Il trasferimento dei dati personali dopo la sentenza Schrems II
Mai come oggi la protezione dei dati personali, la sicurezza nazionale e la riservatezza delle informazioni sono componenti importanti per la tutela dei diritti umani.
La pandemia globale di COVID-19 ha richiesto ai governi e ai cittadini di avere un dialogo aperto sul tracciamento dei contatti e sulla raccolta dei dati al fine di tutelare la salute in tempi di crisi sanitaria globale e di emergenza pubblica. Spesso i dati personali raccolti dalle App di tracciamento COVID in un paese possono essere trasferiti in un altro, lasciando gli individui di tutto il mondo vulnerabili alle pratiche di sorveglianza commerciale e governativa senza la possibilità di azionare alcun ricorso.
Tale mancanza è ulteriormente complicata dal fatto che non vi sono accordi internazionali, al contrario di quelli regionali (ad esempio, a livello europeo), volti alla protezione dei dati personali.
Nonostante la crescente importanza del trattamento dei dati nella gestione dello Stato moderno (così come negli affari), le nazioni non hanno ancora concordato la politica di regolamentazione appropriata, pertanto non ponendo dei limiti circa la raccolta del dato da parte sia di istituti privati che pubblici.
Per di più, il mondo occidentale risponde in modo diverso alle problematiche nascenti.
Protezione dati e Privacy: le implicazioni delle divergenze tra UE e USA
I disaccordi tra USA e UE in tema di protezione dei dati, sicurezza nazionale e politica della privacy delle informazioni tra i principali attori normativi globali hanno implicazioni significative sulla protezione dei diritti umani in un mondo in cui la maggior parte degli aspetti della nostra vita sono sempre più sorvegliati sia da aziende private che da entità governative.
Questi dissapori risalgono alla fine degli anni ’60, quando la protezione dei dati e la privacy sono emerse per la prima volta come una preoccupazione politica su entrambi i lati dell’Atlantico. Da allora, i conflitti tra UE e Stati Uniti sono riemersi in nuove forme in pochi anni. L’ultima iterazione di questa storia decennale di tensioni e battaglie transatlantiche sui dati è la decisione Schrems II, da tempo attesa, emessa dalla più alta corte dell’Unione Europea, la Corte di giustizia dell’Unione europea (CGEU), con sede a Lussemburgo.
Il reclamo venne presentato da parte dell’attivista per la protezione dei dati e della privacy, Maximillian Schrems, al commissario irlandese per la protezione dei dati sul trasferimento di dati da parte di Facebook Ireland agli Stati Uniti, dopo che Edward Snowden, informatico americano, rivelò i programmi di sorveglianza di massa degli Stati Uniti nel 2013.
Il 16 luglio 2020, la CGUE ha dichiarato che la portata dei programmi di sorveglianza degli Stati Uniti e la mancanza di rimedi legali negli USA sono problemi fondamentali per il diritto dell’UE, annullando, di conseguenza, la base giuridica che legittimava i trasferimenti di dati UE-USA.
La CGEU ha, pertanto, invalidato il meccanismo chiave per i trasferimenti di dati UE-USA sotto gli accordi del Privacy Shield, per la seconda volta in un decennio, sostenendo che le leggi statunitensi non forniscono una protezione “essenzialmente equivalente” per i dati personali, a quella garantita dal diritto dell’Unione Europea.
Appare quasi inutile affermare che Schrems II comporta significative conseguenze per il futuro dei trasferimenti di dati personali tra l’UE e gli Stati Uniti, l’economia transatlantica, così come il diritto globale dei dati e la governance in generale.
Tutela dei dati personali: le differenze UE e USA
Sebbene i principi in materia di tutela del dato personale adottati dalle democrazie occidentali all’inizio degli anni Settanta fossero simili, sono emerse rapidamente grandi differenze su come e a chi applicare tali principi.
