Con sentenza emessa in data 16.07.2020 nella causa C-311/18, la Corte di Giustizia dell’Unione Europea ha dichiarato l’invalidità della decisione della Commissione 2016/1250 relativa all’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy (cd. Privacy Shield).
Tale sentenza viene resa a seguito della domanda di pronuncia pregiudiziale – presentata dal giudice irlandese nell’ambito del procedimento tra l’Autorità Garante della protezione dei dati di tale stato / Sig. Schrems e Facebook Ireland – avente ad oggetto sia la validità della suddetta decisione che la validità della decisione 2010/87 (riguardante le clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in Paesi terzi).
In particolare, con riferimento alla decisione 2010/87 in punto di clausole contrattuali tipo, la Corte ne afferma la sostanziale validità, nella misura in cui la stessa instaura meccanismi atti a garantire che il responsabile del trattamento stabilito in un Paese terzo rispetti il livello di protezione dei dati richiesto dal diritto dell’Unione e che l’esportatore dei dati sospenda il trasferimento e/o risolva il contratto concluso con il responsabile qualora non sia per quest’ultimo possibile conformarsi al citato livello di protezione. Resta ferma, per la Corte, la necessità di effettuare una valutazione caso per caso, onde verificare l’assetto del singolo destinatario / importatore dei dati e, soprattutto, la protezione offerta sotto il profilo privacy dal Paese terzo di volta in volta considerato.
In relazione, invece, alla decisione 2016/1250 inerente l’adeguatezza della tutela approntata dal cd. Privacy Shield, la Corte ne stabilisce l’invalidità alla luce della Carta dei diritti fondamentali dell’Unione Europea, evidenziando che le limitazioni della protezione dei dati personali che risultano dalla normativa statunitense in materia di accesso e di utilizzo, da parte delle autorità americane, dei dati trasferiti dall’Unione verso detto Paese terzo, non sono inquadrate in maniera tale da rispondere a requisiti equivalenti a quelli richiesti dal diritto dell’Unione in tema privacy.
La pronuncia impone quindi alle aziende che ricorrono a responsabili situati negli Stati Uniti di ripensare con urgenza le garanzie utilizzate per effettuare il trasferimento di dati personali verso tale Paese, sollecitando altresì una valutazione in ordine all’opportunità di effettuare una riorganizzazione tecnica delle risorse impiegate.