Il 16 luglio 2020, con la cosiddetta Sentenza Schrems II emessa dalla Corte di Giustizia Europea, viene invalidata la decisione 2016/1250 di adeguatezza della Commissione Europea al Privacy Shield.
Questo ha comportato l’immediato decadimento della base giuridica per la liceità dei trasferimenti dei dati personali di chiunque residente nell’Unione Europea verso gli USA. Detta semplice, dal giorno dopo non si potevano più trasferire dati in USA.
La sentenza ha generato quindi un vuoto legislativo per tutti coloro che, per stoccaggio e/o trattamento, trasferivano i dati della propria clientela/utenza presso le grandi agenzie di servizi informatici americane, come Microsoft, Amazon, o che utilizzavano Mailchimp, Activecampaign per l’automazione dell’e-mail marketing, giusto per fare un paio di esempi.
Nell’immediato si era individuato come probabile soluzione, seppur parziale, l’utilizzo delle SCCs (Standard Contractual Clauses), contratti da stipulare coi fornitori statunitensi in cui questi ultimi si impegnano in forma scritta a rispettare la tutela della privacy in maniera analoga e compatibile al Regolamento Europeo, oppure le BCR (Binding Corporate Rules), ovvero una serie di clausole vincolanti al cui rispetto sono tenute tutte le società appartenenti ad uno stesso gruppo, anche se una o più di esse si trova in territorio extra UE, in caso di trasferimento dati all’interno di uno stesso gruppo societario.
Il problema si pone però allo stesso modo rilevato per il Privacy Shield, in quanto queste clausole, o i contratti sopra citati, non possono impedire l’intrusione delle autorità americane sulle banche dati in possesso delle agenzie di servizi che sono, o hanno server, sul territorio USA, in virtù del cosiddetto Cloud Act, il provvedimento per il quale le agenzie di intelligence hanno facoltà di imporre, in operazioni di sicurezza interna o internazionale che sia, il proprio accesso alle banche dati di chiunque abbia i propri dati, anche se cittadino europeo, presso queste agenzie di servizi.
Per quanto si cerchi fin dal momento della sentenza una soluzione soddisfacente, la Corte di Giustizia Europea non ha rilevato regole soddisfacenti e, come affermato dall’avv. Guido Scorza, componente del Collegio Garante Italiano pochi giorni fa in un suo intervento, “ad oggi una soluzione ancora non esiste”.
A breve parleremo di cosa si può fare per rimanere in sicurezza con la tutela dei dati personali, non incorrere in illeciti che il Garante non farà sicuramente passare ancora sottogamba, e poter fare un trattamento dati senza dover affrontare costi esorbitanti per non potersi più avvalere di queste immense agenzie di servizi informatici che garantivano, proprio per la loro grandezza, costi più contenuti.