Con la sentenza del 6 ottobre 2015 la Corte di giustizia europea ha dichiarato invalida la decisione della Commissione 2000/520 sul cosiddetto “Safe Harbor” in quanto emessa in violazione della Carta dei diritti fondamentali dell’Unione europea e della direttiva privacy 95/46/CE. Ricordo che la decisione della Commissione 2000/520 aveva attestato che gli Stati Uniti garantiscono un adeguato livello di protezione dei dati personali trasferiti qualora la società americana ricevente applichi determinati protocolli per il trattamento dei dati personali, protocolli appunto denominati “Safe Harbor”.
La sentenza – del tutto a ragione – ha fatto molto rumore e rischia di avere delle implicazioni oltre il mero dato tecnico. La Corte di giustizia, infatti, ha in pratica riconosciuto che gli Stati Uniti non garantiscono affatto la tutela della privacy dei cittadini europei i cui dati vengano trasferiti oltreoceano e che quindi noi europei siamo potenzialmente esposti ad un’intrusione ingiustificata nella nostra sfera privata.
Con tutta evidenza, la sentenza ha innanzitutto una portata politica che è stata immediatamente riconosciuta dalle autorità competenti su entrambe le sponde dell’Atlantico. Ma, al di là dei riflessi politici, le conseguenze della sentenza sono tali da porre seriamente in discussione il flusso di informazioni e di dati personali tra Europa e Stati Uniti. Non c’è dubbio, infatti, che sia oggi venuto meno uno, se non il principale, dei meccanismi che consentono e legittimano il trasferimento dei dati personali verso gli Usa. Non è inoltre scontato che gli effetti della sentenza non si propaghino anche ad altri meccanismi ad oggi ancora formalmente validi. Gli effetti della sentenza, comunque, costringono immediatamente ad un ripensamento nei metodi di trasferimento delle informazioni oltreatlantico, ripensamento il cui impatto non è limitato solo alle grandi majors di Internet.
Oggi come oggi, rimane possibile il trasferimento nel caso in cui l’interessato abbia dato il proprio consenso, ma si tratta di un meccanismo poco usato anche perché oggettivamente macchinoso. Tolti i casi in cui il trasferimento sia necessario per motivi oggettivi, previsti tassativamente nel Codice Privacy, o sia legittimato dall’applicazione delle c.d. “Binding Corporate Rules”, che però opera sono nell’ambito di gruppi di società, l’unico vero meccanismo rimasto quindi è quello delle c.d. “Standard Contractual Clauses”: in sostanza, la società europea trasferente stipula con la società americana ricevente un contratto che contenga determinate clausole-tipo, in base alle quali la seconda effettuerà il trattamento dei dati personali nel rispetto di modalità sostanzialmente equivalenti a quelle obbligatorie per le società europee.
Ma c’è un ma. Anzi, ce n’è più d’uno. Innanzitutto, per la stesura di questi contratti non si può puramente e semplicemente utilizzare un testo standard, di pronto uso: e i costi di consulenza per redigere il contratto potrebbero non essere marginali. In secondo luogo, non è scontato che la società americana ricevente sia disponibile a sottoscrivere questi contratti: al netto del peso specifico relativo tra i contraenti (pensate ad una piccola o media impresa italiana che interloquisce con un’americana ben più grande: potrà mai la prima imporre determinati contenuti alla seconda?), la società americana potrebbe non essere affatto disponibile a vincolarsi al rispetto di modalità di trattamento tipicamente europee e quindi ben più vincolanti rispetto a quelle a cui è abituata. Soprattutto, tenuto conto del contesto legale statunitense, non è certo che i contratti redatti secondo le c.d. “Standard Contractual Clauses” potranno essere effettivamente applicati negli Usa.
Ecco perché, consci di tutte queste difficoltà, le autorità europee – tra cui anche il garante nostrano – hanno subito auspicato il raggiungimento di un nuovo accordo tra Europa e Stati Uniti. Chissà se si riuscirà per questa via a contemperare giuste esigenze di business con quelle di tutela delle persone, esigenze queste ultime che la Corte di giustizia europea ha sancito come preminenti.