Quando un numero sempre maggiore di aziende private iniziò a far progredire i propri database di elaborazione dati per raccogliere quantità significative di dati personali a fini commerciali, i dibattiti pubblici iniziali sull’uso dei dati personali da parte dei governi si estesero al settore privato.
Molti paesi europei hanno sviluppato regimi di privacy completi, applicati in modo uniforme da autorità nazionali per la protezione dei dati, sia nel settore pubblico che in quello privato. Le autorità di protezione dei dati sono autorità pubbliche indipendenti che controllano l’applicazione delle leggi sulla protezione dei dati fornendo consulenza specialistica e gestendo i reclami relativi alle violazioni delle leggi nazionali sulla protezione dei dati e, dal 2018, del Regolamento generale sulla protezione dei dati (GDPR).
Diversamente, il quadro legislativo statunitense regolava in modo esaustivo le attività del governo federale, non coprendo però gli attori privati, soggetti solo a leggi settoriali prevedendo un modello fondato sulla conformità volontaria e all’applicazione da parte dei tribunali (rispetto all’applicazione da parte di un’autorità centrale).
Sulla base delle politiche americane, il settore privato è sempre stato basato sulla concezione del libero mercato. Per di più, la resistenza alla regolamentazione degli attori privati negli Stati Uniti è stata accentuata dalle imprese più influenti del mercato, che hanno invece sostenuto con forza l’autoregolamentazione come mezzo efficace per proteggere gli individui (o “consumatori”). Questo approccio, sostenuto da una mentalità di tipo economico-giuridica e da considerazioni di efficienza, viene spesso descritto come “modello FTC“, dal nome della Federal Trade Commission (FTC) statunitense, diventato la principale via di applicazione della protezione dei dati e della privacy negli Stati Uniti.
Allo stesso tempo, nei primi anni Novanta, l’UE ha coordinato ampie consultazioni e discussioni per armonizzare le legislazioni nazionali degli Stati membri e rafforzare il mercato unico europeo consentendo i flussi di dati all’interno dello Spazio economico europeo (SEE). Questi sforzi sono culminati nello sviluppo di standard di protezione dei dati distintamente europei, in particolare nella Direttiva UE sulla protezione dei dati del 1995 (Direttiva UE), che mirava a stabilire principi di protezione dei dati simili in tutti gli Stati membri dell’UE.
La Direttiva UE, nello specifico, mirava a regolare il trattamento dei dati personali all’interno degli Stati membri e tra di essi, riconoscendo la crescente importanza del trasferimento e dell’analisi dei dati in un mondo sempre più tecnologico.
Concentrandosi sulla trasparenza, sulle finalità del trattamento dei dati e sull’uso proporzionato dei dati personali valutato dalle autorità di controllo, l’UE ha manifestato la chiara intenzione di fornire ai suoi cittadini diritti di protezione dei dati in forma forte.
È importante notare che per le controversie internazionali e i trasferimenti di dati, la Direttiva UE ha stabilito un criterio di “adeguatezza”, un approccio di “controllo alle frontiere” per i trasferimenti di dati al di fuori dell’UE. Questo approccio, originariamente articolato nell’ articolo 25 della direttiva, impone agli Stati membri dell’UE di limitare i trasferimenti di dati personali verso Paesi terzi a meno che non siano in grado di stabilire un livello di protezione “adeguato”.
Inoltre, inizialmente la Direttiva proponeva di richiedere ai paesi di fornire una protezione “equivalente”, ma il prodotto finale della direttiva è stato annacquato a una protezione “adeguata” a seguito di un’efficace azione di lobbying da parte delle aziende statunitensi.
Questo standard più basso è stato ripreso dall’ articolo 45 del GDPR, che ha sostituito la direttiva UE quando è entrato in vigore nel maggio 2018. Il trasferimento di dati personali a un paese terzo o a un’organizzazione internazionale può avvenire se la Commissione ha deciso che il paese terzo, un territorio o uno o più settori specifici all’interno di tale paese terzo o l’organizzazione internazionale in questione garantiscono un livello di protezione adeguato.
