Le conseguenze dell’annullamento del Privacy Shield

​​​​​​​Sono ormai trascorsi quasi 2 mesi dalla decisione della Corte di Giustizia dello scorso 16 luglio dove è stato annullato il Privacy Shield. Ovvero l’accordo che permetteva il trasferimento di dati personali negli U.S.A.

Quali sono le conseguenze concrete che questa sentenza ha arrecato ai siti ecommerce e alle imprese che operano nel mondo digitale?
 

Cos’era il Privacy Shield

È fondamentale partire dallo spiegare cos’era e che operazioni erano concesse quando era ancora in vigore il Privacy Shield. 

Esso non era altro che un accordo sottoscritto il 12 luglio 2016 tra gli U.S.A. (Dipartimento del Commercio degli Stati Uniti) e la Commissione europea, con il quale era possibile garantire una tutela ritenuta adeguata alla riservatezza dei dati personali di cittadini europei allocati presso aziende americane. 

Le imprese d’oltreoceano, che volevano essere autorizzate a ricevere dati personali dalle società europee, dovevano registrare una autocertificazione ove si impegnavano a tutelare i dati dei cittadini europei in base a quanto previsto dal Privacy Shield.

Il Privacy Shield quindi obbligava le imprese americane, ad esso aderenti, a proteggere i dati personali dei cittadini europei e le rendeva soggette a maggiori controlli sia da parte del Dipartimento del Commercio USA che da parte della Federal Trade Commission.

Era quindi possibile trasferire legittimamente dati personali negli USA dovendo solo verificare che l’azienda americana, verso la quale sarebbe avvenuto il trasferimento, avesse aderito al Privacy Shield.
 

Criticità del Privacy Shield

Tale accordo non è mai stato accolto con particolare entusiasmo da parte del Garante Europeo della Protezione dei Dati (GEPD). 

Più recentemente è stato lo stesso Parlamento Europeo a sollevare il dubbio che tale accordo non tutelasse in maniera adeguata i dati personali dei cittadini europei, approvando così una risoluzione nella quale si chiedeva alla Commissione europea di verificare che le regole dell’accordo fossero rispettate. 

Le criticità del Privacy Shield riguardavano principalmente:

• La possibilità per il governo USA di raccogliere ed accedere ai dati personali dei cittadini europei, conservati presso aziende americane, per motivi connessi alla sicurezza nazionale;

• L’insufficienza degli strumenti giuridici di tutela;

• L’impossibilità di far affidamento sulle autocertificazioni delle imprese americane prima che esse avessero ricevuto l’effettiva certificazione da parte del Dipartimento del Commercio degli Stati Uniti

Sicuramente i presupposti dai quali emergono queste criticità sono le visioni distinte di ciò che significa “tutela dei dati personali” tra Europa e U.S.A.. Infatti in Europa la tutela è principalmente incentrata sull’individui mentre in America viene tutelata l’informazione, ciò significa che paradossalmente possono essere raccolti liberamente dati personali qualora non venga specificato a quali individui tali dati siano imputabili.
 

Cosa ha deciso la Corte di Giustizia dell’Unione europea

La Corte di Giustizia dell’Unione europea ha affermato che non è tanto il fatto che il governo U.S.A. tratti i dati personali di cittadini europei, trasferiti presso le aziende americane, a costituire una problematica.
L’elemento che costituisce criticità è il fatto che la possibilità di trattare i dati dei cittadini europei non sia circoscritta in maniera equivalente rispetto a quanto è consentito in Europa, è quest’ultimo fatto che costituisce violazione alla riservatezza dei dati personali dei cittadini europei

Ovvero le autorità statunitensi non hanno gli stessi limiti europei ai programmi di sorveglianza. Infatti le autorità europee possono accedere ai dati personali solo se strettamente necessario e ai soli dati indispensabili. È a causa della mancanza di proporzionalità, tra l’accesso indiscriminato ai dati e tra i dichiarati fini di difesa e di pubblica sicurezza, a costituire una limitazione alla protezione dei dati personali dei cittadini europei allocati in America.   

Solamente qualora il trattamento dei dati personali in U.S.A. sia conforme a quanto previsto nel GDPR sarà possibile tutelare in maniere adeguata i dati personali trasferiti presso le aziende d’oltreoceano.
 

Ci sono dei casi in cui un ecommerce può ancora trasferire i dati personali dei clienti negli U.S.A?

Nella pratica si gli ecommerce possono ancora trasferire i dati negli U.S.A. ma, in sostanza, questo è diventato molto più difficile. 

Venendo meno uno dei presupposti che consentivano il trasferimento dei dati personali oltreoceano, ovvero una decisione di adeguatezza (come lo era il Privacy Shield), le restanti circostanze legittimanti sono due: 

• Presenza di una clausola standard, ovvero un accordo specifico tra il sito ecommerce e l’azienda che riceve i dati e che fornisca ai consumatori una adeguata tutela (difficile da ottenere date le normative del governo americano che, in conformità al principio della gerarchia delle fonti, prevale su qualsiasi contratto);

• Clausole in vigore e vincolanti per le imprese che fanno parte di un gruppo societario

Tuttavia, nel GDPR sono presenti altre circostanze che legittimano il trasferimento dei dati personali dei clienti negli U.S.A., costituendo delle eccezioni, come: 

• Consenso specifico dell’utente del sito ecommerce 

• Necessità di effettuare il trasferimento dei dati per dare esecuzione al contratto di vendita 

• Bisogno di trasferire i dati per difendersi in giudizio

Prima dell’abolizione del Privacy Shield il trasferimento dei dati personali in U.S.A. poteva avvenire per motivi di mera gestione interna del sito ecommerce. Ora questo non è più possibile deve infatti sussistere una circostanza sopra indicata. 
​​​​​​​

Come è possibile “adeguarsi” a questa decisione 

Questa decisione della Corte di Giustizia dell’Unione europea ha prodotto e produrrà molteplici conseguenze nel mondo dell’ecommerce. 

I titolari e responsabili del trattamento ai sensi del GDPR dovranno effettuare nuove analisi e valutazioni e, nel caso vogliano continuare a trasferire i dati personali di consumatori europei negli U.S.A., dovranno effettuare una preventiva verifica caso per caso e muoversi attivamente per garantire l’esistenza delle adeguate garanzie che consentano la trasmissione dei dati presso un’azienda americana. 

Molti ecommerce dovranno riorganizzare il loro business online e nello scegliere la piattaforma CMS saranno incentivati a privilegiare società più vicine a loro e collocate entro i confini europei. 

Le piattaforme CMS che sono collocate in Italia o comunque in altri Paesi dell’unione europea condividono gli stessi principi e la stessa attenzione nella tutela di dati personali dei consumatori in conformità appunto a quanto disposto dal GDPR.

Un esempio delle poche piattaforme CMS europee, in caso specifico anche totalmente italiana, è Storeden.

Una ragione in più per scegliere una piattaforma totalmente italiana!

​​​​​​​
Autore: Selene Galeazzi, consulente legale di LegalBlink