Come avevamo scritto all’epoca, a seguito della pronuncia della Corte di giustizia dell’Unione Europea del 6 ottobre 2015 nella causa C-362/14 Maximillian Schrems vs. Data Protection Commissioner, era venuto meno nell’intera Unione Europea il principale strumento di legittimazione del trasferimento di dati personali verso gli Stati Uniti, il regime del c.d. Safe Harbor, frutto di un accordo tra UE e USA.

Per quanto riguarda la giurisdizione italiana, pochi giorni dopo quella sentenza, il nostro Garante aveva disposto la caducazione del proprio provvedimento del 2001 che riconosceva l’accordo sul Safe Harbor e legittimava quel sistema con riferimento ai trasferimenti di dati personali soggetti alla legge italiana.

Si trattava di una vacatio legis di grande rilevanza per numerosissime filiali italiane di multinazionali americane, che tipicamente esportano verso la capogruppo dati dei propri dipendenti e/o clienti, e che hanno dovuto ricorrere, nel periodo intermedio, a metodi alternativi, meno pratici, per proseguire nell’esportazione senza correre il rischio di vedersi contestate violazioni di legge.

Nel frattempo la Commissione dell’Unione Europea e le autorità statunitensi sono corse ai ripari, firmando il c.d. “EU-U.S. Privacy Shield”, un insieme di principi che garantiscono un livello adeguato di protezione dei dati personali trasferiti dall’Unione europea verso gli Stati Uniti d’America, ratificato dalla decisione della Commissione europea del 12 luglio 2016 n. 2016/1250.

Mancava a questo punto, per i trattamenti soggetti alla legge italiana, un ultimo passo, e cioè la ratifica del Garante: quest’ultima è arrivata con l’Autorizzazione del 27 ottobre 2016, pubblicata nella Gazzetta Ufficiale n. 273 del 22 novembre 2016.

Società multinazionali e imprese italiane potranno dunque trasferire i dati personali verso le aziende presenti negli Stati Uniti che hanno aderito o aderiranno al cosiddetto “Privacy Shield”.

Il Garante si è comunque riservato di svolgere in qualsiasi momento i necessari controlli sulla liceità e correttezza del trasferimento dei dati e, comunque, su ogni operazione di trattamento ad essi inerente, nonché di adottare, se necessario, anche alla luce delle risultanze delle verifiche in questione, ulteriori provvedimenti.