Il GDPR prevede inoltre che il livello di protezione dei dati personali dei Paesi terzi sia determinato dalla CE che, nell’effettuare tale valutazione, deve tenere conto “dello Stato di diritto, del rispetto dei diritti umani e delle libertà fondamentali, della legislazione pertinente, sia generale che settoriale, anche in materia di pubblica sicurezza, difesa, sicurezza nazionale e diritto penale e dell’accesso delle autorità pubbliche ai dati personali, nonché dell’attuazione di tale legislazione”; “dell’esistenza e dell’effettivo funzionamento di una o più autorità di controllo indipendenti”; e di “impegni internazionali” o “altri obblighi”.
Solo un numero molto limitato di Paesi è stato riconosciuto come “adeguato” ai fini della legge sulla protezione dei dati dell’UE, e molti di essi sono piccole giurisdizioni situate nel continente europeo con stretti rapporti politici, amministrativi ed economici con alcuni Stati membri dell’UE o con il Regno Unito.
Non sorprende che il requisito di adeguatezza abbia suscitato notevoli controversie nei Paesi potenzialmente riconosciuti come “inadeguati”, in particolare negli Stati Uniti, dove la Direttiva è stata considerata un pericoloso precedente per la re-imposizione di una regolamentazione governativa sul commercio elettronico, anche se è stata redatta prima della cosiddetta rivoluzione dell’E-commerce nel 1995.
La legalità del requisito di adeguatezza è stata messa in discussione anche da alcuni studiosi statunitensi in base al diritto internazionale e all’Accordo generale sul commercio dei servizi (GATS), che limita gli Stati firmatari dall’imporre restrizioni ai flussi internazionali di dati in modo da comportare una discriminazione arbitraria o ingiustificata nei confronti di altri Stati.
La direttiva UE è stata percepita come una finestra per il cambiamento delle politiche negli Stati Uniti. I sostenitori della privacy si aspettavano che la direttiva incoraggiasse una legislazione federale sulla protezione dei dati negli Stati Uniti, soddisfacendo, così, il criterio di adeguatezza europeo.
Tuttavia, queste aspettative hanno incontrato una forte resistenza da parte degli interessi aziendali nazionali negli Stati Uniti, sia per la difficoltà di far passare le proposte attraverso un complicato processo legislativo che consente veti in numerose fasi, sia per il fatto che l’economia di mercato liberale americana generalmente favorisce gli interessi delle imprese rispetto a quelli dei consumatori.
Il risultato? La forma di autoregolamentazione promossa a livello internazionale dal governo statunitense e dai suoi attori aziendali non è stata accettata nemmeno dagli europei.
Ad ogni modo, sia gli Stati Uniti che l’UE concordavano sul fatto che l’assenza di cooperazione – che significava assenza di trasferimenti internazionali di dati – non era una soluzione accettabile al problema, e quindi era il risultato meno favorito del “gioco” della politica sulla privacy dei dati per entrambi i giocatori. Ciononostante, ciascun giocatore ha preferito un particolare modello di protezione dei dati.
Pertanto, la questione principale era quale modello avrebbe prevalso: l’autoregolamentazione di stampo americano o le regole di protezione dei dati rigorose e a copertura totale di stampo europeo? Queste differenze nella politica di protezione dei dati tra l’UE e gli Stati Uniti hanno portato all’accordo “Safe Harbor”, adottato nel 2000.
Il Safe Harbor prevedeva un accordo in base al quale le imprese statunitensi potevano “autocertificare” di fornire una protezione “adeguata” ai fini della direttiva UE se accettavano volontariamente di essere vincolate da una serie di principi di protezione dei dati.
Molte aziende tecnologiche statunitensi, come Facebook, Amazon e Apple, si sono affidate al Safe Harbor per continuare il loro modello commerciale di raccolta e trattamento dei dati personali nell’UE e di trasferimento negli Stati Uniti.
