L’ EDPB (European data protection board), la Commissione che riunisce tutti i Garanti Privacy UE, lo scorso 10 novembre ha lanciato una consultazione pubblica su uno schema di provvedimento che ha un unico obiettivo: identificare rimedi e soluzioni capaci di garantire il trasferimento di dati personali dall’Europa agli Stati Uniti, poiché, con la Sentenza della Corte di Giustizia C-311/2018, ormai nota come Scherems II, i Giudici di Lussemburgo hanno dichiarato invalido il c.d. Privacy Shield, erigendo così un muro giuridico difficilmente penetrabile tra Europa e Stati Uniti sul trasferimento dei dati personali.

Sorge spontanea, dunque, una prima considerazione: tale schema, pur nascendo con l’intenzione di risolvere lo specifico problema del trasferimento dei dati tra Europa e USA, ha sicuramente una portata ben più ampia perché ambisce a identificare garanzie e rimedi per il trasferimento dei dati dall’Europa a qualsiasi Paese Terzo che la Commissione Europea non ha già riconosciuto come capace di offrire un’adeguata tutela ai dati personali equipollente a quella che offre la disciplina europea grazie al GDPR.

Dopo la Sentenza dei Giudici del Lussemburgo è emerso un problema di disallineamento che tra due ordinamenti si può risolvere solo intervenendo su uno o entrambi gli ordinamenti.

Infatti, in assenza di un intervento normativo comune ai due ordinamenti, che miri all’allineamento degli stessi, vi saranno sempre delle ipotesi nelle quali i dati personali, oggi tra Europa e USA e domani, magari, tra Europa e altri Paesi, non potranno circolare.

Dalla consultazione è emersa la difficoltà di ipotizzare rimedi contrattuali da soli capaci di risolvere il problema de quo, esistono, piuttosto, rimedi tecnologici capaci di attenuare il problema fino a considerarlo risolto, sempre però con riferimento a singolo e specifiche ipotesi.

Dunque, per trasferire dati personali verso gli Stati Uniti è necessario intervenire sui processi e le tecnologie già utilizzate e modificare gli accordi in essere.

Vi sono due eccezioni a questa regola: o il destinatario dei dati negli USA gode, ex lege, di un regime di segreto tale da tutelare al massimo e porre a riparo i dati da ogni rischio di accesso da parte del governo di Washington e delle sue agenzie di intelligenze, oppure l’esportatore o l’importatore hanno già adottato rimedi tecnologici, organizzativi e contrattuali capaci di garantire che chi provasse ad accedervi non riuscirebbe a ottenere tali dati.

Dunque si è arrivati ad un’unica vera e possibile soluzione: identificare uno strumento pattizio capace di garantire la libera circolazione globale dei dati, nel rispetto di tutte le garanzie per gli interessati.[i]

 

[i]  https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/recommendations-012020-measures-supplement-transfer_it.