Successivo
Privacy Shield

News

Privacy Shield UE-USA, nessuna protezione dei dati

Luca Colantuoni | 16 Luglio 2020

Privacy

La Corte di Giustizia dell’Unione Europea ha dichiarato invalido il trasferimento negli Stati Uniti dei dati personali sulla base del Privacy Shield.

Il Privacy Shield non garantisce un’adeguata protezione dei dati trasferiti dall’Europa agli Stati Uniti. Questa è la sentenza emessa dalla Corte di Giustizia dell’Unione Europea, in seguito alla denuncia presentata dall’avvocato Max Schrems. La decisione avrà sicuramente conseguenze per le aziende statunitensi che gestiscono grandi quantità di dati degli utenti, come Facebook, Google e Microsoft.

Il Privacy Shield (scudo per la privacy), in vigore da agosto 2016, era stato introdotto per sostituire il precedente accordo Safe Harbour, dichiarato illegittimo dalla Corte di Giustizia ad ottobre 2015 con la sentenza Schrems I. Schrems è l’avvocato (all’epoca studente) austriaco che aveva presentato una denuncia per bloccare il trasferimento dei dati da Facebook Ireland ai server di Facebook Inc. negli Stati Uniti, in quanto le leggi statunitensi non garantiscono una protezione sufficiente contro l’accesso ai dati da parte delle autorità.

Secondo la Commissione Europea, lo scudo UE-USA per la privacy fornisce invece un adeguato livello di protezione, pertanto i dati personali possono essere liberamente trasferiti alle aziende statunitensi incluse nell’elenco degli aderenti al Privacy Shield. La nuova sentenza della Corte di Giustizia, nota come Schrems II, sancisce che la decisione della Commissione Europea è invalida perché il livello di protezione offerto dalla legislazione statunitense non è equivalente a quello garantito in Europa dal GDPR.

Le limitazioni della protezione dei dati personali che risultano dalla normativa interna degli Stati Uniti in materia di accesso e di utilizzo, da parte delle autorità statunitensi, di siffatti dati trasferiti dall’Unione verso tale paese terzo, non sono inquadrate in modo da rispondere a requisiti sostanzialmente equivalenti a quelli richiesti, nel diritto dell’Unione, dal principio di proporzionalità, giacché i programmi di sorveglianza fondati sulla suddetta normativa non si limitano a quanto strettamente necessario.

In pratica, i programmi di sorveglianza operati dalle agenzie di intelligence (come la NSA), permettono l’accesso illimitato ai dati personali degli utenti europei e non conferiscono agli interessati diritti azionabili dinanzi ai giudici. È bene precisare che la sentenza riguarda determinati tipi di dati, non quelli strettamente necessari, come le email inviate da un paese europeo agli Stati Uniti.