Lo si è percepito chiaramente a seguito dell’invalidazione, da parte della Corte di giustizia, meno di cinque anni fa, della decisione della Commissione fondata sull’accordo “Safe Harbor”, che sanciva le garanzie da accordare ai dati trasferiti negli Usa dall’Europa. Tale accordo (per il cui miglioramento tanto si era speso Stefano Rodotà, all’epoca della sua negoziazione Garante italiano e presidente dell’organo di coordinamento dei Garanti europei) era stato, infatti, ritenuto inidoneo ad assicurare una protezione sufficiente ai dati personali ricevuti dall’Europa.
Di fatto secondo la Corte di Giustizia:
- il livello di protezione dei diritti tra le due sponde dell’Atlantico NON si poteva considerare equivalente, e quindi bisognava rinegoziare un nuovo accordo che potesse rafforzare le garanzie dei soggetti i cui dati siano trasferiti oltreoceano. Esito di questa negoziazione è stato lo scudo transatlantico (privacy Shield) che però, con la sentenza del 16 luglio, è stato ritenuto inidoneo dalla Corte di Lussemburgo a garantire una protezione, “sostanzialmente equivalente” a quella europea.
La Corte ritiene che le limitazioni di tale diritto, ammesse nell’ordinamento statunitense, non possano ritenersi proporzionali, in ragione, essenzialmente, del carattere massivo degli accessi previsti dai programmi di surveillance.
Né, del resto, l’ordinamento statunitense accorda una tutela giurisdizionale effettiva ai diritti degli interessati lesi, non potendo ritenersi a tal fine sufficiente – osserva la Corte:
- la procedura di mediazione affidata dallo Shield all’Ombudsperson, in ragione della sua non piena indipendenza e della carenza di poteri decisori vincolanti nei confronti degli organi di intelligence statunitensi.
La Corte sottolinea, insomma, l’esigenza di una tutela effettiva di quello che il Presidente uscente del Garante italiano, Antonello Soro, ha definito diritto “di libertà”, argomentando dalla sua collocazione sistematica all’interno della Carta di Nizza.
LE CLAUSOLE
L’altro profilo importante è, per altro verso, nascosto tra le pieghe della conferma della validità della decisione della Commissione sulle clausole contrattuali tipo, suscettibili di inclusione negli accordi commerciali per il trasferimento dei dati.
La legittimità del ricorso a queste clausole – pur non vincolanti, in ragione della loro natura negoziale, per le autorità Usa – si fonda, per la Corte, sul controllo ulteriore che esse impongono, ai data exporter e alle Autorità di protezione dati, circa le chances di loro effettiva attuazione nello Stato ricevente. Si tratta di un vaglio indubbiamente complesso, di cui ancora una volta si onera un soggetto privato quale il data exporter, secondo una linea di marcata responsabilizzazione promossa non solo dal Gdpr ma anche, più in generale, dalla Corte di giustizia, rispetto agli obblighi del provider circa i contenuti illeciti diffusi in rete. Un indirizzo, questo, teso a far corrispondere a sempre più rilevanti “poteri privati” altrettanti oneri di carattere, talora, quasi pubblicistico.
L’EDPB ha specificato che è ancora possibile trasferire dati dal SEE agli Stati Uniti sulla base delle deroghe previste dall’articolo 49 del GDPR, purché siano soddisfatte le condizioni di cui a tale articolo.
In particolare, è opportuno ricordare che, quando i trasferimenti sono basati sul consenso dell’interessato, esso dovrebbe essere: esplicito, specifico con riguardo al particolare trasferimento o insieme di trasferimenti (il che significa che l’esportatore deve assicurarsi di ottenere un consenso specifico prima che il trasferimento sia messo in atto anche se ciò avviene dopo la raccolta dei dati), e informato.
Per quanto riguarda i trasferimenti necessari all’esecuzione di un contratto tra l’interessato e il titolare del trattamento, occorre tenere presente che i dati personali possono essere trasferiti solo su base occasionale.
