La sentenza Schrems II che ha invalidato il Privacy Shield “ha messo in crisi il sistema e una soluzione” sul trasferimento dei dati tra Usa-Ue “non sembra alle porte”, spiega l’avvocato Bassa. Ecco gli sviluppi dalla tappa di Biden a Bruxelles
La sentenza Schrems II con cui la Corte di giustizia europea ha dichiarato invalida la decisione della Commissione europea che stabiliva l’adeguatezza del Privacy Shield sul trasferimenti di dati personali dall’Unione europea agli Stati Uniti ha “messo in crisi tutto il sistema e una soluzione non sembra alle porte”. A spiegarlo a Formiche.net è Francesca Bassa, avvocato e partner dello Studio bd LEGAL di Milano, esperta di diritto delle tecnologie, in particolare di compliance della protezione dei dati personali.
“La sentenza si focalizza sugli Stati Uniti ma indica la via anche per il rapporto con i Paesi terzi”, prosegue. “Invalidato il Privacy Shield, rimangono valide le clausole contrattuali standard, ovvero l’altra soluzione che consente il trasferimento legittimo dei dati personali verso i Paesi terzi. Tuttavia, come anche da raccomandazioni del Comitato europeo per la protezione dei dati, non sono sufficienti a legittimare da sole il trasferimento poiché sul titolare (o responsabile) ricade la valutazione dei mezzi di trasferimento e della loro efficacia. I titolari (o responsabili) sono quindi tenuti a verificare caso per caso se le leggi e le prassi del Paese terzo garantiscono un livello di protezione sostanzialmente equivalente a quello previsto dal diritto dell’Unione europea”, aggiunge.
Ed è qui che emergono le difficoltà: come possono i privati rispondere alle preoccupazioni di rischi di ingerenze con un semplice contratto fra privati se neppure gli Stati riescano a trovare una soluzione?
“Non si può evitare di pensare alle difficoltà delle aziende”, spiega l’avvocato Bassa tra cui quelle di scegliere consulenze specializzate e predisporre procedure ad hoc all’interno dell’organizzazione aziendale. “E non parlo soltanto delle multinazionali come Big Tech. Pensiamo per esempio a una media impresa italiana che si affida a cloud americano e a un servizio di mailing list di Paesi terzi senza un livello di protezione adeguato. C’è una difficoltà operativa-pratica da non sottovalutare rappresentata dall’allungarsi dei soggetti coinvolti”.
Raggiungere un’intesa sui dati è “il primo passo per ricostruire le relazioni tra Stati Uniti e Unione europea”, aveva scritto a dicembre Politico.com. Un articolo che torna utile nel giorno dell’incontro tra il presidente americano Joe Biden e i vertici di Bruxelles. Anche perché, come spiega l’avvocato Bassa, “dalla sentenza Schrems II non è cambiato molto”. Dopo i quattro anni di tensioni con Donald Trump,”ora spetterà all’amministrazione Biden, che entrerà alla Casa Bianca a gennaio, capire quel complesso insieme di priorità, sia per sostenere la capacità delle agenzie di sicurezza nazionale degli Stati Uniti di proteggere gli americani sia per placare i funzionari europei scontenti”.
Sono passati sette mesi da quell’articolo ma Washington e Bruxelles appaiono ancora lontane dal un accordo sui flussi di dati transatlantici, che rappresentano scambi per miliardi di euro ogni anno. La Commissione europea chiede certezze giuridiche sul trattamento dei dati buttando la palla nel campo degli Stati Uniti, chiamati a proporre soluzioni sulle modalità di protezione della privacy dei cittadini europei rispetto alle attività delle agenzie di sicurezza nazionale. Il Consiglio Unione europea-Stati Uniti per il commercio e la tecnologia inaugurato con la visita a Bruxelles del presidente Biden può essere la giusta piattaforma di dialogo per raggiungere un’intesa.
Ma se il dialogo tra le due sponde dell’Atlantico appare tutt’altro che scontato la ragione risiede anche nel fatto che, con la sentenza Schrems II, le autorità nazionali europee hanno ottenuto nuovi poteri che non sembrano decise a restituire facilmente all’Unione europea.