Privacy Shield: uno strumento inadeguato fin dalla sua nascita?

Home » News & Press » Privacy Shield: uno strumento inadeguato fin dalla sua nascita?

Privacy Shield: uno strumento inadeguato fin dalla sua nascita?

0 Commenti

Il già precario “scudo” del Privacy Shield che metteva al riparo da contestazioni i trasferimenti di dati fra l’Unione Europea e gli Stati Uniti è venuto meno a seguito della sentenza pronunciata dalla Corte di Giustizia UE il 16 luglio 2020 nel caso C-311/18, che vede coinvolte l’Autorità Garante irlandese, Facebook Ireland e il sig. Maximillian Schrems. La storica decisione arriva dopo una sentenza simile già emanata nel 2015 e che aveva azzerato lo “scudo” predecessore del Privacy Shield. In quell’occasione però non si era minata la fiducia della Commissione Europea circa l’affidabilità del partner americano relativamente al trattamento dei dati effettuato oltre oceano, invece, questa seconda sentenza rischia di avere effetti più incisivi, costringendo la Commissione a modificare il suo approccio.

Il “Safe Harbor”

La sentenza del 16 luglio ha origini lontane, infatti, prende i natali da una decisione che risale a circa vent’anni fa, al 2000, quando eravamo nella piena vigenza della Direttiva CE 95/46 in ambito di privacy. La direttiva del 1995 consentiva infatti il trasferimento di dati all’esterno dell’UE solo nel caso in cui questi paesi garantissero un livello di protezione adeguato ovvero nel caso in cui le parti negoziassero clausole contrattuali in grado di offrire garanzie sufficienti. Riguardo ai rapporti tra Europa e Stati Uniti in relazione al trasferimento dei dati personali sono stati inizialmente regolamentati con la Decisione CE del 26 luglio 2000 n. 2000/520/CE, che ha permesso la creazione del “Safe Harbor“, ovvero un accordo a cui potevano aderire, a determinate condizioni, le società statunitensi interessate a trattare dati in Europa al fine di garantire un livello di protezione in linea con quello previsto dall’allora normativa europea in materia.

Sotto lo scudo del Safe Harbor si è dato inizio ad una “normalizzazione” dei trasferimenti dati fra Stati Uniti e Unione Europea nonostante, poco dopo la decisione della Commissione Europea, gli Stati Uniti avessero preso, a seguito degli attentati dell’11 settembre 2001, una deriva “molto poco garantista” circa il trattamento dei dati personali dei propri cittadini e degli stranieri su suolo americano. La Commissione Europea diede poca rilevanza al fenomeno fino a quando, nell’ottobre 2015, non dovette affrontare la questione. Infatti, il 6 ottobre 2015, decidendo la causa C-362/14, la Corte di Giustizia Europea ha annullato il Safe Harbor con un perentorio “la decisione n. 200/520/CE è invalida” argomentando che tale meccanismo non era uno strumento adeguato a garantire il rispetto degli standard di sicurezza in tema di protezione dei dati previsti dalla normativa UE.
La pronuncia della corte nasce da un attivista austriaco, il sig. Schrems, che aveva adito l’autorità irlandese nel 2013, per lamentare che la sussidiaria europea di Facebook Inc. avesse illegittimamente trasferito i suoi dati (e quelli di tutti gli altri utenti del social) al di fuori dei confini dell’Unione senza adeguate garanzie. Schrems vide rigettate le sue richieste dall’Autorità garante irlandese e si rivolgeva quindi alla High Court la quale rimetteva la questione in rinvio pregiudiziale alla Corte di Giustizia UE, affinché valutasse se il “Safe Harbor” potesse legittimare il trasferimento dei dati di cittadini europei negli Stati Uniti.

Pochi anni prima, il clamore e le rivelazioni dovute al caso di Edward Snowden avevano rivelato al mondo le pesanti ingerenze della Casa Bianca relative alla protezione dei dati di cittadini americani ed europei sul suolo statunitense. A seguito di ciò crebbe a dismisura, in Europa, la preoccupazione circa il trattamento dei nostri dati da parte degli USA. La Corte di Giustizia raccolse queste preoccupazioni e, pronunciandosi sulla questione pregiudiziale, dichiarò appunto l’invalidità della Decisione che aveva istituito il Safe Harbor.

