Oscar Wilde avrebbe sicuramente apprezzato la situazione di incertezza derivante dalla sentenza Schrems II che a luglio 2020 ha invalidato la sentenza Schrems I del 2016.
Il famoso poeta inglese individuò nel dubbio uno stato “profondamente appassionante, una bellezza più sottile della certezza”.
Difficile condividere il pensiero di Oscar Wilde se il dilemma riguarda il trattamento dei dati personali e le conseguenze della sentenza Schrems II che ha di fatto capovolto il quadro normativo rispetto alla sentenza di 4 anni fa, creando dubbi e fermento.
Cosa affermava la sentenza Schrems I sul trattamento dei dati personali
Facciamo un passo indietro. Come illustrato nel precedente articolo, Maximilian Schrems sulla scia delle rivelazioni di Edward Snowden, denunciò la violazione di dati di milioni di cittadini da parte della sicurezza USA.
La corte di Giustizia Europea prima accolse la denuncia nella sentenza Schrems I e poi sostituì il Safe Harbor con il Privacy shield, un nuovo scudo con limiti più rigidi da rispettare per le imprese statunitensi e pene più severe per i trasgressori.
Trattamento dei dati personali: cosa cambia con la sentenza Schrems II
La decisione sembrava tutt’altro che definitiva e infatti, anche in virtù del nuovo regolamento sul trattamento dei dati personali (General Data Protection Regulation, GDPR), la Corte di Giustizia dell’Unione Europea ha fatto inversione di marcia.
Per quanto la manovra fosse prevedibile, l’inversione non è avvenuta in maniera graduale, programmata e in retromarcia, bensì è stata improvvisa, scandita da una netta inversione a U, invalidando la decisione presa nel 2016.
“La Corte constata che, dall’esame della decisione 2010/87 alla luce della Carta dei diritti fondamentali non è emerso alcun elemento idoneo ad inficiarne la validità.
Essa dichiara, invece, invalida la decisione 2016/1250”
Tanti cari saluti al Privacy Shield reo di non rispettare il principio di proporzionalità e di non dare sufficienti garanzie agli interessati attraverso la figura del difensore civico.
La nuova sentenza conferma la validità delle clausole contrattuali standard ma solo a determinate condizioni
Insieme al privacy shield, nel 2016 furono state create le cosiddette SCCs, le clausole contrattuali standard che garantivano la protezione dei dati personali dei cittadini UE in caso di trasferimento fuori dal territorio comunitario.
La sentenza Schrems II non ha impattato sulla validità delle SCCS, attribuendo il potere di sospendere o vietare il trasferimento di dati all’autorità di controllo di ciascuno stato Membro.
Questo può avvenire se:
- Non esiste una valida decisione di adeguatezza della legge privacy del Paese importatore dei dati adottata dalla Commissione UE;
- Le SCCs non sono e/o non possano essere rispettate in tale Paese;
- La protezione dei dati trasferiti non può essere garantita.
Tanti dubbi e altrettante risposte: le FAQ dell’EDPB
Questa presa di posizione importante in merito alle SCCs, anziché chiarire i dubbi, ha svolto la stessa utilità di una luce intermittente in un vicolo buio e minato.
L’autorità di controllo irlandese per esempio ha messo in dubbio la legittimità dei trasferimenti effettuati sulla base delle SCCs verso gli Stati Uniti e invitato le altre autorità a raggiungere una posizione comune sulla questione.
Invito raccolto dall’EDPB (European Data Board Protection) che ha pubblicato le FAQ, un file con le “Domande più frequenti in merito alla sentenza della Corte di giustizia dell’Unione europea nella causa C-311/18 – Data Protection Commissioner contro Facebook Ireland Ltd e Maximillian Schrems”.
Le conseguenze commerciali della sentenza Schrems II
Decisioni innovative che sembrano prendere le distanze col passato e definire il percorso verso il futuro, ma occorre equilibrio e distanziamento, cambiare prospettiva per avere chiaro il quadro della situazione.
Per prima cosa occorre chiarire che la sentenza Scherms II non vieta il trasferimento di dati personali agli USA e agli altri paesi Extra-UE, bensì pone l’accento sulla mancanza di proporzionalità e limiti dell’accesso effettuato dalle agenzie governative ai dati personali dei cittadini Ue trasferiti negli Usa.
Altra dinamica evidenziata è l’assenza di controlli riguardo l’utilizzo dei dati da parte delle autorità pubbliche USA, della mancanza di diritto ad opporsi da parte degli interessati all’uso illecito dei propri dati.
Ad uno sguardo distratto, il rischio di creare una “black list” degli stati senza adeguata tutela, minando il rapporto in commerci internazionali e geopolitici potrebbe sembrare alto.
Tuttavia lo scopo è esattamente il contrario di quanto temuto: uniformare l’applicazione di adeguati meccanismi di protezione dei dati indipendentemente dal luogo in cui sono trasferiti gli stessi prendendo come benchmark di riferimento la disciplina europea e i suoi principi di riferimento.