L’accordo, dunque, dimostra l’enorme potere contrattuale degli Stati Uniti e delle loro imprese su scala internazionale, poiché limita in modo significativo l’impatto e gli effetti extraterritoriali della legislazione dell’UE in materia di protezione dei dati, al fine di assecondare l’eccezionalismo degli Stati Uniti e consentire alle loro potenti imprese di operare con pochi ostacoli da parte delle leggi dell’UE sulla protezione dei dati.
È proprio in questo contesto politico di accordi speciali di condivisione dei dati tra l’UE e gli Stati Uniti che Max Schrems sostenne che la base giuridica per i trasferimenti di dati tra l’UE e gli Stati Uniti, prevista dall’accordo Safe Harbor, non potesse considerarsi valida alla luce delle rivelazioni sui programmi di sorveglianza di massa del 2013, presentando reclamo alla Data Protection Commission irlandese.
Le implicazioni di Schrems II per i trasferimenti internazionali di dati
La sentenza Schrems II della CGUE non solo ha consolidato la spinta della CGUE verso la sicurezza dei dati, ha, oggi e nel futuro, anche un impatto significativo sull’economia e sul commercio transatlantico, sui quadri di condivisione dei dati nell’ambito dell’applicazione della legge e sui trasferimenti internazionali di dati ben oltre gli Stati Uniti.
Sebbene il risultato di Schrems non fosse inaspettato, data la storia dei disaccordi transatlantici in materia di politica di protezione dei dati, la sua accoglienza è stata diversa in tutto l’Atlantico. Mentre il Parlamento europeo e i commentatori dell’UE più in generale hanno visto Schrems II come una vittoria per i diritti fondamentali, molti negli Stati Uniti lo hanno definito una “prevaricazione”, “ipocrisia” e persino “imperialismo” europeo.
È importante notare che, al di là del disappunto e dell’avversione per la sentenza della CGUE negli Stati Uniti, la sentenza avrà comunque implicazioni significative per i trasferimenti di dati commerciali verso gli Stati Uniti.
La questione è ora la seguente: come si possono trasferire legalmente i dati dall’UE agli Stati Uniti?
La Corte non ha imposto un divieto generale ai trasferimenti di dati verso gli Stati Uniti, ma si è limitata a invalidare la decisione sul Privacy Shield e ad analizzare le garanzie fornite alle persone nel sistema giuridico statunitense.
Tuttavia, bisogna sottolineare che le decisioni di adeguatezza non sono gli unici meccanismi per i trasferimenti di dati personali verso Paesi terzi ai sensi del diritto dell’UE, e i trasferimenti di dati possono avvenire in assenza di una decisione di adeguatezza ai sensi dell’articolo 45, paragrafo 3, del GDPR o di garanzie adeguate ai sensi dell’articolo 46 del GDPR, che prevede, tra gli altri strumenti, i CSI e le norme vincolanti d’impresa.
I responsabili del trattamento/esportatori di dati si trovano ora di fronte a un dilemma significativo: come possono fare affidamento sulle Standards Contractual Clauses (SCC) per i trasferimenti di dati verso gli Stati Uniti per garantire una protezione “adeguata” dei diritti degli interessati nonostante il regime di sorveglianza generale degli Stati Uniti?
Poiché la CGUE ha stabilito che il sistema giuridico statunitense nel suo complesso non fornisce una protezione “adeguata”, l’uso delle SCC è limitato. In altre parole, qualunque sia il meccanismo utilizzato per il trasferimento dei dati, esso deve comunque garantire un livello “adeguato” di protezione dei dati personali.
In effetti, le autorità di protezione dei dati nell’UE hanno già emanato linee guida per i responsabili del trattamento dei dati, consigliando loro di cessare i trasferimenti UE-USA. Ad esempio, dopo la sentenza Schrems II, le EPBD ha ribadito “l’importanza di mantenere un elevato livello di protezione dei dati personali trasferiti dall’Unione europea a Paesi terzi” e ha dichiarato che, a seguito della decisione, “analizzerà attentamente la sentenza sui contatti stipulati da istituzioni, organi, uffici e agenzie dell’UE”.
