Come è noto il 6 ottobre scorso la Corte di Giustizia dell’Unione Europea con la sentenza C-362/14 aveva dichiarato l’invalidità della decisione 520/2000/CE della Commissione europea che aveva attribuito il crisma dell’adeguatezza ai trasferimenti dei dati personali avvenuti sotto il regime dell’accordo Safe Harbor.
La Corte nella nota pronuncia riconosceva la competenza delle Autorità Garanti per la protezione dei dati personali di valutare l’adeguatezza della normativa privacy del Paese di destinazione dei dati personali (Stati Uniti), le quali dovevano essere “essentially equivalent” rispetto alla Direttiva europea 95/46/Ce, essendo questa una loro prerogativa non compressa o ridotta dalle decisioni della Commissione.
Sotto il profilo del trattamento dei dati personali, la Corte riteneva che l’attuale sistema normativo degli Stati Uniti violasse tre diritti fondamentali: il diritto alla protezione dei dati personali, la riservatezza delle comunicazioni nell’ambito della vita privata e familiare e il diritto ad un tutela giurisdizionale effettiva (articoli 7, 8 e 47 della Carta dei diritti fondamentali dell’Unione Europea).
L’impatto della pronuncia sull’economia digitale europea e mondiale sarebbe stato enorme e dirompente, si consideri infatti che aveva un impatto potenziale su circa 4.500 aziende americane aderenti al Safe Harbor, inclusi i giganti americani di Internet come Google, Facebook, Apple, Macrosoft, Yahoo; più nello specifico, fino al 2013 le aziende aderenti erano 3246 di queste il 51% trasferiva dati dall’Europa negli Usa per fini di gestione del personale e riguardava per il 60% aziende di dimensione fino a 250 dipendenti.
La autorità americane ed europee dopo estenuante trattative durate mesi ieri, il 2 febbraio, hanno finalmente annunciato la sottoscrizione di un nuovo accordo che sostituisce il Safe Harbor. L’accordo denominato EU-US Privacy Shield, stando alla comunicazione ufficiale della Commissione europea, si impernia su tre pilastri:
– Rafforzamento delle obbligazioni sulle imprese americane che gestiscono i dati personali dei cittadini europei e misure di attuazione: viene rafforzato il sistema di autocertificazione con specificazione sulle finalità e sulle modalità di trattamento, nonchè le garanzie di tutela per i diritto dei cittadini europei sotto la supervisione del Dipartimento americano per il commercio. Ogni società americana che gestisce tali dati per finalità di gestione delle risorse umane dovrà impegnarsi di essere conforme anche alle pronunce della Autorità garanti privacy nazionali.
– Impegno delle Autorità americane su requisiti di trasparenza e misure chiare in riferimento all’accesso da parte delle Public Authorities: le Autorità americane si sono impegnate a fornire garanzie in ordine all’accesso da parte delle Public Authorities e della NSA, le eccezioni che consentono l’accesso ai dati dei cittadini dovranno essere proporzionate e necessarie, non dovrà esserci sorveglianza indiscriminata di massa. L’accordo è sottoposto a revisione annuale sotto la supervisione della Commissione europea e del Dipartimento americano per il commercio, oltre al coinvolgimento di esperti di intelligence dagli USA e dalle Autorità garanti privacy nazionali.
– Effettività di tutela dei diritti e possibilità di accesso a strumenti di tutela: ogni cittadino europeo potrà inviare istanze alle società, la società americana titolare del trattamento dovrà riscontrare l’istanza in tempi prestabiliti, le Autorità garanti potranno inoltrare l’istanza al Dipartimento americano per il commercio e alla Federal Trade Commision. Ci sarà la possibilità di adire gratuitamente organismi di risoluzione alternative delle dispute (c.d. ADR). Con riguardo agli accessi da parte delle Public Authorities verrà istituito un Ombudsman.
I punti sopra illustrati costituiscono i pilastri del nuovo accordo, la soluzione raggiunta con grande fatica è sicuramente una soluzione di compromesso, occorrerà esaminare tutto l’accordo per conoscerne più nel dettaglio i termini più precisi, ma quello che emerge chiaro è che chi si aspettava una logica rigorosa nella quale venisse riconosciuta esattamente un tutela equivalente a quella del diritto europeo dovrà attendere ancora.
D’altro conto, da una parte occorre dire che “essentially equivalent” non può essere inteso come l’applicazione tout court della legislazione europea oltreoceano. Dall’altra parte, la soluzione adottata presenta un forte passo in avanti rispetto al precedente Safe Harbor nel senso di un maggiore allineamento tra le diverse legislazioni europea ed americana, ma soprattutto una risposta necessaria in termini di certezza giuridica per le tante imprese che operano nell’economia digitale.
In termini concreti, occorre tenere in conto che la risposta politica consentirà ai cittadini una tutela giuridica effettiva nella misura in cui i cittadini europei potranno essere tempestivamente ed adeguatamente informati da parte delle società americane, altrimenti dovrebbero trasformarsi tutti in una sorta di Max Schrems il quale ha dovuto supportare le sue argomentazioni giuridiche ricorrendo alle pubblicazioni su noti quotidiani.