Confindustria Radio TV

  • Home
  • Chi Siamo
    • Profilo
    • Organi Sociali
      • Consiglio di Presidenza
      • Consiglio Generale
      • Revisori dei Conti
      • Probiviri
    • Commissioni
    • Struttura
    • Statuto
  • Associati
    • Associati Nazionali
    • Radio Locali
      • Profilo
      • CONSIGLIO DIRETTIVO
      • Associati
    • Tv Locali
      • Profilo
      • CONSIGLIO DIRETTIVO
      • Associati
  • Normativa
    • Archivio Legislativo
    • Circolari e Comunicazioni
    • Dossier
    • CCNL
    • Scadenze Radio TV
  • Ufficio studi
    • Crono Mappe RTV
      • Crono Video-Tv
      • Crono Audio-Radio
    • Studio Radio e Tv
    • Focus
    • Mk pubblicitario
  • Comunicazione
    • Newsletter
      • Radio TV News 2023
      • Radio TV News 2022
      • Radio TV News 2021
      • Radio TV News 2020
      • Radio TV News 2019
      • Radio TV News 2018
      • Radio TV News 2017
      • Radio TV News 2016
      • Radio TV News 2015
      • Radio TV News 2014
    • Comunicati Stampa
    • Calendario Eventi
    • Assemblee e Convegni
      • Assemblea 2017
      • Assemblea 2016
      • Assemblea 2015
      • Convegni
    • Gallery
    • Glossario
  • Contatti

La Corte UE invalida il Privacy Shield, le conseguenze per le piattaforme

20 Luglio 2020

privacy shield

Maximillian Schrems, cittadino austriaco e utente Facebook di lungo corso, è riuscito ancora una volta a fare la storia dei rapporti tra USA e UE sul terreno della privacy: sulla base di un suo ricorso, infatti, la Corte di Giustizia Europea ha invalidato il cd. Privacy Shield, ossia il principale strumento giuridico che regolava il passaggio dei dati personali degli utenti da un lato all’altro dell’Atlantico.

Va premesso che, in base al GDPR, è possibile trasferire dati a un destinatario specifico, soggetto ad una giurisdizione extra UE, se sussistono delle decisioni di adeguatezza, ossia delle decisioni mediante i quali la Commissione europea riconosce l’adeguatezza del sistema di protezione della privacy in quella giurisdizione. Se manca tale riconoscimento, l’esportatore di dati deve fornire una serie di garanzie, indicate negli artt. 44 e seguenti del GDPR.

Il problema, enorme, si pone ovviamente con riferimento agli Stati Uniti: nei server dei giganti del web a stelle e strisce vengono inviati continuamente pacchetti di dati raccolti nei nostri Paesi. Ed è noto come oltreoceano la filosofia della protezione dei dati personali sia ben diversa dalla nostra.

Un primo tentativo di gestire tale complessa situazione è naufragato insieme al cd. Safe Harbour, prima decisione di adeguatezza concessa dalla Commissione (decisione 2000/520/C). Con sentenza del 6 ottobre 2015, (C 362/14, EU:C:2015:650), la Corte ha annullato tale decisione, e anche in quel caso, tutto era partito da un ricorso di Maximillian Schrems, ormai nemesi dei grandi operatori.

Nel 2016 il Safe Harbour è stato sostituito dal Privacy Shield, che sembrava aver superato indenne anche la prova del GDPR. Tale “scudo” si fondava su un sistema di autocertificazione in base al quale le società statunitensi interessate s’impegnavano a rispettare un insieme di principi in materia di privacy. Tali società venivano inserite nella lista delle società certificate (“Privacy Shield List”) da parte del Dipartimento del Commercio statunitense e potevano importare dati da qualunque Paese UE, a determinate condizioni previste nella decisione (UE) 2016/1250.

La sentenza 16.7.2020, in causa C-311/18 (Data Protection Commissioner vs Facebook Ireland/Maximillian Schrems) della Corte di Giustizia (ormai correntemente richiamata come “Schrems II”) ha, come detto, invalidato il Privacy Shield, riportando a zero il livello di regolazione generale dei trasferimenti di dati UE/USA.

È venuto quindi meno uno scudo generale, che a molti appariva più una soluzione di compromesso che la vera strada per regolare i rapporti interatlantici nella guerra dei dati, e si è aperta una fase in cui la legittimità del trasferimento, o esportazione, dovrà essere valutata caso per caso in base alle norme del GDPR.