Analogamente, anche la DPA di Berlino (Autorità Garante nazionale tedesca) ha esercitato pressioni sui responsabili del trattamento dei dati per assicurarsi che la base giuridica dei trasferimenti internazionali di dati sia corretta. Emergono due opzioni, entrambe rischiose, che potrebbero salvare il destino delle SSC per i trasferimenti UE-USA: in primo luogo, le SSC potrebbero ancora essere utilizzate con alcune società statunitensi, che sono sufficientemente isolate dal rischio di sorveglianza governativa da non violare le preoccupazioni di protezione di Schrems II; in secondo luogo, potrebbero essere aggiunte “garanzie supplementari” per aggirare il rischio di sorveglianza.
Per quanto riguarda la prima opzione, è vero che non tutte le aziende sono soggette al regime di sorveglianza degli Stati Uniti; come ha sottolineato Omer Tene, la sezione 702 del FISA, l’Ordine esecutivo 12.333 e il PPD-28 non si applicano a rivenditori, produttori, aziende sanitarie o farmaceutiche. Tuttavia, data l’ampiezza dei programmi di sorveglianza citati dalla corte nella decisione Schrems II e la probabilità che essi “intercettino” i cavi sottomarini indipendentemente dalla destinazione finale dei dati, è ancora improbabile che queste aziende siano completamente esenti dalle leggi sulla sorveglianza degli Stati Uniti.
Consentire ad alcune società statunitensi di determinare la loro probabilità di essere soggette al quadro di sorveglianza degli Stati Uniti sarebbe un esperimento innovativo, ma è “tutt’altro che chiaro quale autorità di regolamentazione dell’UE possa garantire la legittimità di tali trasferimenti”. Un’opzione potrebbe essere l’aggiunta di garanzie aggiuntive, tecniche (ad esempio, la crittografia end-to-end) e/o legali (ad esempio, le aziende che contestano le richieste di dati dell’UE da parte della comunità dei servizi segreti).
La stessa CGUE ha fatto riferimento a “garanzie supplementari”, “misure aggiuntive” e “meccanismi efficaci” che consentono, in pratica, di garantire il rispetto” della sentenza Schrems II.
Analogamente, alcune autorità di protezione dei dati hanno chiesto l’immediata sospensione dei trasferimenti di dati contestati dalla sentenza e hanno ribadito la necessità di garantire l’esistenza di protezioni adeguate quando si utilizzano i centri di cooperazione scientifica.
La decisione Schrems II avrà anche implicazioni più ampie per altri accordi di condivisione dei dati tra UE e USA e a livello globale, in quanto strettamente correlati alla sicurezza transatlantica e alle politiche di sorveglianza di massa degli USA.
In primo luogo, il pronunciamento di Schrems II sulla portata del quadro di sorveglianza statunitense può avere un impatto sulla Society for Worldwide Interbank Financial Telecommunication (SWIFT), che facilita l’interazione globale tra le istituzioni finanziarie, all’interno e tra l’UE e i Paesi terzi.
La SWIFT ha sede in Belgio e, nel 2018, ha gestito la metà dei pagamenti transfrontalieri di alto valore a livello mondiale. Gli accordi SWIFT sono stati oggetto di una maggiore cartolarizzazione tra l’11 settembre e le rivelazioni di Snowden del 2013, e la somiglianza tra i regimi di trasferimento dei dati impugnati in Schrems II e SWIFT è evidente.
In secondo luogo, la decisione ha implicazioni per i negoziati tra Stati Uniti e Unione Europea in merito alla legge statunitense CLOUD. La legge statunitense CLOUD obbliga le società statunitensi a fornire alle autorità americane l’accesso ai dati personali conservati offshore. Nell’ultimo anno, gli Stati Uniti hanno stipulato un accordo bilaterale con il Regno Unito ai sensi della legge statunitense sul CLOUD e sono iniziati i negoziati tra l’UE e gli Stati Uniti per stabilire un accordo bilaterale simile.
