[…] le autorità europee, da vent’anni a questa parte, non hanno prodotto una disciplina idonea alla tutela dei dati che sono stati utilizzati negli Usa sulla base di accordi illegittimi […]

[…] E, in effetti, l’attività di studio e consulenza è necessaria e inevitabile, considerato che le leggi europee sulla privacy prevedono sanzioni pecuniarie draconiane per chi viola i precetti […]

Nel limbo il traffico di dati personali verso gli Usa. Dopo la sentenza della Corte di giustizia dell’Unione Europea (Cgue) del 16 luglio 2020, che ha annullato l’accordo Ue/Usa sull’export di dati (Privacy Shield), non si sono viste immediate ripercussioni e i principali operatori interessati hanno, fino a oggi, tutt’al più modificato le loro schede informative sui loro siti internet. Importante precisare che l’argomento in questione è stato affrontato nell’ articolo presente nella nostra pagina web, leggi qui: Privacy Shield a rischio: necessità di ulteriori garanzie per tutelare i diritti fondamentali

Certo non è pensabile né praticabile uno stop in blocco alla circolazione dei dati e neppure una rinegoziazione dei contratti con i colossi dell’it, soprattutto da parte delle pmi. Ma la soluzione del problema è urgente se si pensa al rischio sanzioni per le imprese europee che continuano ad avvalersi, direttamente o indirettamente, di provider Usa.

Gli Usa rappresentano un problema per la tutela della privacy. Le leggi europee stabiliscono restrizioni al trasferimento extra Ue dei dati dei cittadini europei. È una giusta preoccupazione, perché i dati delle persone fisiche possono andare in posti dove possono essere usati e abusati, con il rischio di grave danno quando dai dati si ritorna alle persone.

Preoccuparsi di dove vanno a finire i dati e di come sono trattati è diventato, nel mondo interconnesso dalla rete internet, un dovere degli stati che vogliono proteggere le persone.

Con gli Usa, l’Europa ha sempre incontrato problemi, perché negli Stati Uniti il bilanciamento della privacy individuale con la sicurezza nazionale vede per lo più vincente la sicurezza. Questo già con riferimento a trattamenti di dati di cittadini americani negli Usa (ricordiamo tutti la vicenda del braccio di ferro tra Apple e Nsa a proposito dello sblocco della memoria un cellulare durante le indagini per una strage commessa nel territorio americano).

I problemi, peraltro, si verificano anche a proposito dei dati che arrivano negli Usa dalle altre parti del mondo. E per i dati in partenza dalla vecchia Europa la faccenda è ancora più ingarbugliata per il fatto che, nella Ue, sono vigenti leggi garantiste, che, sulla carta, tutelano la privacy dei cittadini e impongono limitazioni e condizioni al trasferimento di dati all’estero.

Ora, la vicenda è incentrata sul fatto che ci sono leggi statunitensi che permettono alle autorità Usa di acquisire i dati ricevuti dalle imprese americane in relazione ad attività commerciali.

Il risultato è che, per esempio, un cittadino europeo compra un bene o riceve una newsletter o lancia il suo messaggio al mondo con una piattaforma elettronica di relazioni sociali e tutto ciò può essere acquisito da organizzazioni pubbliche, con il rischio di abusi e discriminazioni.

Accordi politici e bocciature giudiziarie

Ci sono stati due tentativi di soluzione politica dei rapporti Ue/Usa a proposito dell’export di dati. Ciascuno dei due tentativi ha avuto una denominazione intrigante: il primo è stato chiamato «porto sicuro» e il secondo «scudo privacy». Ma la politica non ha retto alla prova dei giudici.

Tutte e due questi accordi, infatti, non hanno superato il vaglio della Corte di giustizia dell’Unione europea, che li ha sonoramente bocciati (o meglio, nel caso del Privacy Shield ha bocciato l’adeguatezza dell’accordo sancita dalla Commissione europea).

