Il Garante della Privacy si è recentemente adeguato a quanto statuito nella sentenza della Corte di giustizia dell’Unione Europea del 6 ottobre 2015, la quale – chiamata a pronunciarsi su richiesta dell’High Court irlandese, che era stata investita della questione su ricorso di un attivista austriaco, preoccupato della sorte dei propri dati personali immessi su un noto social network statunitense – aveva dichiarato invalido il sistema di Safe Harbour (ovvero, il sistema di regolamentazione del trasferimento e dello scambio delle informazioni di carattere personale tra l’Unione europea e gli Stati Uniti), in quanto non compatibile con la normativa UE (in particolare con la c.d. “Direttiva dati”) concernente la protezione dei dati personali.
Il sistema di Safe Harbour – o “approdo sicuro” è un meccanismo finalizzato al potenziamento delle attività commerciali favorendo lo scambio di informazioni di carattere personale tra le due sponde dell’Atlantico, e finalizzato a tutelare in maniera adeguata tali informazioni. Era stato predisposto con la Decisione della Commissione Europea 2000/520/CE e si fondava su un meccanismo di autoregolamentazione (che contempla un’adesione volontaria, da parte di organizzazioni e/o società statunitensi, ai sette principi dell’“approdo sicuro”) e di autocertificazione dell’adesione a detti principi da parte delle organizzazioni e/o società. In base alla Decisione 2000/520/CE, i principi dell’approdo sicuro erano considerati in grado di assicurare un adeguato livello di protezione dei dati personali e, di conseguenza, l’adesione a questi principi era tale, di per sé, da garantire l’osservanza delle disposizioni della “Direttiva dati”.
L’High Court irlandese, previa sospensione del giudizio, aveva sottoposto alla CGUE un duplice quesito, concernente: a) l’ambito dei poteri delle autorità nazionali indipendenti di controllo dei dati e b) la validità del sistema di Safe Harbour nel suo complesso. Quanto al primo quesito la CGUE ha risposto affermando che le singole autorità nazionali garanti della privacy sono investite di poteri di controllo in merito alla conformità di detti trasferimenti con le disposizioni della “Direttiva dati”; quanto al secondo quesito la CGUE ha stabilito che un ordinamento di uno Stato terzo è considerato in grado di assicurare un adeguato livello di tutela delle informazioni personali, laddove esso assicuri, una tutela equivalente a quella garantita nell’U.E.. In tale contesto, la Corte ha criticato la Decisione 2000/520/CE per una serie di ragioni, tra le quali spicca l’applicabilità dei principi di Safe Harbour alle sole organizzazioni che abbiano aderito agli stessi e non alle autorità pubbliche statunitensi, non tenute alla loro osservanza e che, dunque, in qualsiasi circostanza, potevano accedere a dati di utenti europei trasferiti negli USA attraverso il sistema “Safe Harbour”. Circostanza, questa, gravemente incompatibile con il livello di protezione dei diritti fondamentali garantito nell’Unione europea, assai garantista anche in materia di privacy.
Di conseguenza, con apposito provvedimento, il Garante della Privacy italiano ha disposto la caducazione della propria autorizzazione adottata sulla base dei principi del Safe Harbour, vietando ai soggetti esportatori di dati di trasferire dati personali dal territorio dello Stato verso gli U.S.A. Si è trattato, evidentemente, di un atto “dovuto” essendo venuto meno il presupposto di legittimità di tali trasferimenti.
Naturalmente la stessa Autorità Garante, nel riservarsi di effettuare controlli per verificare la liceità e la correttezza del trasferimento dei dati da parte di chi esporta i dati, ha ricordato, nel proprio provvedimento, che i trasferimenti dei dati personali verso un Paese non appartenente all’Unione europea possono essere effettuati sulla base di ulteriori strumenti legittimi, quali, ad esempio, le clausole contrattuali standard o le regole di condotta adottate all’interno di un medesimo gruppo (le cosiddette BCR, Binding Corporate Rules).
(a cura dell’Avv. Stefano Campogrande – stefano.campogrande@studiozunarelli.com)