La Corte di giustizia dell'UE invalida la condivisione dei dati sotto Privacy Shield a causa della sorveglianza degli Stati Uniti.
Facebook e Co non possono più trasferire i dati dei cittadini dell'UE sotto Privacy Shield perché ciò compromette la protezione dei dati garantita dal GDPR.
Il Privacy Shield non è più valido
L'attivista per la privacy Max Schrems e la sua organizzazione NOBY (acronimo di non of your business) ha intentato una causa contro la pratica di trasferimento dati di Facebook subito dopo l'introduzione del GDPR nel maggio 2018.
La Corte di Giustizia Europea (CGUE) ha dichiarato oggi nella sua sentenza che le leggi statunitensi non proteggono adeguatamente i dati dei cittadini europei in quanto i programmi di sorveglianza negli Stati Uniti non si limitano allo stretto necessario.
La Corte ha sottolineato "che, per quanto riguarda alcuni programmi di sorveglianza, tali disposizioni non indicano alcuna limitazione al potere che conferiscono di attuare tali programmi, né l'esistenza di garanzie per i soggetti potenzialmente interessati non statunitensi".
La Corte di giustizia dell'UE ha quindi dichiarato invalido il sistema di condivisione dei dati Privacy Shield tra l'UE e gli USA.
#ECJ: the Decision on the adequacy of the protection provided by the EU-US Data Protection Shield is invalidated, but @EU_Commission Decision on standard contractual clauses for the transfer of personal data to processors established in third countries is valid #Facebook #Schrems pic.twitter.com/BgxGAvuq3T
— EU Court of Justice (@EUCourtPress) July 16, 2020
La privacy vince per gli europei
Max Schrems afferma che questa è una vittoria sulla privacy a tutti i livelli: "Sono molto contento della sentenza. Sembra che la Corte ci abbia seguito sotto tutti gli aspetti. Questo è un duro colpo per il DPC irlandese e Facebook. È chiaro che gli Stati Uniti dovranno cambiare seriamente le loro leggi sulla sorveglianza se le aziende statunitensi vogliono continuare a svolgere un ruolo importante nel mercato dell'UE".
BREAKING: The EU's Court of Justice has just invalidated the "Privacy Shield" data sharing system between the EU and the US, because of overreaching US surveillance. All details available here: https://t.co/xN4HKhZaBT #PRISM #FISA702 #Privacy #PrivacyShield #SCCs #GDPR #CJEU
— Max Schrems 🇪🇺🇦🇹 (@maxschrems) July 16, 2020
Protezione dei dati discutibile negli Stati Uniti
Un problema importante che il tribunale dell'UE ha sottolineato è che i dati degli stranieri non sono protetti negli Stati Uniti. Le protezioni che ci sono - anche se limitate - si applicano solo ai cittadini statunitensi. L'NSA può ottenere il pieno accesso a tutti i dati dei cittadini non statunitensi da Facebook in qualsiasi momento. Inoltre, gli interessati non statunitensi non hanno alcun diritto di adire i tribunali contro le autorità statunitensi, il che viola l'"essenza" di alcuni diritti fondamentali dell'UE, secondo la CGUE.
Secondo la sentenza, la Commissione Europea non ha valutato adeguatamente le leggi di sorveglianza degli Stati Uniti quando ha approvato l'accordo sul Privacy Shield. La Commissione si è invece piegata alle pressioni degli Stati Uniti.
Di conseguenza, il trasferimento dei dati sotto Privacy Shield negherebbe ai cittadini europei i diritti di protezione dei dati concessi loro dal GDPR.
"Per tutti questi motivi, la Corte dichiara invalida la decisione 2016/1250", ha deciso la Corte UE.
Il conflitto di differenze nelle leggi sulla protezione dei dati può essere risolto solo in due modi:
Gli USA e l'UE non approveranno un "nuovo" accordo sul Privacy Shield, il che significa che le aziende della Silicon Valley non avranno un accesso speciale al mercato europeo.
Oppure, gli Stati Uniti modificano le loro leggi sulla sorveglianza in modo tale che i dati delle persone che vivono nell'Unione Europea siano protetti in modo da soddisfare gli elevati requisiti del GDPR.
Max Schrems commenta: "La Corte ha chiarito per la seconda volta che c'è uno scontro tra la legge sulla privacy dell'UE e quella statunitense sulla sorveglianza. Poiché l'UE non modificherà i suoi diritti fondamentali per compiacere la NSA, l'unico modo per superare questo scontro è che gli Stati Uniti introducano solidi diritti alla privacy per tutte le persone - compresi gli stranieri. La riforma della sorveglianza diventa così cruciale per gli interessi commerciali della Silicon Valley".
"Questa sentenza non è la causa di un limite al trasferimento dei dati, ma la conseguenza delle leggi statunitensi sulla sorveglianza. Non si può biasimare la Corte per aver detto l'inevitabile - quando la merda colpisce il ventilatore, non si può biasimare il ventilatore".
No Privacy Shield-privilegio
I flussi di dati verso gli Stati Uniti sono ancora possibili ai sensi dell'articolo 49 del GDPR. Tuttavia, essi devono essere limitati allo stretto necessario per adempiere a un contratto. Inoltre, se un utente desidera che i suoi dati vengano trasmessi negli Stati Uniti, anche questo è legale, ma il consenso può essere revocato in qualsiasi momento dall'utente.
In breve: gli Stati Uniti non hanno più alcun privilegio quando si tratta di trasferire i dati dei cittadini dell'UE. Le aziende tecnologiche statunitensi hanno perso il loro accesso speciale al mercato dell'UE a causa della sorveglianza statunitense.
Schrems afferma: "La Corte ha esplicitamente sottolineato che l'invalidazione del Privacy Shield non creerà un "vuoto giuridico", poiché i flussi di dati cruciali possono ancora essere intrapresi. Gli Stati Uniti sono ora semplicemente rimandati ad un paese medio senza un accesso speciale ai dati dell'UE".
Si tratta di una vittoria storica per il diritto alla privacy.
