Si discute nuovamente di Privacy Shield, l’accordo regolatore dei flussi transfrontalieri di dati tra Unione europea e Stati Uniti che di recente ha sostituito il previgente Safe Harbor.
A distanza di pochi mesi dall’entrata in vigore del testo, la Corte di Giustizia europea è chiamata a decidere sull’adeguatezza della tutela assicurata dal Privacy Shield.
Alcune società attive nel campo digitale e operanti trasferimenti di dati personali all’estero (tra cui l’ormai nota Digital Rights Ireland Ltd.) sostengono infatti che il Privacy Shield non offra un adeguato livello di protezione, a differenza di quanto ritenuto dalla Commissione europea che il 12 luglio 2016 ha adottato la decisione di adeguatezza rendendo legittimi i trasferimenti di dati verso gli Stati Uniti e le organizzazioni americane aderenti al nuovo accordo.
In particolare, i ricorrenti sostengono che lo “scudo” UE-USA per la privacy non recepisca integralmente i princìpi e i diritti a tutela della protezione dei dati personali contenuti nella direttiva 95/46/CE (che – si ricorda – sarà abrogata a decorrere dal 2018 ad opera del recente Regolamento UE 679/2016) e, conseguentemente, non assicuri in modo adeguato i diritti dei cittadini europei. Nei ricorsi si contesta altresì che l’accordo non esclude l’accesso indiscriminato alle comunicazioni elettroniche da parte delle autorità straniere così violando il diritto al rispetto alla vita privata, alla protezione dei dati e la libertà di espressione di cui alla Carta dei diritti fondamentali dell’Unione europea.
In ragione di tali motivi i ricorrenti hanno impugnato la decisione di adeguatezza della Commissione ai sensi dell’art. 263 TFUE che prevede la possibilità per i soggetti interessati di impugnare ed ottenere l’annullamento degli atti della Commissione entro due mesi dalla loro entrata in vigore o dalla loro pubblicazione.
Giova ricordare a questo punto che il Gruppo di lavoro Art. 29 aveva già espresso le proprie remore relativamente ad alcuni aspetti dell’accordo che non erano stati modificati nonostante le reiterate richieste di revisione. Nello statement del 26 luglio 2016, immediatamente successivo all’adozione del Privacy Shield, il Gruppo dei Garanti europei rilevava che non fossero state disposte concrete misure di sicurezza per evitare la raccolta generalizzata di dati e che non fosse stata assicurata l’indipendenza di ruolo e di poteri di importanti organismi di ricorso (come l’Ombudsperson).
Pare dunque che il nuovo regime non abbia portato all’instaurazione di un clima di certezza del quadro regolatore dei flussi transfrontalieri di dati verso gli Stati Uniti, Paese che evidentemente non riceve ancora fiducia da parte degli operatori europei. Si attende ora la decisione della Corte di Giustizia che potrebbe ritenere inammissibili i ricorsi per difetto di legittimazione o infondatezza di motivi oppure potrebbe decidere di accogliere l’impugnazione.
Aggiungi commento