Una recente sentenza della Corte di Giustizia UE è intervenuta in merito al trasferimento dei dati personali in un paese Safe Harbor, che cioè “garantisce un livello di protezione adeguato” (approdo sicuro) al trasferimento di dati da parte di uno Stato Membro dell’Unione Europea. Il pronunciamento potrebbe avere conseguenze importanti per le imprese italiane, poiché interviene sulla normativa vigente, in base alla quale:
- è vietato il trasferimento di dati personali da paesi UE verso paesi terzi (non appartenenti ad UE o Spazio Economico Europeo: Norvegia, Islanda, Liechtenstein), in base all’articolo 25, comma 1, Direttiva 95/46/CE, a meno che tali paesi non garantiscano un livello di protezione adeguato; la Commissione può stabilire tale adeguatezza attraverso una specifica decisione (comma 6);
- in deroga a tale divieto, il trasferimento è consentito anche nei casi menzionati dall’articolo 26, comma 1 della direttiva (consenso della persona interessata, necessità del trasferimento ai fini di misure contrattuali/precontrattuali, interesse pubblico preminente, ecc.), nonché sulla base di strumenti contrattuali che offrano garanzie adeguate (articolo 26, comma 2).
=> Internazionalizzazione e gestione informazioni
La sentenza riguarda il trasferimento negli USA, dove le imprese sono tenute a disapplicare gli accordi di Safe Harbor se in conflitto con esigenze di sicurezza nazionale, pubblico interesse e osservanza delle leggi. Ebbene, secondo la CGUE tale possibilità lede sì il diritto al rispetto della vita privata ma la valutazione in concreto di tale incompatibilità va svolta a livello nazionale, dalle singole Autorità Garanti della Privacy, in quanto la Commissione UE (che nel 2000 aveva dichiarato la normativa USA adeguata e sicura) non ha poteri vincolanti sulle singole Autorithy.
“Qualora un’autorità nazionale o una persona ritenga che una decisione della Commissione sia invalida, tale autorità o persona deve potersi rivolgere ai giudici nazionali affinché, nel caso in cui anche questi nutrano dubbi sulla validità della decisione della Commissione, essi possano rinviare la causa dinanzi alla Corte di giustizia. Pertanto, in ultima analisi è alla Corte che spetta il compito di decidere se una decisione della Commissione è valida o no”.
Ebbene, cosa cambia in concreto per le imprese italiane? Attualmente potrebbe non cambiare molto. Sotto il profilo della tenuta giuridica e vincolante degli accordi tra PMI italiane e paesi terzi, tutto dipende da come è stato redatta la disciplina del trattamento dati e dove gli stessi vengono trattati: i problemi sorgono infatti solo con i paesi extra-UE.
=> Privacy e impresa: Vademecum del Garante
Sicuramente, per i dati trasferiti negli Stati Uniti gli accordi potrebbero essere più facilmente soggetti ad accertamenti o richieste in questo senso da parte degli interessati. La scelta migliore per le aziende che hanno rapporti a livello internazionale con paesi terzi è di redigere delle Binding Corporate Rules seguendo i criteri indicati a livello nazionale ed europeo, soprattutto sotto il profilo delle reciproche responsabilità e garanzie.
=> Il trasferimento all’estero di dati personali
Ciò non toglie che, alla luce della sentenza CGUE, tutti gli accordi dovranno essere rivisitati e migliorati. Tuttavia, prima di modificare gli accordi, sarebbe opportuno per le aziende italiane attendere le linee guida o le raccomandazioni che, prevedibilmente, saranno diffuse del Garante Italiano, anche coordinandosi con le altre Autorità europee di vigilanza sulla tutela dei dati personali. Di fatto, la decisione della Corte UE (che tra l’altro ha rinviato a quella irlandese la decisione nel merito) non ha dichiarato invalidi tutti gli accordi tra le aziende europee ed americane (o qualsivoglia paese terzo), che quindi rimangono pienamente operanti.
In realtà la sentenza sembra aver aperto un vuoto che la Corte non ha ritenuto di dover o poter colmare: rimandando la decisione sulla compatibilità del principio del Safe Harbor alle valutazioni delle Autorità dei singoli Stati Membri, ogni Stato potrebbe adottare decisioni diverse creando una estrema disomogeneità nel trattamento dei dati; circostanza che cozza con la tendenza e volontà (anche alla luce del nuovo regolamento sul trattamento dei dati personali) di avere una comune disciplina europea.
_______
