Indica un intervallo di date:
  • Dal Al

La Corte di Giustizia e il Safe Harbor: il rimedio è peggiore del male?

Ho appena consegnato alla redazione di Formiche un breve articolo, in cui provo a sottolineare l’impatto che la sentenza Schrems della Corte di Giustizia potrebbe avere sulle imprese. Queste sono solo le prime battute, il resto lo trovate sulla versione cartacea della rivista tra qualche settimana.

**********************************************************************************************

A differenza di quanto insegnano i geologi, è possibile prevedere alcuni terremoti. Il terremoto delle ultime settimane, che per fortuna non miete vittime, è stato provocato dalla Corte di Giustizia che, con una sentenza in larga parte anticipata dall’Opinione dell’Avvocato Generale, ha invalidato la decisione della Commissione europea sul Safe Harbor e sul trasferimento dei dati personali tra Europa e Stati Uniti.

Prima di addentrarci nel caso di specie, proviamo a ricapitolare la situazione legislativa. L’art. 25 della direttiva n. 46/95/CE prevede un generale divieto di trasferire dati personali al di fuori dell’Unione europea. Questa regola ammette, però, una serie di eccezioni: il trasferimento è ammesso nel caso in cui vi sia il consenso della persona cui i dati personali si riferiscono ovvero avvenga in esecuzione di misure contrattuali o precontrattuali o, ancora, per rispondere ad un interesse pubblico; in presenza di strumenti negoziali, validati dalla Commissione europea, che offrano garanzie di sicurezza; infine, in caso di decisioni di adeguatezza, ovvero decisioni della Commissione europea che attestino che un determinato Paese, non appartenente all’Unione europea o allo Spazio economico europeo, assicuri un livello di protezione “adeguato” ossia sia dotato di misure legislative che offrano un livello di protezione dei dati personali conforme agli standard comunitari. Tra le decisioni di adeguatezza – che hanno interessato, tra gli altri, Israele, Svizzera, Australia e Canada – la più nota è quella del 26 luglio 2000 tra Unione europea e Stati Uniti, detta Safe Harbor, oggi invalidata dalla sentenza di cui discorriamo.

L’operato della Corte di Giustizia ha ricevuto apprezzamenti da più parti, non da ultimo dal nostro Garante per la protezione dei dati personali, che ha sottolineato l’importanza che i diritti dei cittadini siano rispettati anche al di fuori dei confini comunitari. Una presa di posizione con la quale non si può che essere d’accordo, ma che, forse, evidenzia solo una faccia di un prisma molto più complesso.

Innanzi tutto, la Corte di Giustizia fotografa una situazione grave, ma in parte non più attuale. Dopo lo scandalo Snowden, da cui ha tratto origine anche il caso in esame, gli Stati Uniti stavano provando ad arginare l’emergenza privacy con alcuni provvedimenti legislativi, tra cui il Judicial Redress Act dello scorso anno.

In secondo luogo, non può essere sottaciuto l’impatto economico e politico della sentenza Schrems.

Non è una sentenza che colpisce Facebook o Google, come semplicisticamente si è detto: sono circa quattromila le imprese europee e statunitensi che beneficiano dei principi di Safe Harbor e, di queste, circa il 60% sono piccole e medie imprese, incluse numerose start-up. Quello che in pochi hanno sottolineato è che tali principi regolano esclusivamente i rapporti tra Unione europea e Stati Uniti, ma non sono l’unico strumento giuridico per il trasferimento transfrontaliero di dati personali. Clausole contrattuali standard e binding corporate rules garantiscono la medesima efficacia, legittimando i trasferimenti di dati oltre lo spazio europeo, ma impongono costi transattivi più alti. Quanto appena detto vale specialmente per le clausole contrattuali standard (anche note come model contract clauses), che sono clausole da inserire all’interno di contratti tra imprese che non appartengono al medesimo gruppo (cui, invece, sono riservate le binding corporate rules).