Circa un mese fa la Corte di Giustizia Europea ha invalidato la decisione della Commissione Europea sull'adeguatezza della protezione offerta dal regime del Privacy Shield per il trasferimento dei dati personali di cittadini europei negli Stati Uniti: secondo la Corte, a causa di alcune leggi in ambito di sorveglianza, il Paese non può infatti garantire l'adeguato livello di protezione richiesto dal GDPR. Tra queste leggi, si ricorda il Cloud Act (Clarifying Lawful Overseas Use of Data Act) del 2018, che consente alle autorità statunitensi di accedere ai dati - anche personali e di provenienza europea - custoditi presso qualsiasi azienda operi nel territorio americano per finalità, non meglio specificate, investigative.
Nella stessa occasione, la Corte ha sottolineato che, in mancanza di una decisione di adeguatezza, per trasferire dati personali nel paese terzo, legalmente e con tutte le protezioni e garanzie richieste, si dovrebbe ricorrere alle Standard Contractual Clauses (SCC), o clausole contrattuali tipo.
Le SCC sono clausole ad hoc per la protezione dei dati personali adottate dalla Commissione, che vincolano contrattualmente al rispetto di standard di protezione e tutela il soggetto che importa i dati nel paese extra UE. Si sostituiscono così al GDPR, non applicabile nel paese di destinazione, e ne traspongono i contenuti per il trattamento dei dati importati.
Dunque, rimanendo valido il meccanismo delle SCC, la domanda è se lo si possa applicare per legittimare il trasferimento dei dati personali dall'Unione Europea agli Stati Uniti.
Secondo le grandi aziende americane che basano i propri modelli di business sul trattamento dei dati personali, la risposta sarebbe sì. Tuttavia, anche le SCC sottostanno alla condizione che il Paese verso cui il trasferimento del dati personali avviene debba garantire un livello di protezione non inferiore agli standard stabiliti dal GDPR. Dunque, in questo momento e in assenza di una rinegoziazione delle clausole per gli USA, la raccolta e il trasferimento di dati mediante software verso quel Paese (si pensi a quelli messi gratuitamente a disposizione nelle suite di Google o Microsoft office) non potrebbe considerarsi coperto dalle SCC, e sarebbe effettuato senza valida base giuridica del trattamento.
In mancanza di una decisione di adeguatezza e di adeguate protezioni, ci sembra che la sola strada percorribile sia una di quelle previste dall'art. 49 del GDPR, tra cui, in primis, la richiesta del consenso del soggetto interessato il quale sia stato informato puntualmente sui rischi connessi al trasferimento.
Photo by Bill Oxford on Unsplash