La Corte di Giustizia dell’Ue ha invalidato la decisione 2016/1250 della Commissione europea sull’adeguatezza della protezione garantita dall’accordo EU-US Privacy-Shield al trasferimento oltreoceano per uso commerciale di dati personali dei cittadini europei. 

In via preliminare i Giudici hanno ricordato che "ai sensi del regolamento generale sulla protezione dei dati (Gdpr) il trasferimento dei suddetti dati verso un Paese terzo può avvenire, in linea di principio, solo se il Paese terzo considerato garantisce a tali dati un adeguato livello di protezione". Partendo da tale presupposto, la decisione 2016/1250 è stata esaminata alla luce delle disposizioni dettate dal GDPR , nello specifico, di quelle volte a garantire il rispetto della vita privata e familiare, la protezione dei dati personali nonché l’effettiva possibilità per i cittadini interessati al trattamento di disporredi diritti azionabili e mezzi di ricorso effettivi. 

Secondo la Corte, le limitazioni alla protezione dei dati personali disposte dalla vigente legislazione nazionale degli Stati Uniti sull’accesso e l’uso da parte delle autorità pubbliche dei dati personali trasferiti dall’Unione Europea non soddisfano requisiti di sicurezza sostanzialmente equivalenti a quelli stabiliti dal diritto dell’UE e dal principio di proporzionalità. Particolari preoccupazioni destano i programmi di sorveglianza statunitensi, per l’attuazione dei quali la legge americana non indica sufficienti limitazioni in ordine ai poteri conferiti alle autorità nazionali e l’esistenza di garanzie volte a tutelare i dati di persone non provenienti dagli Stati Uniti. 

Infatti, sebbene tali disposizioni stabiliscono requisiti a cui le autorità di sicurezza devono conformarsi nell'attuazione dei programmi di sorveglianza in questione, agli interessati del trattamento non è concesso alcun diritto effettivamente perseguibile e che permetta di convenire in giudizio dette autorità.

La Corte ritiene che, contrariamente a quanto ritenuto dalla Commissione europea nella decisione 2016/1250, il meccanismo del difensore civico non fornisca ai cittadini alcuna causa di azione dinanzi a un organo che offra garanzie sostanzialmente equivalenti a quelle richieste dal diritto dell'UE, tali da garantire l'indipendenza del difensore civico e la possibilità di ottenere decisioni vincolanti per i servizi di intelligence statunitensi. 

Nella decisione è stata invece confermata la validità delle clausole standard (disciplinate dall’art. 46 del Gdpr). Infatti, la Corte di Lussemburgo continua a considerare i meccanismi su cui si basano tali strumenti contrattuali idonei ad assicurare un livello di protezione dei dati esportati in linea con i parametri stabiliti dall’UE, anche con riferimento a quanto sancito dalla Carta dei diritti fondamentali dell’Unione europea. 

News archive