PRIVACY: la Corte UE dice “no” al trasferimento di dati in USA

La legittimità della circolazione del dato è una problematica che forse in questi anni non ha avuto lo spazio e l’attenzione che avrebbe dovuto. Recentemente, la posizione della Russia di estrema chiusura ma anche l’esplosione dell’offerta dei servizi cloud, oltre che di Internet, ha riportato l’attenzione sul problema.

Un paese sempre molto in discussione sulla protezione dei dati è l’USA; lo stesso Garante Italiano ha avuto modo di affrontare la problematica, ma è la sentenza della Corte di Giustizia dell’Unione Europea del 6 ottobre 2015 relativa alla causa C-362/14, che ha posto incertezze su come trasferire dati in legalità negli USA.

In particolare, il caso nasce dal trasferimento da parte di Facebook dei dati di un cittadino austriaco in USA. Il problema giuridico affrontato dalla Corte di Giustizia riguarda la fondatezza della decisione della Commissione UE del 26 luglio 2000 (chiamato Safe Harbour) e, nello specifico il principio in base al quale gli U.S.A. sarebbero un porto sicuro per i dati degli utenti.

Più precisamente, per l’Autorità Garante Irlandese la legittimità del comportamento di Facebook era indiscussa in quanto garantita dall’adesione al Safe Harbor. La decisione Safe Harbor, infatti, validava il trasferimento di dati verso gli Usa e, di conseguenza, l’Autorità Garante doveva prenderne semplicemente atto.

La Corte Ue stravolge questi principi.

Per la Corte, infatti, le esigenze della sicurezza nazionale USA “prevalgono sul regime dell’approdo sicuro” a cui sono sottoposti i dati privati dei cittadini europei trasferiti negli Usa “cosicché le imprese americane sono tenute a disapplicare, senza limiti, le norme di tutela previste”. Di conseguenza “il regime americano dell’approdo sicuro rende così possibili ingerenze da parte delle autorità pubbliche americane nei diritti fondamentali delle persone”.
Inoltre, un sistema come quello USA che «autorizza in maniera generalizzata la conservazione di tutti i dati personali di tutte le persone i cui dati sono trasferiti dall’Unione verso gli Stati Uniti senza che sia operata alcuna differenziazione, limitazione o eccezione in funzione dell’obiettivo perseguito e senza che siano fissati criteri oggettivi intesi a circoscrivere l’accesso delle autorità pubbliche ai dati e la loro successiva utilizzazione» non si può considerare «limitato allo stretto necessario” come prevede il diritto europeo sulla conservazione dei dati personali.

D’ora in poi a Facebook si potrà vietare di «conservare» negli Stati Uniti i dati degli iscritti, ma chi decide di trasferire i dati negli Stati Uniti, come in altri Paesi extra UE, dovrà regolamentarne il trasferimento sotto il profilo della protezione dei dati.