La Corte di Giustizia Europea annulla il Privacy Shield

Con la sentenza del 16 luglio 2020, dichiarando l’invalidità della Decisione n. 2016/1250, la Corte di Giustizia dell’Unione Europea ha annullato il Privacy Shield, ossia l’accordo che permetteva il trasferimento dei dati di cittadini europei in server situati negli Stati Uniti. Secondo il giudice comunitario tale sistema, basato sulle autocertificazioni delle singole aziende, non garantisce una protezione degli interessati adeguata agli standard dettati dal GDPR, soprattutto in quanto la normativa interna statunitense concede alle autorità pubbliche la facoltà di accedere e utilizzare i dati trasferiti dall’Unione Europea sul suolo americano. Sebbene questa storica sentenza non precluda in toto il trasferimento di informazioni personali all’altra sponda dell’Atlantico, poiché restano comunque a disposizione delle aziende extracomunitarie i mezzi previsti dal capo V del GDPR – tra cui le Binding Corporate Rules (BCR) per trasferimenti infragruppo e le Clausole Contrattuali Standard (SCC) dettate dalla Commissione Ue, che rimangono fruibili, a condizione che l’impresa garantisca che il Paese di destinazione rispetti i principi europei di protezione -, è evidente che essa avrà un impatto notevole sull’operatività di tutte le società che si affidano allo “scudo” (attualmente 5378), in primis sulle grandi piattaforme del web che fanno del trattamento dei dati su scala mondiale il proprio core business. Tali operatori, per effetto della richiamata decisione, dovranno quindi affrettarsi (come in effetti hanno già fatto, tra l’altro, sia Microsoft che Google) a passare dallo “scudo” alle Standard Contractual Clauses. In attesa di indicazioni o provvedimenti delle istituzioni e delle autorità di controllo europee, più urgenti che mai, anche le imprese comunitarie che si appoggiano regolarmente a fornitori statunitensi per servizi web (si pensi a Google, Mailchimp, Facebook) potrebbero subire i riflessi di questa decisione.