di Enrica Maio – Digital & Law Department 

La Corte di Giustizia dell’Unione Europea ha infatti recentemente dichiarato, nella sentenza resa nella causa C-362/14, l’invalidità della decisione della Commissione Europea che riteneva adeguata la protezione assicurata ai dati personali dei cittadini europei negli USA consentendone, quindi, il trasferimento secondo gli accordi di Safe Harbor.
Il Garante per la privacy, infatti, ha dichiarato decaduta l’autorizzazione[1], emanata nel 2001, con la quale si consentivano i trasferimenti di dati personali dei cittadini europei verso gli Stati Uniti sulla base del cosiddetto accordo di “Safe Harbor”, essendo venuto meno il presupposto di legittimità per tale trasferimento. 

In questo modo, tutte le società multinazionali, le organizzazioni e le imprese italiane[2], per trasferire dati negli USA, dovranno ricorrere alle altre possibilità previste dalla normativa sulla protezione dei dati personali.
La Commissione Europea ha pubblicato delle linee guida in materia di trasferimento di dati personali dei cittadini europei negli Stati Uniti (tenendo conto dell’importanza del diritto fondamentale della protezione dei dati personali, così come stabilito nella Carta dei Diritti Fondamentali dell’UE), nelle quali si legge che la sentenza della Corte di Giustizia del 6 ottobre 2015 ha dichiarato sindacabile dalle Authority privacy degli Stati membri l’adeguatezza delle garanzie al corretto trattamento dei dati dei cittadini europei assicurate negli USA, in base agli accordi di Safe Harbor. 

Quindi, in attesa della fine delle nuove trattative tra USA ed UE – le quali dovrebbero concludersi in 3 mesi – le aziende dovranno conformarsi alla sentenza della Corte di Giustizia e avvalersi di eventuali strumenti alternativi per il trasferimento dei dati.
Ad oggi, dunque, secondo Bruxelles e secondo il Garante Privacy italiano, le imprese possono effettuare i trasferimenti dei dati personali degli utenti europei sulla base di:

• clausole contrattuali standard: le clausole contrattuali prevedono obblighi, misure di sicurezza e informazione dell’interessato. In particolare, incorporando le clausole contrattuali in un contratto utilizzato per il trasferimento, l’esportatore dei dati garantisce che questi ultimi saranno trattati conformemente ai principi stabiliti nella Direttiva 95/46/CE anche nel Paese terzo di destinazione.
• Binding Corporate Rules, cioè norme di condotta vincolanti per i trasferimenti di dati all’interno dello stesso gruppo societario:trattasi di uno strumento volto a consentire il trasferimento di dati personali dal territorio dello Stato verso Paesi extra-UE, tra società facenti parti dello stesso gruppo d’impresa. Si concretizzano in un documento contenente una serie di clausole (rules) che fissano i principi vincolanti (binding) al cui rispetto sono tenute tutte le società appartenenti a uno stesso gruppo (corporate). Le BCR traggono efficacia dalla concessione di una autorizzazione del Garante al trasferimento dei dati personali verso Paesi terzi ex art.44, lettera a), del Lgs. n.196/2003.

Nella comunicazione della Commissione, che è alla base della decisione dell’Autorità Garante italiana, viene sottolineato che l’accordo di Safe Harbor non costituisce più una base giuridica idonea per i trasferimenti di dati personali in territorio statunitense. 

 La Commissione ha voluto chiarire che le linee guida appena pubblicate indicano le modalità alternative per i trasferimenti di dati personali verso gli Stati Uniti e non pregiudicano, in alcun modo, l’indipendenza delle Autorità di protezione dei dati e la loro facoltà di esaminare la legittimità di tali trasferimenti. 

Infatti, il Garante italiano si è comunque riservato di effettuare controlli per verificare la liceità e la correttezza del trasferimento dei dati.
Non resta, quindi, che aspettare la fine delle trattative per avere un quadro omogeneo, un nuovo Safe Harbor in grado di disciplinare adeguatamente il trasferimento dei dati personali dei cittadini europei verso gli Stati Uniti d’America. 

Nel frattempo, comunque, i titolari di trattamenti che trasferiscono dati dei cittadini italiani potranno validamente utilizzare gli strumenti menzionati.