destinatario, avevano (e hanno) l’obbligo di verificare tali livelli e di risolvere il contratto concluso nel caso in cui essi non siano salvaguardati.
Chiamati ad esprimersi sia sulle SCC che sul Privacy Shield, i giudici di Bruxelles hanno voluto inquadrare queste due tipologie di accordi, con l’intenzione di stabilire se, pur consentendo il trattamento dei dati da parte delle autorità del paese terzo, offrissero cautele adeguate, mediante il rispetto degli standard minimi di riservatezza del trattamento: è bene ricordare che si possono trasferire dati extra-UE esclusivamente se il paese in cui verranno trattati rientra in una delle casistiche stabilite dagli articoli 45, 46, 47 e 49 del GDPR. In caso contrario il trasferimento è illegittimo, con la possibilità di pesanti ripercussioni commerciali e pecuniarie.
Si è arrivati quindi ad nuovo capovolgimento dei rapporti giurisprudenziali UE/USA il 16 luglio 2020, quando la Corte UE ha invalidato dopo quattro anni il Privacy Shield, lasciando salva la possibilità di attingere a quelle clausole contrattuali (le SCC) in grado di rispettare i principi di adeguatezza, proporzionalità e responsabilità del trattamento sanciti dal GDPR: questo autentico stravolgimento è arrivato in risposta ad un ordine esecutivo dell’Amministrazione Trump, in cui è stato specificato il primato della sicurezza pubblica degli Stati Uniti sul bilanciamento con il trattamento dei dati di cittadini esteri, autorizzando di fatto le agenzie federali americane a forzare per necessità di sicurezza nazionale gli accordi raggiunti in materia di privacy.
La Corte, nel segnalare questo aspetto come contrario al Privacy Shield, ha anche messo in evidenza come negli USA non sia presente un’autorità veramente super partes in grado di tutelare i cittadini UE in casistiche di manipolazione e uso non autorizzato dei dati personali, facendo decadere lo “scudo” e mettendo in luce quanta strada ci sia ancora da fare per un maturo meccanismo di difesa dei diritti riconosciuti nell’Unione.
La sentenza della Corte apre tuttavia una voragine normativa, in quanto numerose aziende che attingevano al Privacy Shield ora si ritrovano potenzialmente ad operare nell’illegalità: inutile dire come tra questi ci sia la già citata Facebook, che ha più volte dichiarato di volersi adeguare tramite le clausole contrattuali standard. Nel frattempo, sono passati più di sei mesi; il trasferimento dei dati dall’UE agli USA non è normato da nessun tipo di accordo in vigore, con ripercussioni di estrema attualità nella nostra vita di tutti i giorni: si pensi ad un trasferimento di dati personali e/o immagini attraverso una piattaforma come WhatsApp o a sistemi di cloud quali Google drive e Dropbox i cui server sono dislocati fuori dai territori dell’Unione. In tutti questi casi, con il vuoto normativo vigente, il trasferimento dei dati può incorrere in un gravissimo illecito; i grandi giganti del web possono adeguarsi ricorrendo alle nuove Clausole Contrattuali Standard, in fase di aggiornamento da parte del Garante Europeo per la Protezione dei Dati (EDPS).
Tali clausole sono giustamente molto attese, e rappresentano al momento l’unica soluzione sul tavolo per permettere di poter usufruire, da utenti e cittadini, di condizioni eque di utilizzo dei nostri dati e del loro trattamento così come stabilito dal dettato normativo del GDPR, passo imprescindibile per costringere ad adeguarsi i grandi player di servizi digitali d’oltreoceano.