L’Autorità olandese per la protezione dei dati (Autoriteit Persoonsgegevens) ha inflitto a Uber una maxi sanzione di 290 milioni di euro, dopo aver rilevato che la società ha “trasferito i dati personali degli autisti europei negli Stati Uniti, senza salvaguardarne la privacy”. Tale comportamento, secondo il garante olandese, costituisce una grave violazione del Gdpr.
Al “Privacy Shield” è toccato, in sostanza, il destino del “Safe Harbor” – Nella decisione della Corte di Giustizia ha pesato, segnatamente, il primato delle esigenze di sicurezza nazionale, interesse pubblico e amministrazione della giustizia, tale da consentire ingerenze del governo nei diritti fondamentali delle persone fisiche i cui dati sono trasferiti alle imprese U.S.A. – A ciò si è aggiunta la verifica della mancanza di garanzie di indipendenza, rispetto al Dipartimento di Stato U.S.A., della figura del Mediatore dello “Scudo Privacy”, in contrasto con l’articolo 47 della Carta dei Diritti Fondamentali dell'Unione Europea.
Il sito web austriaco NetDoktor, che si occupa di notizie mediche, funziona come milioni di altri: l’utente naviga sul sito e un cookie di Google Analytics viene posizionato sul dispositivo del medesimo utente, tracciando ciò che fa durante la sua visita. Questa funzione può includere le pagine che vengono lette, quanto tempo si rimane sul sito e informazioni sul dispositivo dello stesso utente, con assegnazione da parte di Google di un numero di identificazione che può essere collegato ad altri dati.
Il Parlamento europeo ha chiesto alla Commissione di sospendere il Privacy Shield, lo scudo che dovrebbe garantire la Data Protection di cittadini e aziende europee nei confronti degli Usa. La risoluzione depositata dal Parlamento Ue alla Commissione è un atto d’accusa in piena regola nei confronti degli usa, che secondo il Parlamento Europeo sta facendo poco (per non dire nulla) per garantire gli impegni sottoscritti con il Privacy Shield, l’accordo in vigore dal 2016 che all’epoca sostituì il Safe Harbor alla luce dello scandalo Snowden, che scoperchiò il vaso di Pandora della pesca a strascico dei dati di leader politici e cittadini di tutto il mondo da parte della Nsa (National security agency).
Nel limbo il traffico di dati personali verso gli Usa. Dopo la sentenza della Corte di giustizia dell'Unione Europea (Cgue) del 16 luglio 2020, che ha annullato l'accordo Ue/Usa sull'export di dati (accordo enfaticamente battezzato scudo privacy o Privacy Shield), non si sono viste immediate ripercussioni (secondo qualcuno sarebbero state catastrofiche), e i principali operatori interessati (sono nomi conosciuti da tutti perché interessano servizi di messaggistica, cloud, social network, distribuzione planetaria di prodotti) hanno, fino a oggi, tutt'al più modificato le loro schede informative sui loro siti internet.
Reazione in tre mosse per l'export di dati fuori dall'Europa: esaminare se effettivamente c'è bisogno dei servizi di un fornitore extra Ue verificare con un'analisi «caso per caso» se la privacy è adeguatamente tutelata nel paese terzo; in caso negativo, rinegoziare eventuali clausole contrattuali, passare a un'altra base giuridica o cessare il trasferimento dei dati. Queste in sintesi le risposte del Comitato europeo per la protezione dei dati ai quesiti più frequenti sugli effetti della sentenza della Cgue sul Privacy Shield.
La notizia ormai è nota e ha fatto il giro dell’Europa e di Internet, attraversando poi l’oceano e sbarcando a Washington: con un provvedimento adottato il 9 giugno 2022 il Garante per la protezione dei dati personali ha accertato che i trasferimenti di dati personali negli Usa necessari al funzionamento del servizio Google Analytics, leader di mercato nei servizi di analisi di traffico e contatti di un sito internet, sono incompatibili con la disciplina europea sulla protezione dei dati personali o, più precisamente, lo è lo specifico trasferimento di dati personali posto in essere da uno delle migliaia di clienti italiani di Google: quello oggetto dell’istruttoria conclusasi, appunto, con l’adozione del provvedimento.
Dopo l’invalidazione del Privacy Shield, decisa dalla Corte di Giustizia dell’UE il 16 luglio 2020 nella causa C-311/18, (nota come "Schrems II"), migliaia di imprese ed enti che si scambiano informazioni con i propri partner d’oltreoceano rischiano di affogare nelle sopraggiunte complicazioni per il trasferimento di dati all’estero. Ma adesso un prezioso salvagente arriva dall’European Data Protection Board con le misure supplementari richieste per ricorrere lecitamente alle clausole contrattuali standard (SCC).
Il 13 dicembre 2022 la Commissione europea ha emanato il progetto di decisione di adeguatezza basata sull'accordo denominato Data Privacy Framework, per promuovere il trasferimento di dati personali dall'Unione europea agli Stati Uniti. La Commissione ritiene che il nuovo quadro normativo consenta di superare i problemi sollevati dalla sentenza Schrems II, con cui la Corte di Giustizia dell'Unione europea aveva invalidato il Privacy Shield.
Nel corso della sessione plenaria del 4 novembre 2024, il Comitato europeo per la protezione dei dati (European Data Protection Board) ha adottato un rapporto sulla prima revisione del Data Privacy Framework per il trasferimento dei dati tra Unione Europea e Stati Uniti.