Nel frattempo, però, Facebook continua a trasferire dati esattamente come prima, basandosi sulle cd. SSC, ossia le clausole standard fissate dalla Commissione e applicate dagli operatori, che la Corte ha ritenuto ancora valide e adeguate (in particolare quelle della decisione 2010/87/EU).

Nulla è cambiato allora?

Non sembra proprio, dato che il tema non è quello della validità di tali clausole, ma della loro effettività.

La Corte ha affermato infatti che, a meno che esista una decisione di adeguatezza validamente adottata dalla Commissione europea (e abbiamo visto che per gli USA non c’è più), l’autorità di controllo competente è tenuta a sospendere o a vietare un trasferimento di dati verso un Paese terzo effettuato sulla base di clausole tipo di protezione dei dati adottate dalla Commissione, qualora detta autorità di controllo ritenga, alla luce del complesso delle circostanze proprie di tale trasferimento, che le suddette clausole non siano o non possano essere rispettate in tale Paese terzo e che la protezione dei dati trasferiti richiesta dal diritto dell’Unione non possa essere garantita con altri mezzi.

Come si comprende dalla motivazione della sentenza, la preoccupazione che sta dietro a queste parole riguarda il rapporto tra le autorità pubbliche statunitensi e i dati degli utenti europei, ossia il modo in cui le prime possono ingerirsi nella gestione di tali dati. Infatti, per quante clausole possano essere approvate dagli utenti finali, certo non vincolano il Governo statunitense, ma solo gli operatori, che non potrebbero impedire un accesso ai loro server. Inutile dire che gli interessati avrebbero, in questi, casi, scarsissime tutele, a meno di non rivolgersi direttamente alla Giustizia d’oltreoceano (che, ovviamente, applicherebbe le regole d’oltreoceano, con quasi certo rigetto del ricorso).

La soluzione adottata a tale proposito nel Privacy Shield prevedeva la figura di un “mediatore” o “Ombudsman” che si facesse carico dei reclami dei cittadini europei, ma la Corte ha avuto buon gioco nell’osservare che tale figura risponde direttamente al Segretario di Stato USA, e che non ha le garanzie di inamovibilità che sono fondamentali per una piena indipendenza.

Ora che, sulla base di queste considerazioni, lo scudo è venuto meno, la responsabilità di garantire una effettiva tutela agli utenti europei anche quando i loro dati migrano oltre i confini UE verso gli USA grava tutta sugli operatori, che non potranno più nemmeno giovarsi della figura del mediatore come strumento di reclamo da offrire nelle loro clausole contrattuali.

Le conseguenze di tutto ciò non sono state forse del tutto comprese tanto che, come già accennato, i grandi leader del mercato dei servizi online non sembrano aver mutato i loro comportamenti.

Tale situazione non durerà per molto. Il Comitato dei garanti europei (EDPB), in uno “statement” del 17 luglio scorso ha chiarito che, in base alla sentenza citata, l’importatore e l’esportatore di dati devono valutare se nel Paese di destinazione gli utenti godranno dello stesso livello di protezione che in Europa. “Se il risultato di questa valutazione è che il Paese dell’importatore non fornisce un livello di protezione sostanzialmente equivalente, l’esportatore potrebbe dover prendere in considerazione l’adozione di misure aggiuntive rispetto a quelle incluse negli SCC”. Su quali possano essere queste misure l’EDPB sta ancora riflettendo, ma intanto ha dato campo libero alle Autorità privacy affinché prendano in considerazione la possibilità di “sospendere o vietare un trasferimento di dati verso un Paese terzo  se, secondo la loro opinione e alla luce di tutte le circostanze di tale trasferimento, tali clausole non sono o non possono essere rispettate nel Paese terzo”.

Orbene, alla luce delle considerazioni contenute nella sentenza della Corte di Giustizia, appare ben difficile che gli USA possano considerarsi “Paese terzo in cui possono essere applicate e rispettate le clausole standard SSC”. I Giudici hanno infatti riconosciuto che l’art. 702 del FISA (Foreign Intelligence and Surveillance Act, che negli USA fissa le procedure per la raccolta delle informazioni di intelligence straniera) non fa emergere in alcun modo l’esistenza di limitazioni rispetto all’attuazione dei programmi di sorveglianza ai fini dell’intelligence esterna, né l’esistenza di garanzie per i cittadini stranieri potenzialmente oggetto di tali programmi.

