La Corte di giustizia europea ha invalidato la decisione della Commissione UE n. 2016/1250 sull'adeguatezza fornita dallo scudo UE-USA alla protezione dei dati personali. L’acccordo tra Ue e Usa avente lo scopo di proteggere i dati personali degli europei che vengono trasferiti al di fuori dell’Unione Europea, noto come Privacy Shield, è stato, pertanto, invalidato.

Privacy Shield aveva sostituito il precedente patto di trasferimento di dati, noto come Safe Harbour, invalidato dalla Corte europea nell’ottobre 2015 dopo che Edward Snowden aveva rivelato la pratica dello spionaggio digitale di massa da parte delle agenzie statunitensi collegate alle big tech.

Società come Google, Facebook, Apple, per evitare pesanti sanzioni comminabili per la violazione delle leggi sulla privacy dell’Ue, dovranno ripensare la propria strategia di mercato ed affrontare costi notevoli per la creazione di centri per la raccolta dati in Europa.

Il regolamento generale sulla protezione dei dati personali  - GDPR n. 2016/679 - entrato in vigore il 25 maggio 2018, ha l’obiettivo di proteggere i dati  personali dei cittadini europei ponendo vincoli stringenti a carico dei soggetti che trattano i dati personali. Le aziende che non si conformano sono soggette a sanzioni pecuniarie fino al 4% del fatturato annuo globale.

La battaglia legale che ha portato all'annullamnento dell'accordo è iniziata nel 2013, quando il cittadino austriaco Max Schrems, per bloccare il trasferimento dei suoi dati da Facebook Ireland a server appartenenti a Facebook Usa, ha presentato una denuncia al Commissario irlandese per la protezione dei dati.

Da quanto riportato sul comunicato n. 91/20 del 16 luglio 2020 della Corte di Giustizia dell'Unione Europea, le limitazioni alla protezione dei dati personali derivanti dal diritto nazionale degli Stati Uniti sull'accesso e sull'uso da parte delle autorità pubbliche statunitensi dei dati trasferiti dall'Unione europea a tale paese terzo, che la Commissione ha valutato nella decisione 2016/1250, non sono circoscritte in modo da soddisfare requisiti sostanzialmente equivalenti a quelli richiesti dal diritto dell'UE, dal principio di proporzionalità, nella misura in cui i programmi di sorveglianza basati su tali disposizioni non sono limitati a quanto strettamente necessario.
Sulla base delle conclusioni contenute in tale decisione, la Corte ha sottolineato che, per quanto riguarda determinati programmi di sorveglianza, tali disposizioni non indicano alcuna limitazione al potere che essi conferiscono per l'attuazione di tali programmi o all'esistenza di garanzie per persone non statunitensi interessate dal trattamento.
La Corte aggiunge che, sebbene tali disposizioni stabiliscano requisiti ai quali le autorità statunitensi devono conformarsi all'attuazione dei programmi di sorveglianza in questione, le disposizioni non concedono ai dati soggetti interessati diritti d'azione dinanzi ai tribunali contro le autorità statunitensi.

Per quanto riguarda l'obbligo di tutela giudiziaria, la Corte ritiene che, contrariamente all'opinione della Commissione nella decisione 2016/1250, il meccanismo del difensore menzionato in tale decisione non fornisce ai soggetti interesati alcuna causa d'azione dinanzi a un organismo che offra garanzie sostanzialmente equivalenti a quelle richieste dal diritto dell'UE, tali da garantire sia l'indipendenza del difensore previsto da tale meccanismo sia l'esistenza di norme che autorizzano l'adozione di misure di intelligence statunitensi. Per tutti questi motivi, la Corte dichiara non valida la decisione 2016/1250.