Lo scorso 22 novembre è stata pubblicata sulla Gazzetta Ufficiale l’Autorizzazione al trasferimento di dati all’estero tramite l’accordo denominato “EU-U.S. Privacy Shield”, adottata il 27 ottobre 2016 dal Garante per la protezione dei dati personali ai sensi dell’art. 44, comma 1, lett. b) del Codice Privacy.
Con questo provvedimento il Garante italiano si allinea alla posizione della Commissione europea, che si era già espressa in senso positivo con la decisione di adeguatezza dello scorso 12 luglio, ed assicura anche ulteriore diffusione a tale decisione che, essendo allegata all’Autorizzazione, è stata contestualmente pubblicata sulla Gazzetta Ufficiale.
I titolari del trattamento possono, quindi, trasferire legittimamente i dati personali verso le organizzazioni presenti negli Stati Uniti che figurano nell’elenco degli aderenti allo “Scudo” tenuto e pubblicato dal Dipartimento del Commercio degli Stati Uniti, facilmente consultabile on-line dal sito www.privacyshield.gov. Ad oggi, l’elenco comprende già oltre 500 società, tra le quali Google Inc., Facebook Inc. e Microsoft Corp.
Il parere favorevole del Garante si fonda, essenzialmente, sull’impegno della Commissione a monitorare costantemente il funzionamento dello “Scudo”: un impegno ritenuto, quindi, fondamentale per garantire che gli Stati Uniti continuino effettivamente ad assicurare un livello di protezione adeguato dei dati personali dei cittadini europei, ferma restando l’espressa riserva di svolgere in qualsiasi momento i necessari controlli sulla liceità e correttezza del trasferimento dei dati e su ogni operazione di trattamento in genere.
Può, quindi, dirsi finita l’odissea dei dati diretti verso gli Stati Uniti?
Non ancora.
L’Article 29 Working Party ha già evidenziato alcuni punti deboli dello Shield, ed è in attesa dell’esito della prima revisione annuale di questo accordo nella consapevolezza che sarà il “key moment” per la verifica della solidità e dell’efficacia dell’accordo stesso. Questa revisione annuale, che sarà condotta dalla Commissione e dal Dipartimento del Commercio degli Stati Uniti con la partecipazione delle Autorità Garanti europee, dovrà riguardare anche il rispetto degli impegni assunti dagli USA con riguardo all’accesso ai dati per finalità di polizia e giustizia o di sicurezza nazionale.
Alle perplessità dell’Article 29 Working Party si aggiungono quelle manifestate da Digital Rights Ireland Ltd., sfociate nella proposizione (lo scorso 16 settembre) di un ricorso al Tribunale per l’annullamento della decisione di adeguatezza adottata dalla Commissione il 12 luglio 2016 (sopra citata in quanto «costituisce un manifesto errore di valutazione della Commissione nella parte in cui afferma che negli USA sussiste un livello adeguato di protezione, per i dati personali, conformemente alla direttiva 95/46/CE» (Causa T-670/16); a questo, si aggiunge il più recente ricorso di La Quadrature du Net (Causa T-738/16).
Siamo ancora lontani da Itaca: ma mentre i dati personali si destreggiano tra Circe, le Sirene e Polifemo, restano sempre i presupposti di liceità del trasferimento verso Paesi non appartenenti all’Unione Europea di cui all’art. 43 del Codice Privacy ai quali i titolari più prudenti, in questo contesto ancora incerto, potranno comunque fare affidamento per assicurare la liceità delle operazioni di trattamento.