Insomma, gli USA non sono, a giudizio della Corte, un Paese adeguato a garantire lo stesso livello di protezione dei dati che l’UE garantisce.

L’unica conseguenza logica pare, a chi scrive, che non sia attualmente possibile esportare dati in USA e che l’adozione di clausole standard, o di policy aziendali avanzate, ai sensi del GDPR, non sia sufficiente a garantire la legittimità di tale esportazione, non essendo possibile garantirne l’efficacia e l’effettività nel Paese di destinazione.

La parola passa ora alle Autorità nazionali, che già in diversi casi hanno dimostrato di non voler fare sconti ai grandi social.

 Avv. Giuseppe Colaiacomo

 

 

Print Friendly, PDF & Email
Tags | corte di giustizia, Dati personali, Facebook, GDPR, piattaforme on line, privacy shield, UE, USA
 0
Condividi

Articoli correlati

SIC 2020, valori economici degli operatori

23 Novembre 2022

Internet advertising: misurare con attenzione!

22 Marzo 2023
Strasburgo

UE, DMA in gazzetta, DSA in dirittura di arrivo

13 Ottobre 2022
UE sanzioni GDPR

GDPR, la Commissione UE proporrà efficientamento procedurale

21 Febbraio 2023
Previous Post IoT: la Commissione UE avvia un’indagine antitrust
Next Post AGCOM – Avvio procedimento per valutazione SIC anno 2019

Login

  • Password persa

Categorie

  • 5G
    (21)
  • AGCM
    (30)
  • AGCOM
    (203)
  • Audience TV e Radio
    (14)
  • Audiovisivo
    (113)
  • AUDITEL
    (18)
  • Banda 700
    (202)
  • BIG DATA
    (13)
  • Canali TV Italia
    (33)
  • Comitato Media e Minori
    (9)
  • Comunicati Stampa Nazionali
    (83)
  • Comunicati Stampa RTV locali
    (27)
  • Comunicazioni elettroniche
    (6)
  • Contributi emittenza locale
    (78)
  • Copyright
    (52)
  • Covid-19
    (172)
  • DAB
    (102)
  • Digital Audio
    (27)
  • Diritti connessi
    (15)
  • Diritto d'Autore
    (60)
  • DTT – Digitale terrestre
    (199)
  • Economia Paese
    (39)
  • Fake News
    (40)
  • Fiscalità
    (24)
  • GDPR
    (49)
  • Hate Speech
    (13)
  • IES
    (6)
  • INAIL
    (1)
  • Investimenti pubblicitari
    (95)
  • Le Aziende Comunicano
    (37)
  • Mercato
    (60)
  • MIMIT
    (16)
  • MISE
    (253)
  • MITD
    (1)
  • OTT
    (126)
  • PAR CONDICIO
    (12)
  • Pirateria
    (15)
  • PNAF
    (5)
  • PNRR
    (13)
  • Privacy
    (70)
  • Pubblicità online
    (63)
  • Radio e TV Locali
    (224)
  • Radiofonia
    (272)
  • RAI
    (74)
  • ROC
    (2)
  • Servizio Pubblico
    (43)
  • SIC
    (7)
  • Studio Economico Radio
    (6)
  • Studio Economico TV
    (11)
  • Televisione
    (281)
  • TER
    (19)
  • Unione Europea
    (296)
  • Video on-demand
    (27)
Viacom
Radio Dimensione Suono
Radio Kiss Kiss
Gruppo 24Ore
SuperTennis
EI Towers
TV2000
Tivù
RTL
Rai
Radio Italia
QVC
Persidera
Mediaset
La7
GM24
Eutelsat
Elemedia
Discovery
DFree
  • Home
  • Comunicazione
  • Studi e Ricerche
  • Norme e Regolamenti
  • Privacy e Cookie


© Confindustria Radio Televisioni
Piazza dei SS. Apostoli 66 - 00187 ROMA - Tel: +39 06.93562121 - Fax: +39 06.69368541 - email: segreteria@confindustriaradiotv.it
Tutti i diritti riservati