Diritto & Internet

Come cambia il trasferimento dei dati europei oltreoceano dopo la sospensione del Safe Harbor?

La recente decisione “Facebook” della Corte di giustizia europea (Causa C-362-14) si può leggere con due diverse prospettive, che peraltro non si escludono vicendevolmente. La prima lettura è quella tecnico-giuridica. La seconda è quella politica.

Muoviamo dalla prima. I fatti sono noti e così le conclusioni. Gli Stati Uniti non sono considerati un Paese che, ai sensi della dir. 95/46, la direttiva-madre in materia di protezione dei dati personali, garantisce un livello di tutela adeguato.

Il percorso è quello tracciato dall’art. 25 della direttiva che si riporta, per comodità e per chiarezza, per comprendere meglio il passato (la decisione) e il futuro (le strade aperte attualmente).

“Articolo 25
Principi
1. Gli Stati membri dispongono che il trasferimento verso un paese terzo di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento può aver luogo soltanto se il paese terzo di cui trattasi garantisce un livello di protezione adeguato, fatte salve le misure nazionali di attuazione delle altre disposizioni della presente direttiva.
2. L’adeguatezza del livello di protezione garantito da un paese terzo è valutata con riguardo a tutte le circostanze relative ad un trasferimento o ad una categoria di trasferimenti di dati; in particolare sono presi in considerazione la natura dei dati, le finalità del o dei trattamenti previsti, il paese d’origine e il paese di destinazione finale, le norme di diritto, generali o settoriali, vigenti nel paese terzo di cui trattasi, nonché le regole professionali e le misure di sicurezza ivi osservate.
3. Gli Stati membri e la Commissione si comunicano a vicenda i casi in cui, a loro parere, un paese terzo non garantisce un livello di protezione adeguato ai sensi del paragrafo 2.
4. Qualora la Commissione constati, secondo la procedura dell’articolo 31, paragrafo 2, che un paese terzo non garantisce un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo, gli Stati membri adottano le misure necessarie per impedire ogni trasferimento di dati della stessa natura verso il paese terzo in questione.
5. La Commissione avvia, al momento opportuno, negoziati per porre rimedio alla situazione risultante dalla constatazione di cui al paragrafo 4.
6. La Commissione può constatare, secondo la procedura di cui all’articolo 31, paragrafo 2, che un paese terzo garantisce un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo, in considerazione della sua legislazione nazionale o dei suoi impegni internazionali, in particolare di quelli assunti in seguito ai negoziati di cui al paragrafo 5, ai fini della tutela della vita privata o delle libertà e dei diritti fondamentali della persona.
Gli Stati membri adottano le misure necessarie per conformarsi alla decisione della Commissione”.

Dunque la Commissione in passato aveva ritenuto adeguato il livello di protezione garantito dal Safe Harbor, ma la Corte, con questa decisione, non concorda e invalida il Safe Harbor.

Ciò non significa affatto che il trasferimento dei dati personali verso gli Stati Uniti non possa più avvenire. Può avvenire sulla base dell’espresso consenso dell’interessato oppure sulla base delle Binding Corporate Rules.

Quindi l’interessato potrà esprimere il consenso sul trasferimento oppure il titolare del trattamento potrà dotarsi di regole di gestione approvate dall’Autorità garante che consentiranno il trasferimento.

Cosa cambia, allora?

Che non si potrà utilizzare lo strumento del Safe Harbor, cioè trasferire i dati verso gli Stati Uniti senza consenso o senza regole preapprovate, ritenendo cioè i dati protetti negli Stati Uniti come in Europa.

Sotto il profilo strettamente giuridico-applicativo, il commento finisce qui. Si configurano indubbiamente maggiori oneri gestionali per chi trasferisce i dati dall’Europa agli Stati Uniti, ma certo non un divieto.

Assai più problematica, invece la lettura politica della decisione che segue a distanza di circa un anno il caso Google Spain.

Gli Stati Uniti, si è affermato prima, non garantiscono per la Corte un livello di protezione dei dati adeguato.

In estrema sintesi la Corte afferma che il livello di protezione dei dati personali è più alto in Europa e che ai dati personali degli europei (si perdoni qui la semplificazione, ovviamente la decisione si riferisce al trasferimento dei dati dall’Europa, a certe condizioni) si applica la legge europea. Affermazioni di segno analogo erano nella decisione Google Spain.

La Corte anticipa il contenuto dell’art. 3 dell’emanando regolamento europeo in materia di protezione dei dati personali con un’altra decisione di carattere (anche) politico. D’altronde, la protezione dei dati personali ha rilievo costituzionale in Europa (art. 8 della Carta dei diritti fondamentali), ma non negli USA. Ciò ovviamente riflette una differente scala di valori in due regioni del mondo seppure molto simili fra loro, se confrontate con la regione asiatica. Ciò ha naturalmente un costo, diversamente sopportabile per i grandi (Google o Facebook) e per i piccoli attori. E evidenzia che politicamente sul punto fra Europa e Stati Uniti non c’è (ancora?) accordo.

Giusella Finocchiaro

Aggiungi commento

Direttore Scientifico
Prof. Avv. Giusella Finocchiaro
Curatrice Editoriale
Dott. Giulia Giapponesi