La decisione della Commissione Europea relativa alla adeguatezza della protezione offerta dal regime del Privacy Shield UE-USA del 12 luglio 2016 deve considerarsi invalida.
Nel 2015 con la sentenza “Schrems I” era stata dichiarata invalida la decisione (UE) 2000/520 (“Approdo sicuro”) con la quale la Commissione aveva dichiarato adeguato il livello di protezione dei dati garantito dagli Stati Uniti. A seguito di questa decisione, il Sig. Schrems aveva formulato una nuova denuncia, la quale ha portato all’avvio di un procedimento davanti alla Corte di Giustizia volto ad indagare la validità della decisione (UE) 2010/87 sulle clausole contrattuali standard e della decisione (UE) 2016/1250 sull’adeguatezza dello scudo privacy UE-USA che era stata adottata dalla Commissione a seguito della sentenza Schrems I.
In data odierna, la Corte diGiustizia dell’Unione Europea ha confermato la validità della decisione (UE)2010/87 relativa alle clausole contrattuali tipo ma ha dichiarato invalida la decisione (UE) 2016/1250 assunta ai sensi dell’art. 45 del GDPR alla luce della Carta dei diritti fondamentali dell’UE.
In particolare, la Corte hachiarito che:
- la valutazione del livello di protezione garantito nel contesto di un trasferimento verso i paesi terzi deve prendere in considerazione sia le clausole contrattuali concordate tra il titolare o il responsabile del trattamento e il destinatario stabilito nel paese terzo quanto, sia, in relazione all’eventuale accesso delle autorità pubbliche di tale paese ai dati personali trasferiti, gli elementi rilevanti del sistema giuridico di tale paese ai sensi dell’art. 45, comma 2 del GDPR;
- la normativa interna statunitense non garantisce agli interessati diritti nei confronti delle autorità azionabili dinnanzi ai giudici e che il meccanismo di mediazione previsto dalla decisione (UE) 2016/1250 non garantisce l’indipendenza del mediatore, né la possibilità per questo di adottare decisioni vincolanti verso l’intelligence statunitense;
- le autorità di controllo sono tenute a sospendere o vietare il trasferimento di dati verso paesi terzi se le clausole contrattuali standard non sono o non possono essere rispettate e se non sono presenti altri mezzi per garantire la protezione richiesta dal GDPR.
Ne consegue che la decisione(UE) 2016/1250, oltre a non rispettare i requisiti di cui al GDPR, viola le disposizioni della Carta dei diritti fondamentali in quanto non garantisce il rispetto alla vita privata, familiare, alla protezione dei dati e alla tutela giurisdizionale.
Conseguentemente il trasferimento dei dati personali da un titolare o responsabile situato nell’UE verso un destinatario locato negli USA non potrà più essere effettuato sulla base dell’inclusione del destinatario nella lista dei soggetti aderenti al Privacy Shield ma dovranno essere invocate le altre garanzie previste dal GDPR agli artt. 46 (garanzie adeguate), 47 (Norme vincolanti d’impresa) e 49(deroghe) del GDPR.
L’attenzione per le aziende dovrà essere quindi portata verso la stipula (non automatica in molti casi)delle clausole standard proposte dai provider dei servizi e dalle piattaforme social e la fornitura di una corretta informativa agli interessati inconsiderazione della garanzia adottata e della base giuridica in uso.