La Corte di Giustizia Europea rimette in discussione gli accordi UE-USA in tema privacy, non ritenendo sufficienti le garanzie offerte ai cittadini europei: una decisione ricca di possibili ricadute sull’uso delle cloud pubbliche

Con la sentenza del 16 luglio 2020 relativa alla causa C‑311/18 (Commissario per la Protezione dei dati contro Facebook Ireland Ltd e Maximillian Schrems), la Corte di Giustizia Europea ha invalidato l’accordo fra UE e USA noto come “Privacy-Shield Framework”, adottato nel 2016, con la motivazione che esso non fornirebbe ai cittadini europei sufficienti garanzie contro le leggi statunitensi in materia di sorveglianza e sicurezza della privacy.

La Corte ha ritenuto che i requisiti del diritto interno degli Stati Uniti, e in particolare alcuni programmi che consentono l'accesso delle autorità pubbliche statunitensi ai dati personali trasferiti dall'UE per motivi di sicurezza nazionale, comportassero limitazioni alla protezione dei dati personali non in linea col diritto UE e non dessero adeguate possibilità ai soggetti interessati di esercitare i loro diritti in caso di controversie con le autorità statunitensi.

La sentenza non ha un “periodo di grazia” e quindi rende immediatamente illegali i trasferimenti di dati personali fatti non solo nell’ambito del Privacy-Shield framework, ma potenzialmente anche di altri strumenti legislativi equivalenti dove siano applicati questi meccanismi della legge statunitense. Questo non invalida automaticamente tutti i trasferimenti di dati personali tra EU e USA ma richiede, a quanti ne facciano in modo continuativo, di effettuare una valutazione per capire se sono in regola.

L'European Data Protection Board (EDPB) ha pubblicato delle FAQ per fornire chiarimenti alle parti interessate, che verrà ulteriormente ampliato e integrato man mano che EDPB continuerà ad approfondire la valutazione della sentenza.

Si tratta di una decisione che può avere conseguenze molto serie sull’utilizzo delle piattaforme GAFAM (Google, Amazon, Facebook, Apple, and Microsoft) e in particolare ne mette in seria discussione l'uso indiscriminato da parte delle Pubbliche Amministrazioni e nell’istruzione, soprattutto pubblica. Non è la prima volta che in Europa ci si pone la questione di che fine facciano i dati acquisiti dai “Big 5” ma il fatto che ad esprimersi sia la corte di giustizia Europea rende ancora più urgente la riflessione sui reali costi delle piattaforme “gratuite” che tutti utilizziamo.

Ci sarà molto da fare per invertire la tendenza, ma questa sentenza impone un ripensamento anche e soprattutto nella nostra comunità della ricerca e dell’istruzione, in vista di soluzioni in grado di garantire la protezione dei dati ma anche la nostra sovranità su di essi e le competenze necessarie a gestirli.

Maggiori informazioni

• La notizia sul sito dell' European Data Protection Board
• Schrems II: what’s new for EU-US data transfers? - su Connect
• Domande più frequenti in merito alla sentenza della Corte di giustizia dell’Unione europea nella causa C-311/18 - file pdf