Con la nota sentenza del 6 ottobre 2015 (C-362/14), la Corte di Giustizia dell’Unione Europea ha preso posizione sull’accordo tra Unione Europa e Stati Uniti, che consente alle imprese americane di conservare i dati personali degli utenti europei sia nella Ue che, previo trasferimento, negli Usa (accordo “Safe Harbor”).

In particolare, per poter aderire al programma, le società americane devono rispettare sette principi: 1) gli utenti devono essere avvertiti sulla raccolta e l’utilizzo dei propri dati personali; 2) ciascuno deve essere libero di rifiutare la raccolta dei dati e il loro trasferimento a terzi; 3) i dati possono essere trasferiti solo ad organizzazioni che seguono principi adeguati di protezione dei dati; 4) le aziende devono fornire garanzie contro il rischio che i dati vengano smarriti; 5) devono essere raccolti solo i dati rilevanti ai fini del trattamento; 6) gli utenti hanno il diritto di accedere ai dati raccolti ed eventualmente di correggerli o cancellarli, se sono inesatti; 7) queste regole devono essere efficacemente attuate.

Una volta che l’impresa ha aderito al programma, deve rinnovare la certificazione ogni 12 mesi.

Il rispetto delle regole sancite in tale accordo, quindi, fondava ormai una sorta di automatismo, per cui il trasferimento di dati personali negli Stati Uniti, così attuato, veniva considerato sempre sicuro, ai sensi della Direttiva Privacy 95/46.

Automatismo che sembra essere venuto meno, grazie all’azione legale dell’attivista austriaco Maximillian Schrems, che ha contestato all’Autorità nazionale irlandese per la protezione dei dati personali che il trasferimento dei suoi dati negli USA, operato da Facebook, fosse sicuro, assumendo violazioni della normativa privacy europea da parte dei programmi di sorveglianza statunitensi, come quelli condotti dall’Agenzia di sicurezza nazionale americana (NSA).

E la Corte di Giustizia UE gli ha dato ragione, con una sentenza che ha suscitato molto clamore e che può essere analizzata almeno sotto tre profili.

Il primo è quello giuridico, per il quale la pronuncia non rappresenta, tuttavia, nulla di sconvolgente, avendo la Corte riaffermato il principio per cui il cittadino ha diritto di rivolgersi all’Autorità Garante per verificare se il paese di destinazione dei propri dati fornisca sufficienti garanzie per il trattamento degli stessi.

Non solo; la sentenza in questione costituisce pur sempre una pronuncia pregiudiziale; sarà il Giudice irlandese, in questo caso, a dover applicare il principio.

Resta, comunque, la decisa presa di posizione della Corte di Giustizia, che, per certi versi, anticipa la più restrittiva disciplina di cui all’art. 41 del nuovo Regolamento generale sulla protezione dei dati personali (presentato dalla Commissione UE il 25 gennaio 2012 e approvato in prima lettura dal Parlamento Europeo il 12 marzo 2014), che andrà a sostituire l’attuale Direttiva 95/46.

Il secondo aspetto che emerge è quello commerciale: le imprese dovranno ridefinire la loro organizzazione e, presumibilmente, ricorreranno a clausole contrattuali per adeguare i propri sistemi di flussi di dati alla sentenza della Corte; nel medio/lungo periodo, invece, potrebbe essere interessante osservare come i dati personali, diventati un fattore produttivo sempre più rilevante per le aziende, potranno assumere il carattere di vere e proprie merci, facendo corrispondentemente assurgere gli utenti che li cedono a veri e propri contraenti.

Infine, non può non considerarsi l’elemento di natura strategica. Anche in tal campo, non si prevedono drastici cambiamenti dei rapporti tra Unione Europea e Stati Uniti, ma questi ultimi, di certo, vengono messi nell’angolo, con la prima che, al contrario, si rinforza e con la prospettiva, auspicabile, che ciò contribuisca anche ad accelerare l’azione normativa comunitaria, ivi compreso l’iter di approvazione del suddetto, nuovo Regolamento Privacy.

Avv. Flaviano Sanzari

© Riproduzione riservata