Bruxelles – L’accordo sulla privacy tra Unione europea e Stati Uniti non tutela i dati dei cittadini dell’UE e va rivisto. La Corte di giustizia dell’UE boccia l’operato della Commissione europea, considerata colpevole di non aver valutato adeguatamente il modo in cui le informazioni personali sono gestite e trattate nel momento in cui vengono trasferite dal vecchio continente all’altra sponda dell’Atlantico. Oggetto del pronunciamento la decisione operativa della Commissione Juncker sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy.
E’ opinione dei giudici di Lussemburgo che le limitazioni della protezione dei dati personali che risultano dalla normativa interna degli Stati Uniti in materia di accesso e di utilizzo, da parte delle autorità statunitensi, di siffatti dati trasferiti dall’Unione verso tale Paese terzo, “non sono inquadrate in modo da rispondere a requisiti sostanzialmente equivalenti a quelli richiesti, nel diritto dell’Unione, dal principio di proporzionalità, giacché i programmi di sorveglianza fondati sulla suddetta normativa non si limitano a quanto strettamente necessario”. In sostanza gli Stati Uniti fanno un utilizzo sproporzionato ed eccessivo delle informazioni fornite dall’UE.
Nel negoziare l’accordo sulla privacy dunque l’UE ha commesso degli errori, venuti alla luce sulla scia di una causa sollevata da un cittadino austriaco all’Irlanda per la gestione dei suoi dati personali da parte di Facebook. L’utilizzo del social network avveniva in Austria, i suoi dati venivano gestiti da Facebook Ireland che li girava a server negli Stati Uniti. E’ stato lui a chiedere di non inviare i suoi dati personali negli Stati Uniti. L’esecutivo comunitario aveva però constatato che gli Stati Uniti garantiscono un livello adeguato di protezione. Decisione bocciata dalla Corte UE già nel 2015.
Già cinque anni fa, dunque, alla Commissione europea veniva fatto notare che la decisione per cui gli Stati Uniti garantiscono un adeguato livello di protezione dei dati personali trasferiti era da ritenere non valida. Il motivo era legato alle competenze. Allora si stabilì che la Commissione UE non si può sostituire agli organi competenti. Sono le autorità nazionali di controllo a dover esaminare in piena indipendenza se il trasferimento dei dati di una persona verso un Paese terzo rispetti i requisiti stabiliti dalla direttiva sui trattamento dei dati personali.
La Commissione europea avrà “bisogno di tempo per comprendere il giudizio della Corte e capire quali saranno i prossimi passi da compiere” ha commentato Didier Reynders in conferenza stampa. L’Esecutivo ha apprezzato che la sentenza abbia almeno confermato che “le clausole contrattuali standard rimangono uno strumento valido per il trasferimento dei dati personali e per il trattamento in Paesi terzi” spiega il commissario europeo alla Giustizia. Le clausole contrattuali standard sono state adottate dalla Commissione nel quadro della tutela dei dati, e vincolano contrattualmente il soggetto che importa i dati all’adozione di tutele adeguate. Reynders sottolinea che “volevamo garantire che possano essere utilizzate dalle imprese e che siano pienamente in linea con il diritto comunitario. Ora siamo a buon punto con questo lavoro e naturalmente terremo conto” di quanto evidenziato dalla sentenza di Lussemburgo.
I giudici della Corte di giustizia UE hanno sottolineato che il “diritto dei cittadini europei alla protezione dei dati è assolutamente fondamentale”, aggiunge anche Vera Jourova. Per la commissaria europea alla Trasparenza la sentenza ha anche ripetuto quello che la Commissione più volte ha sottolineato, ovvero “che quando i dati personali viaggiano all’estero dall’Europa, devono rimanere al sicuro”. E dunque, assicura, sulla base del giudizio della Corte Bruxelles continuerà il “lavoro per garantire la continuità dei flussi di dati in sicurezza: in linea il giudizio di oggi della Corte e nel pieno rispetto dei diritti dei cittadini europei”.