Cosa succede alle imprese con la sentenza della CGUE sul Safe Harbor
Alla base della decisione della Corte vi è stata la presa d’atto che sulla base della legge statunitense qualora vi siano esigenze afferenti la sicurezza nazionale, il pubblico interesse e l’osservanza delle leggi, le imprese americane sono tenute a disapplicare, senza limiti, gli accordi sottoscritti sulla base del principio del Safe Harbor quando tali accordi entrano in conflitto con le esigenze di sicurezza nazionale. Questa disciplina, ha affermato la CGUE, è incompatibile con i principi fondanti la normativa europea.
La Corte ha quindi precisato che la valutazione in concreto di tale incompatibilità va svolta a livello nazionale dalle singole Autorità Garanti per la tutela dei dati personali. Ciò in quanto la Commissione (che nel 2000 aveva dichiarato la normativa USA adeguata e sicura) non ha il potere di vincolare le singole Autorità.
La CGUE ha quindi chiarito che “qualora un’autorità nazionale o una persona ritenga che una decisione della Commissione sia invalida, tale autorità o persona deve potersi rivolgere ai giudici nazionali affinché, nel caso in cui anche questi nutrano dubbi sulla validità della decisione della Commissione, essi possano rinviare la causa dinanzi alla Corte di giustizia. Pertanto, in ultima analisi è alla Corte che spetta il compito di decidere se una decisione della Commissione è valida o no”.
Ma cosa accade, in concreto, alle imprese italiane?
L’efficacia degli accordi sottoscritti tra le pmi italiane e gli USA (come anche nei confronti, si deve dedurre, di ogni altro Paese Terzo) dipende da come è stato disciplinato il trattamento dei dati e, ovviamente, dove vengono trattati i dati.
Per quanto banale possa sembrare va ricordato, infatti, che i problemi sorgono soltanto nel caso di trasferimento dei dati nel Paese terzo e non quando, nonostante si abbiano rapporti commerciali e trattamenti di dati con aziende di Nazioni non europee, tali dati rimangano i Europa.
Sicuramente, per quanto riguarda i dati trasferiti negli Stati Uniti, gli accordi potrebbero essere più facilmente soggetti ad accertamenti o a richieste di accertamenti da parte degli interessati.
Deve allora tenersi sempre a mente che la scelta migliore per le aziende che hanno rapporti a livello internazionale con Paesi Terzi è quello di redigere delle Binding Corporate Rules; regole che dovrebbero esser state redatte in maniera corretta ed adeguata, soprattutto sotto il profilo delle rispettive responsabilità e reciproche garanzie; in tal caso, l’impresa dovrebbe ritenersi -almeno minimamente- tutelata.
Ciò non toglie, in ogni caso, che alla luce della sentenza CGUE, tutti gli accordi dovranno essere rivisitati e migliorati. Tuttavia, si ritiene che, prima di correre ai ripari e modificare gli accordi, sia opportuno per le aziende italiane attendere le linee guida o comunque le raccomandazioni che, prevedibilmente, saranno diffuse del Garante Italiano, anche coordinandosi, con le altre Autorità europee di vigilanza sulla tutela dei dati personali.
Occorre quindi precisare che la decisione della Corte di Giustizia non ha dichiarato invalidi tutti gli accordi tra le aziende europee ed americane (o, si deve aggiungere, qualsivoglia altro Paese terzo) che quindi rimangono pienamente operanti.
Quel che in conclusione si deve comunque segnalare è che la sentenza sembra aver certamente aperto un vuoto che la Corte non ha ritenuto di dover o poter colmare: rimandando la decisione sulla compatibilità del principio del safe harbor alle valutazioni delle Autorità dei singoli Stati Membri ne consegue infatti che, in linea di principio, ogni Stato potrebbe adottare decisioni diverse creando una estrema disomegeneità del trattamento dei dati; circostanza che certamente cozza con la tendenza e volontà (anche alla luce del nuovo regolamento sul trattamento dei dati personali) di avere una comune disciplina europea sul trattamento dei dati.
Devi accedere per postare un commento.