Si notino le date. Il «Porto sicuro» (o «Safe Harbour») è del 2000 (decisione della Commissione europea n. 2000/520/CE) e la Cgue lo ha bocciato con sentenza del 6 ottobre 2015; lo «scudo privacy» (o «Privacy Shield») è del 2016 (decisione n. 2016/1250/CE) e la sentenza della Cgue che lo annulla è del 16 luglio 2020.

Dallo sviluppo degli eventi risulta che le autorità europee, da vent’anni a questa parte, non hanno prodotto una disciplina idonea alla tutela dei dati che sono stati utilizzati negli Usa sulla base di accordi illegittimi.

Che fare?

All’indomani della sentenza del 16 luglio 2020, operatori economici e commentatori si sono dedicati all’approfondimento delle conseguenze della pronuncia. La preoccupazione è stata di trovare una soluzione formale perché quella sentenza tutto può fare tranne che fermare l’enorme, costante e inarrestabile, cascata di dati personali verso gli Usa, considerato l’utilizzo effettuato, secondo dopo secondo, dei dispositivi elettronici.

E, in effetti, l’attività di studio e consulenza è necessaria e inevitabile, considerato che le leggi europee sulla privacy prevedono sanzioni pecuniarie draconiane per chi viola i precetti. Il Comitato europeo per la protezione dei dati ha stilato alcune Faq per rassicurare gli operatori e dare alcune dritte operative.

Alcune di queste indicazioni sono, però, attività che una singola impresa (magari media o addirittura piccola) non può fare così facilmente. Certo si potrebbe cambiare il fornitore di un servizio di newsletter o di messaggistica, ma bisogna vedere i vincoli contrattuali; certo, in astratto, si può chiedere di rivedere un contratto con il colosso multinazionale, ma in concreto è una cosa non realistica.

Per verificare gli effetti della sentenza del 16 luglio 2020 basta consultare le pagine dei siti internet. Sono pagine in cui a volte le indicazioni non sono cambiate affatto e si continua a fare riferimento al Privacy Shield; altre volte si prende atto della sentenza della Cgue del 16 luglio 2020 e si spiega perché le cose possono proseguire dal momento che si sfruttano strade alternative, salvate a certe condizioni dalla stessa Cgue, come le clausole contrattuali standard. Resta il fatto che la percezione immediata è che ancora bisogna aspettare per capire se ci saranno effetti sostanziali o se si tratta solo di attendere il prossimo accordo.

Sei interessato ad approfondire il tema del trasferimento di dati all’estero nella tua attività? Il nostro team di consulenti privacy è a tua disposizione! Contattaci al più presto!

Richiedi informazioni

Iscriviti alla nostra Newsletter

Altri articoli della stessa categoria

Articolo

Trasferimenti dati personali verso gli USA

Privacy e Cyber Security

Condividi questo articolo su

Accordi politici e bocciature giudiziarie

Che fare?

Iscriviti alla nostra Newsletter

Altri articoli della stessa categoria

Modello Organizzativo Privacy versus 231

Reati sanzionati dal decreto 231 e come limitare la responsabilità dell’impresa

Modello 231 – strumento della tua impresa in materia di Antiriciclaggio

Integrare la ISO 37001 al modello organizzativo 231

Diritto alla portabilità dei dati

Profilazione e processi decisionali automatizzati

Trasferimento di dati personali verso paese terzo: garanzie adeguate da adottare

L’archiviazione giornalistica prevale sul diritto all’oblio?

Gap Analysis e Risk Assessment Privacy

Privacy e fatturazione elettronica

Mail aziendale e privacy: cose da sapere

Caso Barclays

SISTEMA INTEGRATO D.LGS 231/01 E PRIVACY

L’indebita anonimizzazione: Applicazione di sanzione amministrativa

I casi specifici di nomina obbligatoria del DPO (RPD)

Che cos’è la legge Brasiliana sulla protezione dei dati personali (LGPD)? Ti riguarda?

La certificazione di conformità al GDPR

Utilizzi la posta elettronica dell’ex dipendente? Sei a rischio sanzioni.

Immagini personali e privacy

App di giochi, a rischio la privacy dei bambini

ISO / IEC 27001: La certificazione di conformità al GDPR