I mercoledì della privacy: amministratori condominiali e fine del «privacy shield»

La “Privacy Shield” fa capo alla Decisione della Commissione europea del 12 luglio 2016, n. 2016/1250 in relazione alle operazioni di trasferimento di dati personali dal territorio dello Stato membro verso le organizzazioni presenti negli Stati Uniti.

Il tutto veniva gestito attraverso un elenco tenuto e pubblicato dal Dipartimento del Commercio degli Stati Uniti, dove le imprese inserite sono tenute ad autocertificare su base annuale il rispetto di determinati obblighi in materia di trattamento dei dati personali, che gli consentiva di ottenere la certificazione ai sensi del “Privacy Shield”.

La sentenza della Corte Ue
La Corte di Giustizia dell'Unione Europea nella causa C-311/18 del 16/07/2020 ha dettato la fine del Privacy Shield, partendo da una questione pregiudizievole, andando poi a discutere dell'accusa promossa dal “sig. Schrems”, il quale ha sostenuto che gli Stati Uniti non offrivano una protezione sufficiente per i dati ivi trasferiti e chiedeva di sospendere o vietare, per il futuro, il trasferimento, da parte di Facebook Ireland, dei suoi dati personali a Facebook Inc., stabilita negli Stati Uniti.

Per questi ultimi, infatti, può sussistere di fatto una ingerenza al trattamento “se ed in quanto necessario per soddisfare esigenze di sicurezza nazionale, interesse pubblico o amministrazione della giustizia”. Si tratta per la Corte di Giustizia di un comportamento in contrasto con i principi dettati dal GDPR.

Né il rimedio posto dagli statunitensi che avrebbero previsto la figura del “Mediatore”, può dirsi sufficiente. L'instaurazione di quest'ultimo, infatti, sarebbe può considerarsi assimilabile ad un giudice, ai sensi dell'articolo 47 della Carta dei Diritti Fondamentali dell'Unione Europea.”

In pratica, decisioni di adeguatezza che la Commissione europea ha dovuto adottare una decisione di (in)adeguatezza ai sensi dell'art. 45.1 del Regolamento: “in particolare, sulla base del rilievo che le ingerenze risultanti dai programmi di sorveglianza statunitensi non sarebbero soggette a requisiti che garantiscano, nel rispetto del principio di proporzionalità, un livello di protezione sostanzialmente equivalente a quello garantito dall'articolo 52, paragrafo 1, seconda frase, della Carta (per cui “nel rispetto del principio di proporzionalità, possono essere apportate limitazioni solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall'Unione o all'esigenza di proteggere i diritti e le libertà altrui”).

Non sussiste, quindi, il rispetto del principio di proporzionalità. Né in tali disposizioni è prevista alcuna possibilità per il singolo di avvalersi di rimedi giuridici al fine di accedere a dati personali che lo riguardano, oppure di ottenere la rettifica o la soppressione di tali dati”.

La situazione attuale
Allo stato, quindi, i trasferimenti dei dati dall'UE agli USA può avvenire seguendo le indicazioni dell'art. 49 GDPR che stabilisce, in modo preciso, a quali condizioni possono aver luogo trasferimenti di dati personali verso paesi terzi in assenza di una decisione di adeguatezza ex 45.3 o di garanzie adeguate ex art. 46 del Regolamento.

La venuta meno della procedura semplificata prevista con il Privacy Schield, comporterà la necessità di dover effettuare delle verifiche di caso in caso su ogni contratto che andrà studiato ad hoc.

Una novità che comporterà inevitabilmente una enorme burocratizzazione in relazione ad ogni trasferimento di dato verso gli USA.La conseguenza sarà che (almeno fino ad una nuova decisione di adeguatezza), in relazione alle attività di amministrazione condominiale, andranno verificati bene soprattutto i contratti con i gestori di CLOUD statunitensi, ma andrà anche effettuato un controllo nell'utilizzo di applicazioni per i device che possono essere gestiti negli USA.

Il problema non è solo teorico ma anche sostanziale e pratico, basti pensare che l'amministratore potrebbe ricevere una richiesta di accesso agli atti ai sensi dell'art. 15 GDPR e dover giustificare all'interessato il trasferimento del dato negli USA, senza poter garantire una sua effettiva previa verifica sull'adeguamento effettuato dal soggetto statunitense nominato responsabile del trattamento.Il risultato di questa decisione, insomma, può avere effetti su milioni di imprese e professionisti che rischiano di trovarsi a subire sanzioni o azioni risarcitorie per non aver attuato le disposizioni di cui all'art. 49 GDPR, prima impensabili da applicare rispetto al traffico di dati negli States.