Il blog di E-Lex

Trasferimento di dati personali: quali scenari dopo la fine del Safe Harbor Agreement?

imm2 WikiImages

imm2 WikiImagesCon la sentenza del 13 novembre 2015, la Corte di Giustizia ha annullato gli accordi di Safe Harbors, che legittimavano il trasferimento dei dati personali tra Europa e Stati Uniti. L’impatto della decisione sulle imprese.
Gli Stati Uniti non forniscono una protezione sufficiente dei dati personali dei cittadini europei. A stabilirlo è stata la Corte Europea che ha così stracciato una decisione della Commissione che giudicava il paese a Stelle e Strisce come un porto sicuro per le informazioni degli europei, autorizzando così le grandi aziende di internet a poter operare in tranquillità dall’altra sponda dell’Atlantico (accordo Safe Harbour del 2000).
Ma la decisione, presa in seguito alla denuncia contro Facebook del giovane austriaco Max Schrems, che impatti avrà sul nostro modo di usare la rete?
Ricapitoliamo il quadro normativo. L’art. 25 della direttiva 46/95/CE prevede un generale divieto di trasferire dati personali al di fuori dell’Unione europea. Questa regola ammette, però, una serie di eccezioni: il trasferimento è ammesso nel caso in cui vi sia il consenso della persona cui i dati personali si riferiscono, ovvero avvenga in esecuzione di misure contrattuali o precontrattuali o, ancora, per rispondere a un interesse pubblico; in presenza di strumenti negoziali – validati dalla Commissione europea – che offrano garanzie di sicurezza; infine, in caso di decisioni di adeguatezza, ovvero attestazioni della Commissione europea che un determinato Paese, non appartenente all’Unione o allo spazio economico europeo, assicuri un livello di protezione adeguato, che sia quindi dotato di misure legislative che offrano un livello di protezione dei dati personali conforme agli standard comunitari
Tra le decisioni di adeguatezza – che hanno interessato, tra gli altri, Israele, Svizzera, Australia e Canada – la più nota è quella del 26 luglio 2000 tra Unione europea e Stati Uniti, detta Safe harbor, oggi invalidata dalla sentenza Schrems. L’operato della Corte di giustizia ha ricevuto apprezzamenti da più parti, non da ultimo dal nostro Garante per la protezione dei dati personali, che ha sottolineato l’importanza che i diritti dei cittadini siano rispettati anche al di fuori dei confini comunitari. Una presa di posizione con la quale non si può che essere d’accordo, ma che forse evidenzia solo una faccia di un prisma molto più complesso.
Innanzitutto, la Corte di giustizia fotografa una situazione grave, ma in parte non più attuale. Dopo lo scandalo Snowden, da cui ha tratto origine anche il caso deciso dai giudici europei, gli Stati Uniti stavano provando ad arginare l’emergenza privacy con alcuni provvedimenti legislativi, tra cui il Judicial Redress Act dello scorso anno.
In secondo luogo, non può essere sottaciuto l’impatto economico e politico della sentenza Schrems. Non è una sentenza che colpisce Facebook o Google, come semplicisticamente si è detto: sono circa 4mila le imprese europee e statunitensi che beneficiano dei principi di Safe harbor e di queste circa il 60% sono Piccole e medie imprese, incluse numerose start up. Quello che in pochi hanno sottolineato è che tali principi regolano esclusivamente i rapporti tra Unione europea e Stati Uniti, ma non sono l’unico strumento giuridico per il trasferimento transfrontaliero di dati personali. Clausole contrattuali standard e binding corporate rules garantiscono la medesima efficacia, legittimando i trasferimenti di dati oltre lo spazio europeo, ma impongono costi transattivi più alti.
Quanto appena detto vale specialmente per le clausole contrattuali standard (anche note come model contract clauses), da inserire all’interno di contratti tra imprese che non appartengono al medesimo gruppo (cui, invece, sono riservate le binding corporate rules). Questi contratti sono necessari perché il flusso dei dati non può essere impedito. Ciò determinerebbe la paralisi per molte imprese, tacendo il potenziale isolamento commerciale per l’Europa: una ricerca del 2013 di Syntech Numérique dimostra con chiarezza che l’interruzione del flusso dei dai transfrontalieri porterebbe alla riduzione del Pil dell’Unione europea del 1,3% e un’emorragia nelle esportazioni dei servizi forniti dall’Europa verso gli Stati Uniti, che diminuirebbero del 6,7%.
Il punto, quindi, è che le imprese saranno costrette a ripiegare sulle clausole contrattuali standard – unico strumento sopravvissuto al crollo del Safe harbor – il cui costo verrà sostenuto da tutti i soggetti interessati, con un impatto differente su piccole e grandi imprese. Un’altra possibile chiave di lettura attiene al rapporto tra Corte di giustizia e Commissione europea.
Non è la prima volta che i giudici comunitari intervengono in materia di dati personali: data retention e diritto all’oblio sono i casi più noti, ma non i soli. Nel settore che ci interessa, la decisione della Corte di giustizia pregiudica fortemente le negoziazioni in atto per la revisione dei Safe harbor che, a questo punto, dovranno essere ripensati ex novo, avendo come punto di partenza l’inadeguatezza di quelli esistenti: in altri termini, si ricomincia da zero e i negoziati, verosimilmente, saranno più lunghi di quello che era lecito attendersi, relegando gli Stati Uniti a un ruolo subordinato che dovrà adattarsi alle strettoie delle posizioni comunitarie. Né può dimenticarsi che l’eco della sentenza in questione potrebbe riverberarsi, a livello europeo, anche sul difficile e travagliato percorso che sta conducendo verso l’approvazione – spesso annunciata e più volte procrastinata – del nuovo regolamento in materia di dati personali.
Non si può, tuttavia, circoscrivere la discussione al solo livello comunitario. Se si inverte la prospettiva geografica, non può non rimarcarsi la leggerezza con cui gli Stati Uniti, a qualsiasi stadio, hanno affrontato il tema della sicurezza delle informazioni personali: prima con lo scandalo Prism e successivamente, a livello giudiziario, con la decisione – che rispecchia un frettoloso laissez-faire – della Corte Suprema nel caso Clapper.
C’è ancora un ulteriore problema. La decisione della Corte Ue fornisce alle autorità garanti nazionali il potere di verificare se il trasferimento di dati personali degli utenti tra nazioni è sicuro. Ma questo eccessivo spezzettamento tra 28 garanti potrebbe portare a non poche complicazioni. Per questo già nelle dichiarazioni nelle ore successive alla sentenza, il garante italiano Soru ha detto che “occorre una risposta coordinata a livello europeo anche da parte dei Garanti nazionali, e in queste ore si stanno valutando le modalità più efficaci per individuare linee-guida comuni”. Sulla stessa linea anche il comunicato di Facebook, che chiede un chiarimento da parte di Ue e Stati Uniti: “È imperativo che i governi di Ue e Usa garantiscano che continueranno a fornire metodi affidabili per il trasferimento legale dei dati e che risolveranno tutte le questioni legate alla sicurezza nazionale”.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Novità normative e giurisprudenziali dal mondo del diritto delle tecnologie e dal nostro Studio