L’accordo tra UE e USA: il Privacy-Shield Framework

Dalle ceneri del “Safe Harbor”, abbattuto dalla Corte di Giustizia, è poco dopo nato un nuovo accordo fra UE e USA, detto Privacy-Shield Framework adottato dalla Commissione Europea con Decisione UE IP/16/216. Con tale accordo la Commissione ha cercato di smussare molti degli aspetti criticati del “Safe Harbor”, rafforzando le tutele per i cittadini UE, anche se era già allora evidente che non si trattava di una soluzione davvero garantista e che esistevano ipotesi in cui i dati dei cittadini europei non sarebbero stati al sicuro da ingerenze USA. L’accordo, in particolare, si preoccupava di ridurre i casi in cui le società statunitensi potevano conferire dati a terzi, nonché di ampliare le possibilità di accesso ai dati e di aumentare i controlli in capo al Dipartimento del Commercio USA.

Non veniva però affrontata a dovere la più ostile e antica delle questioni, ovvero, le possibili ingerenze governative circa il trattamento dei dati dei cittadini europei in USA e pertanto, siccome le argomentazioni con cui la Corte di Giustizia UE aveva abbattuto il Safe Harbor non erano state superate con il Privacy Shield, molti immaginavano che anche questo secondo “scudo” sarebbe presto caduto.

Gli Stati Uniti, nel frattempo, non hanno posto alcun limite alle ingerenze nei confronti delle società americane e questo a prescindere dal fatto che i dati riguardassero cittadini statunitensi, europei o di altre nazionalità. Anzi, il governo USA è andato addirittura oltre nel 2018, approvando il Clarifying Lawful Overseas Use of Data (CLOUD) Act, norma che consente al governo USA di chiedere ad organizzazioni americane di accedere ai dati ospitati anche su server transfrontalieri. Il Cloud Act può essere opposto solo in caso di sottoscrizione di appositi executive agreements con “qualifying foreign States” e, inoltre il Privacy Shield non rientra tra tali executive agreements.

In conclusione, si può affermare che lo scudo del Privacy Shield è nato come risposta parziale e inadeguata per sostituire precedenti “scudi” privacy che erano stati spazzati via dalla Corte di Giustizia UE ma non ha mai affrontato con adeguata risolutezza i problemi che avevano portato all’abolizione di tali risposte normative e, di conseguenza, anche quest’ultimo strumento ha subito la medesima fine: la sua cancellazione.

Condividi questo post

Mostra messaggi correlati

22Apr

Raggiunto ESG Rating: A+: AGM Solutions celebra il suo impegno per la sostenibilità

AGM Solutions celebra il raggiungimento dell'ESG Rating: A+ e il suo Impegno verso la sostenibilità con eccellenza ambientale, sociale... leggi di più

21Set

La videosorveglianza tra regole, principi e novità

Nel momento in cui un soggetto, pubblico o privato, decide di avvalersi della videosorveglianza per conseguire una o più... leggi di più

31Gen

Digital Operational Resilience Act (DORA)

Il Digital Operational Resilience Act (DORA) rappresenta un passo significativo verso la sicurezza e la resilienza delle infrastrutture digitali... leggi di più

Privacy-e-cookie.
19Gen

Cookie e Privacy

Cosa sono i Cookie? Ormai qualunque sito ci chiede di accettarli ma perchè sono così importanti? I cookie, sono... leggi di più

05Apr

Quanto è utile avere un sito web nel 2023?

Nel 2023 il sito web rimane una risorsa di fondamentale importanza per il tuo business. Infatti non è soltanto una... leggi di più

Geppei malware
25Nov

Geppei: il nuovo malware

Recentemente è stata identificata dai ricercatori di Symantec una nuova tipologia di malware, utilizzato dal gruppo hacker Cranefly per... leggi di più

20Feb

Governance dei dati: cos’è e come applicarla in azienda

La Governance dei Dati è un elemento essenziale per le organizzazioni che devono gestire un crescente flusso di informazioni... leggi di più

12Giu

Google posticipa la cancellazione dei cookie di terze parti al 2025

Google ha annunciato un ulteriore rinvio della rimozione dei cookie di terze parti dal suo browser Chrome, spostando la... leggi di più

06Dic

Comunicazioni Smartworking? Niente panico!

Il Decreto del Ministero del Lavoro n.149 del 22 agosto 2022 era già stato precedentemente prorogato dal 1 settembre... leggi di più

15Feb

IN AGM Solutions è arrivato Vision Pro di Apple, il nuovo visore per la realtà aumentata e virtuale

L'attesa è finita: il Vision Pro di Apple è finalmente arrivato in AGM Solutions, portando con sé un vento... leggi di più

it_ITItaliano
en_GBEnglish (UK) it_ITItaliano