Le autorità per la protezione dei dati degli Stati membri dell'UE, riunite nel Gruppo di lavoro Articolo 29, di cui fa parte l'Agenzia spagnola per la protezione dei dati, hanno appena pubblicato una dichiarazione congiunta sulle prime conseguenze che possono essere estratte a livello europeo e nazionale a seguito del storica sentenza della Corte di Giustizia dell'Unione Europea (CGUE) del 6 ottobre 2015 nella causa Maximilian Schrems c. Commissario per la protezione dei dati (C-362-14).
Nella loro lettera, le autorità per la protezione dei dati dell'UE ritengono che sia assolutamente essenziale avere una posizione solida, collettiva e comune sull'applicazione della sentenza. D'altro canto, il gruppo di lavoro seguirà da vicino lo stato di avanzamento dei procedimenti pendenti dinanzi alla Corte suprema d'Irlanda.
In primo luogo, il Gruppo di lavoro sottolinea che la questione della sorveglianza di massa e indiscriminata è un elemento chiave dell'analisi della Corte. Il Gruppo ricorda di aver ripetutamente affermato che tale monitoraggio è incompatibile con il quadro giuridico dell'UE e che gli strumenti di trasferimento esistenti non rappresentano la soluzione a questo problema. Inoltre, come già affermato, i trasferimenti verso paesi terzi in cui i poteri delle autorità statali di accedere alle informazioni superano quanto necessario in una società democratica non saranno considerati destinazioni sicure per i trasferimenti.
Al riguardo, la sentenza del tribunale richiede che ogni decisione di adeguatezza comporti un'ampia analisi delle legislazioni nazionali del Paese destinatario dei dati, nonché dei suoi impegni.
Il Gruppo di lavoro invita pertanto gli Stati membri e le istituzioni europee ad avviare colloqui con le autorità statunitensi al fine di trovare soluzioni politiche, legali e tecniche che consentano il trasferimento dei dati nel territorio statunitense nel rispetto dei diritti fondamentali.
Queste soluzioni potrebbero essere trovate attraverso i negoziati di un accordo intergovernativo che fornisca maggiori garanzie a coloro che sono interessati all'UE. Gli attuali negoziati su un nuovo Safe Harbor potrebbero essere parte della soluzione. In ogni caso, tali soluzioni dovrebbero sempre essere accompagnate da meccanismi chiari e vincolanti e includere, almeno, obblighi sul necessario monitoraggio dell'accesso da parte delle autorità pubbliche, sulla trasparenza, proporzionalità, meccanismi di ricorso e diritti previsti dalla normativa sulla protezione dei dati.
Nel frattempo, il Gruppo di lavoro proseguirà la sua analisi dell'impatto della sentenza della Corte di giustizia su altri strumenti di trasferimento. Durante questo periodo, le autorità per la protezione dei dati ritengono che le clausole contrattuali tipo e le regole vincolanti d'impresa (BCR) possano continuare a essere utilizzate. In ogni caso, ciò non impedirà alle autorità per la protezione dei dati di indagare su casi particolari, ad esempio di reclami, e di esercitare i loro poteri al fine di tutelare le persone.
Se a fine gennaio 2016 non è stata trovata una soluzione adeguata con le autorità statunitensi, e sulla base della valutazione degli strumenti di trasferimento da parte del Gruppo di lavoro, le autorità per la protezione dei dati dell'UE si impegnano ad adottare tutte le misure necessarie e appropriate, che possono includere azioni coordinate di applicazione della legge (applicazione).
Per quanto riguarda le conseguenze pratiche della sentenza della Corte di giustizia, il Gruppo di lavoro ritiene che sia chiaro che i trasferimenti dall'Unione Europea verso gli USA non possono più essere inquadrati nella Decisione di adattamento 2000/520/CE della Commissione Europea (la c. chiamata Safe Harbor Decision). In ogni caso, i trasferimenti che sono ancora in corso ai sensi della Decisione Safe Harbor a seguito della sentenza della Corte di giustizia sono illegali.
Al fine di garantire che tutti gli attori siano sufficientemente informati, le autorità di protezione dei dati dell'UE avvieranno adeguate campagne di informazione nei rispettivi paesi. Ciò può includere informazioni dirette a tutte le società note per aver utilizzato la decisione Safe Harbor, nonché messaggi generali sui siti Web delle autorità.
In conclusione, il Gruppo di lavoro insiste sulla condivisione delle responsabilità tra le autorità di protezione dei dati, le istituzioni dell'UE, gli Stati membri e le imprese per trovare soluzioni sostenibili per attuare la sentenza della Corte. In particolare, e nel contesto della sentenza, le aziende dovrebbero riflettere sui possibili rischi che corrono nel trasferimento dei dati e considerare l'adeguata attuazione di tutte le soluzioni legali e tecniche per mitigare tali rischi e rispettare il patrimonio comunitario della protezione dei dati.