Il Garante per la protezione dei dati personali aveva autorizzato i trasferimenti di dati verso gli Stati Uniti sulla base del cosiddetto accordo “Safe Harbor” (“Approdo Sicuro”). Il 6 novembre 2015 l’Authority ha però dichiarato decaduta tale autorizzazione (del 10 ottobre 2001). Società multinazionali, organizzazioni e imprese italiane dovranno quindi ricorrere alle altre possibilità previste dalla normativa sulla protezione dei dati personali per poter trasferire dati negli Stati Uniti.
Il provvedimento (al 6 novembre, in corso di pubblicazione sulla Gazzetta ufficiale) è stato adottato dal Garante a seguito della recente sentenza della Corte di Giustizia dell’Unione Europea, che ha dichiarato invalido il regime introdotto in virtù dell’accordo “Approdo sicuro” (Safe Harbor), facendo venire meno il presupposto di legittimità per il trasferimento negli Usa di dati personali dei cittadini europei per chi utilizzava questo strumento. La decisione presa dal Garante è in linea con quanto concordato nelle settimane scorse nell’ambito del Gruppo che riunisce le Autorità della privacy dell’Ue.
Con la sopracitata sentenza (nella causa C-362-14, caso Maximilian Schrems/Data Protection Commissioner), la Corte di Giustizia dell’Unione europea ha dichiarato “invalida la decisione della Commissione che attesta che gli Stati Uniti garantiscono un adeguato livello di protezione dei dati personali trasferiti” e ha affermato che “le autorità nazionali di controllo, investite di una domanda, possono, anche se esiste una decisione della Commissione che dichiara che un paese terzo offre un adeguato livello di protezione dei dati personali, esaminare se il trasferimento dei dati di una persona verso quel paese rispetta i requisiti della normativa dell’Unione sulla protezione di tali dati, nonché adire i giudici nazionali, allo stesso titolo della persona interessata, affinché procedano ad un rinvio pregiudiziale per l’esame della validità della decisione” (cfr. il comunicato stampa per una rapida disamina della questione posta all’attenzione della Corte).
In attesa delle prossime decisioni che verranno assunte in sede europea, le imprese potranno dunque trasferire lecitamente i dati delle persone solo avvalendosi di strumenti come:
- le clausole contrattuali standard (cfr. la relativa pagina sul sito del Garante), o
- le regole di condotta adottate all’interno di un medesimo gruppo (le cosiddette BCR, Binding Corporate Rules; cfr. la relativa pagina sul sito del Garante).
Così come avvenuto nel 2001, quando ha autorizzato il trasferimento dei dati personali verso gli Stati Uniti d’America (“Safe Harbor”), il Garante privacy si è comunque riservato di effettuare controlli per verificare la liceità e la correttezza del trasferimento dei dati da parte di chi esporta i dati.