La capacità degli accordi di condivisione dei dati ai sensi della legge statunitense CLOUD di aggirare le procedure esistenti del trattato di assistenza giudiziaria e di eludere i requisiti di protezione dei dati è già stata rilevata dalle autorità europee, le quali hanno infine ritenuto che sarebbe stato necessario stabilire un “futuro accordo internazionale” affinché la conformità fosse conforme al GDPR. Dato che la CE deve tenere conto delle sentenze della CGUE, il destino dei negoziati tra l’UE e gli Stati Uniti in merito a una rete transatlantica di condivisione dei dati delle forze dell’ordine rimane incerto.
Infine, la decisione Schrems II avrà implicazioni significative per i trasferimenti di dati verso Paesi terzi, tra cui il Regno Unito post-Brexit, la Cina e altri Paesi le cui leggi in materia di sicurezza nazionale probabilmente non rispetterebbero i severi requisiti della CGUE.
Sebbene la decisione Schrems II fosse incentrata sui trasferimenti di dati tra l’UE e gli Stati Uniti, l’88% delle imprese dell’UE che trasferiscono dati al di fuori dell’UE si affida ai servizi di sicurezza interna e quindi l’impatto della decisione è molto più ampio.
Alla luce della sentenza della Corte, secondo cui le autorità di protezione dei dati devono intervenire in caso di reclami da parte degli utenti, qualora i trasferimenti di dati nell’ambito delle autorità di protezione dei dati non offrano tutele equivalenti ai sensi del diritto dell’UE, i responsabili del trattamento dei dati saranno costretti a garantire la conformità.
Naturalmente, se le autorità di protezione dei dati devono essere un meccanismo efficace del diritto dell’UE, le autorità di protezione dei dati devono essere pronte a usare con fiducia i loro poteri imposti da Schrems II, adottando misure correttive laddove i responsabili del trattamento dei dati non agiscano o stipulino accordi nell’ambito delle autorità di protezione dei dati che non offrono una protezione sostanzialmente equivalente a quella prevista dal diritto dell’UE.
A questo proposito, i trasferimenti di dati verso molti Paesi saranno probabilmente oggetto di indagine da parte delle autorità di protezione dei dati. Ad esempio, i trasferimenti di dati verso la Cina hanno una portata molto più ampia di quanto si pensi, con esportazioni annuali di dati per un valore di 200 miliardi di euro, anche attraverso TikTok, Alibaba e TenCent.
Peter Swire ha recentemente sostenuto che la decisione della CGUE nella causa Schrems II potrebbe portare a un’“assurdità” in cui “i dati dei cittadini dell’UE non potrebbero viaggiare verso gli Stati Uniti, per paura di una sorveglianza intrusiva, ma potrebbero fluire senza ostacoli verso la Cina, una nazione con pratiche di sorveglianza strappate dalle pagine di un romanzo di fantascienza distopico”.
Tuttavia, la sentenza della CGUE avrà un chiaro impatto sui trasferimenti di dati verso la Cina se sarà seguita dai responsabili del trattamento dei dati e, soprattutto, dalle autorità di protezione dei dati.
Infatti, se le autorità di protezione dei dati useranno i loro poteri per valutare i CSD quando vengono utilizzati per trasferire dati personali con garanzie insufficienti, l’impatto di Schrems II dovrebbe essere altrettanto grande sui trasferimenti di dati verso la Cina che sui trasferimenti verso gli Stati Uniti.
L’impatto della sentenza della CGUE è significativo anche per il Regno Unito post-Brexit, noto per le sue pratiche di sorveglianza estensiva in quanto membro dell’Alleanza dei Cinque Occhi.
In quanto Stato membro dell’UE, le pratiche di sorveglianza della sicurezza nazionale del Regno Unito non erano state precedentemente esaminate dalla CGUE, poiché la sicurezza nazionale non rientra nelle competenze dell’UE.
