Il ritorno alla sovranità sui dati per i cittadini europei
(commento alla sent. della Corte di giustizia C-311/18 del 16/07/2020)
Si è conclusa la vicenda Schrems II – che prende il nome dall’omonimo ricorrente Max Schrems, noto attivista austriaco che si è da sempre battuto contro le grandi corporations (a partire da Facebook) per la violazione dei diritti alla privacy degli utenti.
Con la sentenza C – 3111/18 la Corte di giustizia ha invalidato il cosiddetto Privacy Shield, uno scudo creato anni prima e volto a far transitare i dati dei cittadini europei negli Stati Uniti.
Le motivazioni di tale transito erano perlopiù commerciali, nate quindi dall’idea di tutelare quelle aziende dotate di diversi partner commerciali extraeuropei, in particolare statunitensi.
La Corte europea ha sottolineato come vi sia una netta disparità di trattamento dei dati personali nei paesi oltreoceano, non condannando i soli USA, ma ponendo l’accento sull’assenza del rispetto del principio di proporzionalità in paesi anche come Cina e Corea.
E’ rimasta invariata, invece, la possibilità di far transitari i dati in concomitanza della stipula di un contratto, il quale preveda prima però una verifica della legislazione privacy nel paese destinatario, e che indichi, senza ombra di dubbio, le finalità del trattamento di suddetti dati.
Tale sentenza è fondamentale non solo per l’ampliamento della tutela concessa ai cittadini, ma soprattutto perchè si staglia quale baluardo contro l’utilizzo e la diffusione impropria di dati altrui, fenomeno favorito da moderne tecnologie come il cloud computing.
In questi ultimi casi spesso i server di riferimento si trovano in paesi ove la manodopera è sicuramente a basso costo, ma dove non vige un clima di collaborazione, nè vi sono regolamenti che siano in armonia con il General Data Protection Regulation.
Il GDPR stabilisce al punto 42 che il titolare – per permettere il trattamento dei propri dati – deve avere contezza di ciò a cui ha acconsentito e della misura del consenso dato. A lui debbono pervenire tutte le informazioni essenziali e funzionali ad una scelta libera e consapevole.
A fronte dell’abrogazione dell‘art. 15 D. lgs. n. 196/2003, dove si stabiliva che: “Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050 cod. Civ.”, si è fatto spazio l’art. art. 82 del GDPR che afferma un nuovo principio, il seguente: ”Chiunque subisca un danno materiale o immateriale causato da una violazione del regolamento stesso ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”.
Così facendo si subordina alla richiesta del risarcimento del danno una valutazione di responsabilità di queste due figure: il titolare del trattamento o il responsabile del medesimo, sottolineando l’evidente rapporto di fiducia, chiarezza e correttezza che deve intercorrere tra questi ultimi ed il cittadino.
In conclusione, a fronte di una sentenza di questo tipo e della sua conseguente eco mediatica, ora le aziende si trovano davanti ad un bivio: continuare i rapporti commerciali con gli Stati Uniti, decidendo però di sottoporre ciascun contratto ad un’attenta analisi delle clausole ed investendo in un sistema di sorveglianza che permetta loro di essere essere esonerati da eventuali profili di responsabilità, oppure optare per un’interruzione ex abrupto di ogni rapporto commerciale con gli Stati extra-europei, dovendo riconoscere l’assenza del Privacy Shield.