1. La Sentenza
Con Sentenza del 16 Luglio 2020, emessa nella causa C-311/18 del 16 luglio 2020 (Data Protection Commissioner contro Facebook Ireland Ltd, Maximillian Schrems e con l’intervento di The United States of America, Electronic Privacy Information Centre, BSA Business Software Alliance Inc., Digitaleurope), la Corte di Giustizia dell’Unione Europea – Grande Sezione ha dichiarato invalida la decisione di esecuzione (UE) 2016/1250 della Commissione del 12 Luglio 2016 sull’adeguatezza della protezione offerta dal regime dello scudo UE – USA per la privacy (c.d. il "Privacy Shield").
2. Gli effetti
Dal momento di pubblicazione della Sentenza il trasferimento di dati personali effettuato a fini commerciali da parte di un operatore economico (Titolare o Responsabile del trattamento) stabilito nel territorio dell’Unione Europea verso un operatore economico stabilito negli Stati Uniti D’America non è più considerato lecito sulla base di tale decisione di esecuzione (UE) 2016/1250 della Commissione Europea e, quindi, sulla base del Privacy Shield.
3. Le conseguenze
Ai sensi dell’art. 45 GDPR (Reg. UE 2016/679) un trasferimento di dati personali dal territorio dell’Unione Europea verso un Paese terzo (extra UE) può essere autorizzato mediante una decisione adottata dalla Commissione europea che stabilisca che detto Paese terzo garantisce un livello di protezione adeguato (c.d. decisione di adeguatezza).
Nel caso in cui non esista una decisione di adeguatezza validamente adottata dalla Commissione Europea il soggetto UE che intenda trasferire dati ad un Paese terzo deve compensare la carenza di protezione dei dati di tale Paese destinatario con adeguate garanzie a tutela dell’Interessato.
Tali garanzie possono consistere nell’applicazione di norme vincolanti di impresa (BCR), clausole contrattuali tipo (SCC) di protezione dei dati adottate dalla Commissione, clausole tipo di protezione dei dati adottate da un’autorità di controllo o clausole contrattuali autorizzate da un’autorità di controllo.
Ai fini di cui sopra la Commissione Europea ha adottato la Decisione 2010/87/UE, del 5 Febbraio 2010 (modificata dalla Decisione di esecuzione (UE) 2016/2297), che ha disposto una serie di clausole contrattuali tipo