Privacy, annullato l’accordo Ue-Stati Uniti sul trasferimento dei dati

Secondo i giudici l'accordo non fornisce sufficienti garanzie contro le leggi statunitensi in materia di sorveglianza e sicurezza della privacy, a differenza di quanto sosteneva la Commissione europea che aveva difeso il Privacy Shield. [EPA-EFE/LUONG THAI LINH]

La sentenza arriva in seguito alla denuncia di un cittadino austriaco contro Facebook. La sua battaglia aveva già portato all’annullamento del sistema che consentiva alle aziende americane di conservare i dati degli utenti europei sia nel Continente che negli Usa

La Corte di giustizia dell’Unione europea ha invalidato il “Privacy Shield”, l’accordo per il trasferimento di dati a scopo commerciale tra Europa e Stati Uniti.

Secondo i giudici l’accordo non fornisce sufficienti garanzie contro le leggi statunitensi in materia di sorveglianza e sicurezza della privacy, a differenza di quanto sosteneva la Commissione europea che aveva difeso il Privacy Shield.

“Ai sensi del regolamento generale sulla protezione dei dati (Gdpr) il trasferimento dei suddetti dati verso un Paese terzo può avvenire, in linea di principio, solo se il Paese terzo considerato garantisce a tali dati un adeguato livello di protezione”, si legge nella motivazione.

La sentenza non blocca automaticamente la condivisione dei dati: la Corte infatti ha approvato le “standard contractual cases”, un altro accordo che consente di trasferire dati dall’Europa agli Stati Uniti. Ciò non toglie che la decisione potrebbe avere un grande impatto sul mercato dei dati, costringendo società come Facebook, Apple o Google a dover ripensare la propria strategia industriale.

Il caso Schrems

La decisione è all’interno della sentenza sul caso Maximilian Schrems e Facebook. L’attivista austriaco aveva denunciato all’Autorità per la protezione dei dati d’Irlanda, paese in cui Facebook ha la sua sede europea, che il social network aveva trasmesso i suoi dati alla società madre americana. Il garante per la privacy si era rifiutato di bloccare il trasferimento e aveva chiesto la pronuncia della Corte di Lussemburgo.

Schrems contestava il fatto che la Sezione 702 della legge antiterrorismo Fisa (Foreign Intelligence Surveillance Act) consente alle autorità americane di intercettare qualsiasi comunicazione elettronica attraverso pc o telefono, di qualsiasi cittadino straniero fuori dagli Stati Uniti. Il che è in aperto contrasto con le regole del Gdpr, come ha confermato la Corte di Lussemburgo. “Per quanto riguarda alcuni programmi di sorveglianza, tali disposizioni non indicano alcuna limitazione al potere che conferiscono di attuare tali programmi o l’esistenza di garanzie per persone non americane potenzialmente mirate”, scrivono i giudici.

“Sono molto felice per la sentenza. Sembra che la Corte ci abbia ascoltati in ogni aspetto. Si tratta di un duro colpo all’Irish Dpc e a Facebook. È chiaro che gli stati Uniti dovranno cambiare in modo serio le loro leggi sulla sorveglianza se le aziende Usa vogliono continuare a giocare un ruolo importante nel mercato europeo”, ha commentato Scherms.

La battaglia legale di Schrems contro Facebook aveva già ribaltato nel 2015 l’accordo “Safe Harbour”, il predecessore del “Privacy Shield” che consentiva alle imprese americane di conservare i dati personali degli utenti europei sia in Europa che negli  Stati Uniti.