La privacy in Europa è una questione seria, serissima e di questo non possiamo che essere felici ed orgogliosi.
Proteggere i dati personali della persona significa tutelare l’uomo nei suoi valori più profondi ed evitare che diventi merce nelle mani dei governi e dell’industria.
Purtroppo però non tutti i paesi extraeuropei offrono le nostre stesse garanzie e per questo il GDPR prevede dei limiti all’esportazione dei dati verso paesi terzi. Detto trasferimento può avvenire sostanzialmente solo se il paese è considerato sicuro dalla Commissione Europea o se il soggetto che importa i dati si obbliga a rispettare determinate clausole preimpostate, le così dette SCC (Standard Contractual Clauses).
Per quanto attiene la possibilità di esportare i dati negli Stati Uniti, paese strategico per molte aziende e per la fornitura di molti servizi Internet, dopo il c.d. Safe Harbor, dichiarato invalido dalla Corte di Giustizia a seguito del caso Schrems I, era stato introdotto con il Privacy Shield USA-UE un regime di protezione che consentiva di potere trasferire i dati negli USA nel rispetto della normativa europea.
Lo scorso 16 Luglio 2020, con la decisione n. 2016/1250 (c.d. Schrems) la Corte di Giustizia ha però dichiarato invalido anche il Privacy Shield in quanto gli USA non risulterebbero offrire garanzie adeguate principalmente a causa dei loro programmi sulla sicurezza nazionale.
La Corte ha ribadito la possibilità di potere utilizzare le SCC (Standard Contractual Clauses) nel caso di trasferimento di dati al di fuori dell’Unione ma ha ricordato che ciò è possibile solo verso Stati che siano ritenuti affidabili ed al momento, sulla base di quanto risulta dalla sua decisione, gli Stati Uniti non sembrano esserlo.
La Schrems II ha quindi creato un vero cortocircuito da cui non sarà facile uscire per tutti coloro che intendono trasferire dati al di fuori dell’Europa ed in particolare negli Stati Uniti.
Valutare se uno stato extraeuropeo può considerarsi sicuro non è certo un esame semplice e comporta un notevole grado di assunzione di responsabilità.
Per gli Stati Uniti la questione è ancora più critica. Se la Corte non li ritiene un paese adeguato dal punto di vista del trattamento dei dati personali non si vede su quali basi si possa riuscire a dimostrare che lo sono.
Per certi trattamenti possono esserci delle vie di fuga, si pensi alla possibilità di potere utilizzare le deroghe di cui all’art. 49 GDPR ed in particolare la base giuridica della necessità del trasferimento dei dati negli Stati Uniti per adempiere un contratto con l’interessato (come potrebbe essere per Facebook e per gli altro social network), ma queste soluzioni non varranno per tutti.
Una soluzione potrebbe essere quella di considerare al di fuori del perimetro del GDPR il trattamento dei dati per ragioni di sicurezza nazionale anche nel caso in cui trattamenti siano effettuati da stati extraeuropei, ma al momento questa strada non è percorribile perché queste prerogative sono riservate agli stati membri.
In attesa di un intervento delle Autorità Garanti, o normativo, non resta che riesaminare con cura tutti i trattamenti di dati e cercare, per quanto più possibile, di ricondurli nell’ambito dell’Unione, operazione necessaria se lo stato terzo non è sicuro e se non si ravvisano deroghe al divieto di esportazione in paesi non adeguati.