Privacy Shield significa letteralmente “scudo per la privacy”.

L’EU-US Privacy Shield (Scudo UE-USA per la Privacy) è un accordo raggiunto nel 2016 tra Unione Europea e Stati Uniti in tema di tutela oltreoceano dei dati personali di cittadini europei. Un’ulteriore misura che affianca il GDPR, che come lo Scudo ha visto la luce sempre nel 2016.

Lo scopo dell’accordo era quindi tutelare maggiormente i dati personali di cittadini europei in caso di trasferimento oltreoceano degli stessi (pensiamo soprattutto al trasferimento di dati nel contesto commerciale). Il trasferimento a Paesi Terzi trova validità nel GDPR, ma la questione che aveva portato alla nascita del Privacy Shield si riferiva piuttosto alle differenze che intercorrono tra il sistema giuridico europeo e quello statunitense.

La necessità di una maggiore e adeguata tutela era sorta in quanto la normativa precedente in tema – il cosiddetto Safe Harbour, “porto sicuro” – era ritenuta non essere abbastanza severa.

L’EU-US Privacy Shield avrebbe dovuto imporre degli obblighi più rigidi in tema di utilizzo dei dati personali di cittadini UE alle aziende del settore commerciale con sede negli USA e alle autorità di vigilanza statunitensi. In particolare stabiliva:

Sulla carta, quindi, il Privacy Shield avrebbe dovuto generare un sistema di tutela più sicuro in territorio statunitense per i cittadini europei in tema di dati personali, come fa il GDPR in territorio europeo. Si parla al condizionale in quanto a luglio 2020 lo Scudo è stato invalidato da parte della Corte di Giustizia Europea, in quanto non compatibile con il GDPR.

L’incompatibilità è data da livelli diversi di protezione garantiti dall’Unione Europea da una parte e dagli Stati Uniti dall’altra. In poche parole per l’Unione Europea – nonostante le garanzie sulla carta – il sistema giuridico statunitense non fornisce ai cittadini europei le stesse garanzie di tutela date dal GDPR.

Di conseguenza per le aziende con base negli USA (che rilevano ed utilizzano dati personali di cittadini europei) il Privacy Shield non è più una base normativa valida per il trasferimento oltreoceano di dati personali. Da luglio 2020 (la sentenza ha avuto effetto immediato) queste aziende si sono quindi trovate ad adottare sistemi diversi per poter proseguire le loro attività nel rispetto della Legge, ad esempio modificando le clausole contrattuali, facendo ricorso al consenso esplicito oppure mantenendo i dati all’interno dell’Unione Europea.

Il Cloud Act

Il “Cloud Act” ha emendato lo Stored Communications Act (SCA) del 1986, in base al quale un’autorità di polizia o preposta all’ordine pubblico o incaricata dell’esecuzione di richieste giurisdizionali, ossia in termini più ampi e generali una cd. “LEA” (law enforcement authority), potrebbe, a certe condizioni, ordinare a una società di diritto statunitense la comunicazione di dati personali anche ove questi siano conservati in un Paese terzo e prescindendo da eventuali accordi bilaterali o multilaterali.

In altre parole, la LEA avrebbe un diritto potestativo di ottenere i dati personali. Il Cloud Act ha chiara portata extraterritoriale. Va tuttavia tenuto prudentemente conto del fatto che lo scenario prospettabile non è del tutto nitido neppure alle autorità di controllo europee, emergendo complessità giuridiche non ancora completamente chiarite, come rivela lo studio congiunto condotto dall’EDPB, ossia il comitato che raccoglie le autorità di controllo europee, e dall’EDPS, ossia il “Garante” delle istituzioni europee, dal titolo Initial legal assessment of the impact of the US CLOUD Act on the EU legal framework for the protection of personal data and the negotiations of an EU-US Agreement on cross-border access to electronic evidence, del 10 luglio 2019.

Il FISA

Ragionamento analogo, ma connotato da un maggiore coefficiente di insidiosità riguarda il FISA. In particolare, la Section 702 permette l’acquisizione di informazioni per finalità di intelligence su soggetti che non hanno cittadinanza statunitense che si trovano fuori dal territorio degli Stati Uniti. La normativa riguarda cioè direttamente anche i cittadini europei rispetto a trattamenti dei loro dati personali effettuati nell’Unione europea. Sono soggetti a tali disposizioni normative tutti i fornitori di servizi di comunicazione elettronica, secondo la nozione statunitense dell’espressione (electronic communications service providers).