La Corte di Giustizia dell’Unione Europea invalida il “Privacy Shield” tra UE e USA. Possibili ripercussioni su FATCA?

Il 20 luglio la Corte di giustizia dell’Unione europea (CGUE) ha invalidato l’accordo UE-USA sul Privacy Shield (Scudo per la Privacy), ideato nel 2016 dalla Commissione Europea.

L’accordo aveva precedentemente consentito il trasferimento di dati personali da soggetti operanti in territorio UE a controparti statunitensi, fornendo un meccanismo di autocertificazione alle società americane, le quali dichiaravano che i dati personali ricevuti dall’UE sarebbero stati protetti in base alle leggi sulla protezione dei dati personali vigenti in UE (compresa la General Data Protection Regulation (GDPR) del 2018).

Tale accordo si basava su clausole contrattuali standard (CCS), le quali evitavano alle aziende l’inconveniente di dover siglare accordi ad hoc per ogni diverso flusso di dati in uscita dall’UE.

Max Schrems, un attivista per la privacy austriaco, ha contestato l’ordine delle cose sostenendo che il sistema legale degli Stati Uniti non offre protezione sufficiente nella gestione dei dati personali; basti pensare alla completa libertà delle autorità pubbliche (in particolare, le national security and law enforcement agencies) di accedere a, ed intercettare le comunicazioni nell’ambito di programmi di sorveglianza che coinvolgono cittadini non statunitensi.

La sentenza della Corte interrompe bruscamente tutti i trasferimenti di dati basati sullo Scudo per la Privacy e, sebbene non invalidi le CCS, la decisione getta comunque ombra sul futuro degli accordi intergovernativi di condivisione dei dati ai sensi del Foreign Account Tax Compliance Act (FATCA) e del Common Reporting Standard (CRS) OCSE.

In pratica, le autorità nazionali per la protezione dei dati degli Stati Membri dell’UE dovranno ora interrompere i trasferimenti effettuati in base a clausole contrattuali standard se le leggi sulla protezione dei dati del paese del destinatario non garantiscono lo stesso livello di protezione presente nell’UE.

I soggetti che sottoscrivono CCS, saranno tenuti a valutare personalmente i trasferimenti e a vigilare sui cambiamenti nel quadro giuridico del paese destinatario, se tali leggi in qualsiasi momento non soddisfino gli standard, i dati già trasferiti dovranno essere distrutti o restituiti.

FONTE: www.curia.europa.eu