Il Safe Harbor, l’accordo che regolava il trasferimento dei dati tra Ue e Usa, non esiste più dallo scorso 6 ottobre ottobre, dopo l’annullamento da parte della Corte di Giustizia Ue, secondo cui le leggi americane non garantiscono protezione adeguata alle informazioni personali dei cittadini europei. Visto il protrarsi della ‘vacatio legis’, ll trasferimento dati delle aziende italiane è a rischio blocco.
I Garanti Europei e la Commissione Europea, che si era data tre mesi di tempo per raggiungere un nuovo accordo con gli Usa, quindi entro fine gennaio, non hanno trovato la quadra e quindi si naviga a vista. Le aziende che a suo tempo avevano sottoscritto il Safe Harbor vanno avanti con nuove clausole contrattuali interne, oppure continuano a trasferire dati senza base giuridica, ma sono a rischio, perché in caso di richiesta o segnalazione l’Autorità Garante per la Privacy sarebbe costretta a intervenire bloccando il flusso di dati.
E’ questo il contesto nel quale arriva la lettera odierna del Presidente dell’Autorità Garante della Privacy Antonello Soro al Presidente del Consiglio Matteo Renzi, per un pronto intervento presso le istituzioni dell’Unione per siglare un nuovo accordo “rispettoso dei diritti dei cittadini europei”.
“Caro Presidente,
come noto, in data 6 ottobre 2015 la Corte di giustizia dell’Unione europea si è pronunciata in ordine alla causa C-362/14, Maximillian Schrems vs Data Protection Commissioner, dichiarando invalida la decisione della Commissione europea del 26 luglio 2000. Con tale decisione era stato ritenuto adeguato il livello di protezione dei dati personali garantito dagli Stati Uniti nel contesto del regime di Safe Harbor che consentiva il libero trasferimento, a fini commerciali, dei dati di cittadini europei verso gli Stati Uniti da parte delle multinazionali UE che intendevano aderire all’Accordo.
La Corte ha ritenuto, in estrema sintesi, che la legislazione americana impone limitazioni al diritto alla protezione dei dati (con specifico riguardo alla possibilità di accesso da parte delle autorità pubbliche di sicurezza) che vanno oltre quanto necessario e proporzionato in una società democratica e senza che venga riconosciuto ai cittadini europei alcun rimedio giuridico contro tali possibili ingerenze.
La sentenza ha, inoltre, affermato in capo alle Autorità nazionali di controllo il potere di sospendere, se necessario, i trasferimenti di dati verso quei paesi terzi che non assicurano appunto un livello di protezione adeguato.
Allo stato tutti i trasferimenti effettuati sulla base del Safe Harbor sono privi di una base giuridica.
Conseguentemente, con provvedimento del 22 ottobre 2015, il Garante ha disposto la caducazione dell’apposita autorizzazione resa (il 10 ottobre 2001) sulla base della decisione della Commissione, ora dichiarata invalida, che di fatto consentiva alle società multinazionali, organizzazioni e imprese italiane di trasferire i dati verso gli Stati Uniti.
Abbiamo altresì provveduto a sensibilizzare sul tema, le principali associazioni di imprese e di istituti di credito con l’invito a comunicare le eventuali iniziative intraprese e le misure in corso di adozione.
A livello europeo, le Autorità di protezione dei dati (riunite nell’ambito dell’apposito Gruppo di lavoro) fin dal 15 ottobre 2015 hanno richiamato la Commissione all’obbligo di concludere rapidamente un nuovo Accordo con gli Stati Uniti che tenga conto dei rilievi sollevati dalla Corte. Sul punto si sono riservate di esercitare poteri di controllo e di adottare eventuali provvedimenti di blocco dei trasferimenti, nel caso in cui tale Accordo non fosse stato raggiunto entro la fine di gennaio 2016.
Le Autorità garanti hanno inoltre deciso di valutare con attenzione anche la legittimità degli altri strumenti che possono essere utilizzati dalle imprese per trasferire all’estero i dati (quali le clausole contrattuali standard o le regole di condotta adottate all’interno di un medesimo gruppo), in ragione degli effetti della sentenza Schrems.
Purtroppo non sono maturate ad oggi le condizioni per conseguire un utile risultato entro la scadenza indicata dalle Autorità, in ragione della persistenza di nodi politici che, di fatto, rendono al momento difficile un’intesa tra la Commissione e gli Stati Uniti d’America.
Poiché sono forti i rischi di pesanti conseguenze dal punto di vista economico anche per le imprese italiane nel caso di ulteriori ritardi (e degli eventuali provvedimenti di blocco dei trasferimenti dei dati che dovessero essere adottati dalle Autorità), Le segnalo la necessità di esercitare ogni possibile iniziativa presso le Istituzioni europee affinché, nel più breve tempo possibile, venga concluso un nuovo Accordo che sia rispettoso dei diritti dei cittadini europei”.
