Caro Presidente,
come noto, in data 6 ottobre 2015 la Corte di giustizia dell'Unione europea si è pronunciata in ordine alla causa C-362/14, Maximillian Schrems vs Data Protection Commissioner, dichiarando invalida la decisione della Commissione europea del 26 luglio 2000. Con tale decisione era stato ritenuto adeguato il livello di protezione dei dati personali garantito dagli Stati Uniti nel contesto del regime di Safe Harbor che consentiva il libero trasferimento, a fini commerciali, dei dati di cittadini europei verso gli Stati Uniti da parte delle multinazionali UE che intendevano aderire all'Accordo.
La Corte ha ritenuto, in estrema sintesi, che la legislazione americana impone limitazioni al diritto alla protezione dei dati (con specifico riguardo alla possibilità di accesso da parte delle autorità pubbliche di sicurezza) che vanno oltre quanto necessario e proporzionato in una società democratica e senza che venga riconosciuto ai cittadini europei alcun rimedio giuridico contro tali possibili ingerenze.
La sentenza ha, inoltre, affermato in capo alle Autorità nazionali di controllo il potere di sospendere, se necessario, i trasferimenti di dati verso quei paesi terzi che non assicurano appunto un livello di protezione adeguato.
Allo stato tutti i trasferimenti effettuati sulla base del Safe Harbor sono privi di una base giuridica.
Conseguentemente, con provvedimento del 22 ottobre 2015, il Garante ha disposto la caducazione dell'apposita autorizzazione resa (il 10 ottobre 2001) sulla base della decisione della Commissione, ora dichiarata invalida, che di fatto consentiva alle società multinazionali, organizzazioni e imprese italiane di trasferire i dati verso gli Stati Uniti.
Abbiamo altresì provveduto a sensibilizzare sul tema, le principali associazioni di imprese e di istituti di credito con l'invito a comunicare le eventuali iniziative intraprese e le misure in corso di adozione.
A livello europeo, le Autorità di protezione dei dati (riunite nell'ambito dell'apposito Gruppo di lavoro) fin dal 15 ottobre 2015 hanno richiamato la Commissione all'obbligo di concludere rapidamente un nuovo Accordo con gli Stati Uniti che tenga conto dei rilievi sollevati dalla Corte. Sul punto si sono riservate di esercitare poteri di controllo e di adottare eventuali provvedimenti di blocco dei trasferimenti, nel caso in cui tale Accordo non fosse stato raggiunto entro la fine di gennaio 2016.
Le Autorità garanti hanno inoltre deciso di valutare con attenzione anche la legittimità degli altri strumenti che possono essere utilizzati dalle imprese per trasferire all'estero i dati (quali le clausole contrattuali standard o le regole di condotta adottate all'interno di un medesimo gruppo), in ragione degli effetti della sentenza Schrems.
Purtroppo non sono maturate ad oggi le condizioni per conseguire un utile risultato entro la scadenza indicata dalle Autorità, in ragione della persistenza di nodi politici che, di fatto, rendono al momento difficile un'intesa tra la Commissione e gli Stati Uniti d'America.
Poiché sono forti i rischi di pesanti conseguenze dal punto di vista economico anche per le imprese italiane nel caso di ulteriori ritardi (e degli eventuali provvedimenti di blocco dei trasferimenti dei dati che dovessero essere adottati dalle Autorità), Le segnalo la necessità di esercitare ogni possibile iniziativa presso le Istituzioni europee affinché, nel più breve tempo possibile, venga concluso un nuovo Accordo che sia rispettoso dei diritti dei cittadini europei.
Roma, 21 gennaio 2016
Antonello Soro