La cessazione dell’appartenenza all’UE trasforma lo status del Regno Unito nei confronti dell’UE in quello di un Paese terzo e i trasferimenti di dati personali dall’UE al Regno Unito sono disciplinati dal Capitolo V del GDPR. Ciò significa che il Regno Unito dovrà rispettare le stesse regole e gli stessi standard applicabili agli Stati Uniti e ad altri Paesi terzi.
In quanto Paese terzo, l’ordinamento giuridico del Regno Unito, compreso il quadro di sicurezza nazionale, deve ora garantire un livello di protezione “sostanzialmente equivalente a quello garantito all’interno dell’UE”.
Dal momento che il periodo di transizione del Regno Unito è terminato il 31 dicembre 2020, e in attesa della decisione di adeguatezza della CE, i trasferimenti di dati tra il Regno Unito e l’UE sono stati regolati dal regime provvisorio (la cosiddetta clausola passerella) nell’ambito dell’accordo commerciale e di cooperazione UE-Regno Unito, stipulato dai negoziatori dell’UE e del Regno Unito il 24 dicembre 2020.
Il 28 giugno 2021, la CE ha adottato due decisioni di adeguatezza per il Regno Unito, una ai sensi del GDPR e l’altra ai sensi della direttiva sull’applicazione della legge. Date le somiglianze tra i sistemi di sicurezza nazionale degli Stati Uniti e del Regno Unito e l’ampia condivisione di dati tra i due Paesi, è curioso che il Regno Unito sia riuscito a ottenere una decisione di “adeguatezza” generale, piuttosto che unirsi a una schiera speciale insieme agli Stati Uniti.
Tuttavia, entrambe le decisioni di adeguatezza sul Regno Unito includono “clausole di decadenza”, che limitano la durata dell’adeguatezza a quattro anni in caso di future divergenze tra i regimi dell’UE e del Regno Unito.
Trasferimento dati personali e sentenza Schrems II: valutazioni finali
La tutela dei diritti umani fondamentali è particolarmente importante nei periodi di crisi e di emergenza sanitaria causati dalla pandemia globale COVID-19.
È proprio nelle situazioni di sconvolgimento e di sfida globale che le deroghe agli standard dei diritti umani possono passare più facilmente inosservate, e di conseguenza è estremamente importante continuare a interrogare criticamente il modo in cui gli standard dei diritti umani vengono rispettati dai governi nazionali e sovranazionali.
L’invalidazione del Privacy Shield da parte della CGUE nella causa Schrems II è stata particolarmente importante durante la pandemia globale. La sentenza ha rafforzato il ruolo fondamentale della protezione dei dati nell’ordinamento giuridico dell’UE e nelle relazioni transatlantiche, dimostrando che la CGUE non accetterà una protezione “di secondo livello” per i dati personali trasferiti al di fuori dell’UE.
Schrems II è il risultato che le aziende tecnologiche e il governo degli Stati Uniti temevano. Tuttavia, non sono gli unici attori scontenti della decisione.
L’analisi storico-istituzionale dimostra che l’UE non è un blocco monolitico e che anche Schrems II è un risultato contrario alla volontà della CE.
L’invalidazione dei vecchi accordi per la privacy richiederà ora un riequilibrio delle politiche e delle priorità dell’UE o l’adeguamento alle preferenze istituzionali del suo potente alleato, gli Stati Uniti, attraverso nuovi accordi speciali.
La decisione Schrems II, più di quelle che l’hanno preceduta, mette all’angolo sia i governi degli Stati Uniti che quelli dell’Unione europea; affinché i trasferimenti di dati continuino, dunque, è necessaria una seria rivalutazione della sorveglianza e della protezione dei dati negli Stati Uniti, senza la quale l’Unione europea rischia di consentire e rendere possibili le violazioni dei diritti umani decise dalla CGUE o di mettere a repentaglio l’economia transatlantica, che ha un’alta posta in gioco.
(1 votes, average: 5,00 out of 5)
Loading...