La decisione della Corte di Giustizia nel caso Schrems Data Protection Commissioner può essere considerata uno dei precedenti più rilevanti nell‘ambito della recente giurisprudenza europea in tema di diritti fondamentali.
Ricostruendo il contesto sia politico che giuridico, il Privacy Shield rappresenta l‘ultima tessera di un puzzle in tema di tutela della riservatezza e dei dati personali; le decisioni Google Spain e Schrems, sono entrambe portatrici di significativi contributi nel quadro della ridefinizione dello statuto dei dati personali nell‘era dei Big Data. Il Privacy Shield ha palesato la preesistente dicotomia tra l‘Unione europea e gli Stati Uniti già presente dall‘entrata in vigore della direttiva 95/46/CE, 55 degenerata a seguito delle rivelazioni di Edward Snowden circa i programmi di sorveglianza di massa effettuati dalla NSA (agenzie di informazione e sicurezza statunitensi).
Il 12 luglio 2016 la Commissione Europea ha completato la procedura di adozione del ―EU-US Privacy Shield e i principi fondamentali su cui si fonda il nuovo accordo tra Ue e USA per gli scambi transatlantici di dati personali a fini commerciali: trasparenza e tutela dei diritti, obblighi rigorosi per le imprese che operano sui dati (enforcing).
Lo scudo dà effettività alla sentenza del 6 ottobre 2015 con cui la Corte di giustizia dell‘Unione europea, che due anni prima accoglieva il ricorso dell‘austriaco Max Scherms nei confronti di Facebook invalidando il vecchio regime (Safe Harbour), in quanto dichiarato privo di garanzie sufficienti per la protezione dei dati degli utenti europei trasferiti verso l‘altra sponda dell‘atlantico. A questo proposito, la Corte aveva osservato come in realtà la Commissione non avesse proceduto ad una constatazione dell‘ adeguatezza della protezione dei dati personali garantita dagli Stati Uniti (come richiesto dalla Direttiva in materia di protezione dei dati personali), ma si fosse limitata ad esaminare e considerare sufficiente il regime del Safe Harbor; inoltre la Corte aveva notato come il Safe Harbor si applicasse solo alle imprese americane che lo sottoscrivevano, mentre le autorità pubbliche degli Stati Uniti non ne erano vincolate : tutto questo è emerso anche attraverso le rivelazioni sulle attività in particolar modo dell‘intelligence statunitense (Datagate).
Il caso Scherms si pone come riflessione su due situazioni calde: differenze tra il modello europeo e il modello statunitense di tutela della riservatezza; e differenze tra le politiche della sicurezza e le garanzie costituzionali dei diritti di libertà. Con l‘accordo del Privacy Shield, gli Stati Uniti hanno escluso l‘attività indiscriminata di sorveglianza di massa sui dati personali trasferiti negli Stati Uniti e hanno assicurato ufficialmente alla Ue che l‘accesso delle autorità pubbliche ai dati, per scopi di applicazione della legge e di sicurezza nazionale, è soggetto a limitazioni, garanzie e meccanismi di vigilanza precisi.
«La raccolta di dati in blocco sarà eventualmente ammissibile solo in presenza di determinati presupposti e comunque si tratterà obbligatoriamente di una raccolta quanto più mirata e concentrata possibile».
Nel nuovo regime, il Dipartimento del Commercio degli Stati Uniti sottoporrà le imprese aderenti allo scudo a un monitoraggio periodico, assicurando così il mantenimento delle regole reale e concreto.
Il Privacy Shield permetterà a tutti di presentare querela alle autorità nazionali nel caso in cui si ritenga sia stato compiuto abuso sui propri dati. I casi presentati dai cittadini europei saranno così presi in esame e risolti in tandem con la federal trade commission.
L‘accordo politico del 2 febbraio 2016 fra la Commissione europea e il governo degli Stati Uniti d‘America ha dato vita al nuovo regime: Il 12 e 13 aprile al piano originario sono state implementate migliorie e clausole suggerite dalle autorità europee di data protection (WP29) Garante europeo della protezione dei dati .
La Commissione europea e gli Stati Uniti hanno concordato ulteriori punti che riguardano la raccolta di dati in blocco, il rafforzamento del meccanismo di mediazione e una maggiore esplicitazione degli obblighi delle imprese rispetto ai limiti sul tema della conservazione dei dati e al trasferimento.
La Commissione Europea ha reso operativo lo ―scudo dal 1 agosto 2016 adottando la normativa del 12 luglio dello stesso anno .
«Le nostre imprese, soprattutto le più piccole, hanno ora la certezza legale di cui hanno bisogno per sviluppare le loro attività oltre Atlantico.
Abbiamo il compito di seguire passo dopo passo il nuovo accordo per accertarci che sia all’altezza».
Le società statunitensi che vorranno importare i dati dall‘Europa dovranno assumere specifici obblighi in relazione alle modalità di trattamento dei dati e al rispetto dei diritti delle persone.
La Federal Trade Commission supervisionerà il rispetto di questi obblighi.
Gli Stati Uniti hanno assicurato che saranno previsti limiti stringenti alla possibilità di accedere da parte delle autorità di pubblica sicurezza, ai dati personali: non ci saranno attività di monitoraggio indiscriminato e non proporzionale e inoltre dovranno essere prese misure preposte al mantenimento dell‘impegno. Il WP29 ha rassicurato le aziende circa la possibilità di continuare a usare i meccanismi alternativi al Safe Harbor per il trasferimento dei dati personali negli Stati Uniti, come le Clausole contrattuali standard (CCS) e Binding corporate rules (BCR).
Il processo è complesso e richiede tempi che si prospettano lunghi, anche a causa dell‘implementazione dello stesso ad opera delle autorità europee e di quelle statunitensi. Nella parte relativa ai Privacy Principles, l‘accordo fornisce un livello di protezione maggiore rispetto a quanto garantito in precedenza dal ―Safe Harbour.
Sia il Safe Harbor che il Privacy Shield disciplinano il modus operandi del trasferimento dei flussi di dati personali generati in Europa e raccolti e gestiti negli USA.
I principi sembrerebbero restringere la dicotomia tra gli standard in materia di tutela tra gli States l‘Unione europea: il dato, l‘informazione personale, è considerato un bene giuridico tutelato seguendo i dettami della disciplina europea.
Il dato è l‘elemento caratterizzante, l‘identità intima della persona, tessera di un mosaico necessario a garanzia dei diritti fondamentali presenti nelle carte costituzionali dei singoli Stati dell‘Unione e della costituzione della Ue. Negli USA il ―dato non gode di questa importanza ma assume un carattere e un valore in quanto bene e dunque rilevante e oggetto di scambio; il ―dato è una merce ed è il motore dell‘economia digitale. In tema di sicurezza di trasferimento dei dati, soprattutto in assenza di garanzie precise, il sistema statunitense avverte come ostile quello europeo, ecco perché oggi il Privacy Shield assieme alle Binding corporation rules e alle Clausole contrattuali standard di queste garanzie ne sarà il portatore.
PATRIZIA DIOMAIUTO
Riproduzione Riservata ®
