A distanza di due settimane dalla sentenza della Corte di Giustizia Europea sul caso Schrems contro Facebook, che ha concorso a far decadere gli accordi sul “Privacy Shield” stipulato tra Usa e UE in ambito trasferimento dati personali fuori dall’Europa, non si prospetta ancora nessun altra soluzione, per chi trasferisce il trattamento dati negli Usa, che non le clausole contrattuali standard, i cosiddetti SCC, previste dalla decisione della Commissione Europea 2010/87, oppure tramite le Binding Corporate Rules, Bcr, ovvero delle clausole vincolanti tra imprese di uno stesso gruppo.
Eccezioni agli SCC (accordi contrattuali tra azienda esportatrice europea e azienda con sede estera), e le Bcr (norme vincolanti di impresa per i gruppi societari), possono essere soltanto le deroghe previste dall’art. 49, ovvero:
- se l’utente abbia esplicitamente acconsentito al trasferimento proposto
- se il trasferimento è necessario per l’esecuzione o la conclusione di un contratto stipulato tra l’utente e il titolare del trattamento
- se il trasferimento è necessario per l’esecuzione e la conclusione di un contratto tra il titolare del trattamento e una persona terza (fisica o giuridica) a favore dell’utente
- se il trasferimento è necessario per importanti motivi di interesse pubblico riconosciuto dalla normativa dello Stato membro del titolare, o dal diritto dell’UE
- se il trasferimento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria
- se il trasferimento è necessario per tutelare gli interessi vitali dell’utente laddove lo stesso si trovi nell’impossibilità fisica o giuridica di dare il proprio consenso
- se il trasferimento è effettuato a partire da un registro che, secondo la norma comunitaria, o di uno degli Stati membri, è volto a fornire informazioni al pubblico e può essere consultato sia dal pubblico stesso che da chi sia in grado di dimostrate un interesse legittimo, esclusivamente se sussistono i requisiti di consultazione previsti dalla normativa dell’Unione Europea o dello Stato membro in questione.
Pertanto i trasferimenti necessari, o quelli basati su accordi commerciali, sono comunque possibili. Sono impossibilitati quelli dovuti a pura comodità e convenienza, da parte delle aziende, perché, per esempio, è meno oneroso far elaborare i dati ai server con sede extraeuropea. Se si vorrà continuare a farlo, si dovranno garantire ulteriori livelli di protezione, pena la responsabilità giuridica del trasferente in caso di violazione dei diritti dell’utente. Si potrebbero ipotizzare delle clausole aggiuntive più stringenti per i riceventi dei paesi terzi, ma rimane comunque molto difficile sia il controllo, sia, soprattutto, l’aggiramento delle leggi vigenti sulla protezione dei dati dei paesi che andranno a ricevere il trasferimento, a maggior ragione laddove non sussistano adeguate norme per ciò che riguarda mezzi di ricorso efficaci in caso di tale violazione.
Come dicevamo, questo creerà relativi problemi alle grandi aziende, che già si appoggiano a consociate europee, e quindi avranno solo il divieto di trasferimento ulteriore esterno all’Europa, mentre per le medie e piccole aziende, che finora trovavano molto più conveniente far elaborare i dati da loro raccolti a società di elaborazione extraeuropee, ora dovranno valutare attentamente i costi di tale trasferimento, in quanto la responsabilità giuridica in caso di violazione ricadrà sulle loro spalle, e con essa, i costi dei ricorsi che si andranno a verificare.
A seguito della sentenza della Corte di Giustizia Europea occorre quindi, per quelle aziende che non utilizzino già server europei per l’elaborazione dei dati, una rivalutazione dei costi di elaborazione, e una riorganizzazione tecnica per sfruttare piattaforme cloud che abbiano i server in Europa, per i loro business locali. Questo, ovviamente, influirà non poco su queste imprese, con un impatto negativo sul Pil di tutti gli Stati membri dell’Ue, che si ritrova così, se non si riescono a trovare accordi più che soddisfacenti in breve tempo, una fetta della propria economia tagliata fuori dal mercato globale.
Proprio in ottica di nuovi accordi, il Comitato Europeo per la protezione dei dati (EPDB) si rende disponibile a valutare e sottoscrivere nuove regole sia con gli USA che con la Gran Bretagna, prossima allo scadere del periodo di transizione della Brexit, per garantire una facilitazione dei trasferimenti di dati personali verso questi due importanti paesi, purchè vengano individuati protocolli e fermi divieti contro la violazione dei dati da parte delle autorità extraeuropee, adottando una legislatura che sia equivalente a quella europea per ciò che riguarda i diritti delle persone.
Auspichiamo si possa trovare presto una nuova intesa per la protezione dei dati personali.