C'è sempre un acceso confronto tra Europa e Stati Uniti quando si tratta della gestione dei dati personali e del rispetto della privacy dei cittadini. L'entrata in (pieno) vigore del GDPR non ha certo semplificato il confronto ed ora al centro dell'attenzione si pone anche il Privacy Shield, ossia l'accordo che regola il trasferimento dei dati sui cittadini europei verso aziende e istituzioni USA. Il Privacy Shield è stato definito e ratificato circa due anni fa come sostituto delle norme cosiddette Safe Harbour, valutate insufficienti dal punto di vista della tutela della privacy da una sentenza della Corte di Giustizia UE.

Fin dall'inizio molti hanno considerato il Privacy Shield come inadeguato, in particolare perché troppi fattori fuori dal controllo europeo entrano in gioco per garantire una tutela della privacy equivalente a quella UE. La Commissione Europea però aveva spinto verso l'approvazione del Privacy Shield, facendo conto sul fatto che le istituzioni e le aziende USA si sarebbero mosse velocemente per adeguare i loro processi ed i loro controlli a quanto previsto dalla normativa.

Il gruppo di lavoro WP29 prima e poi una risoluzione del Parlamento Europeo avevano sottolineato in dettaglio diversi aspetti del Privacy Shield che non sembravano ottimali. E anche la prima valutazione del funzionamento del Privacy Shield, condotta dalla Commissione Europea stessa, aveva dato un colpo al cerchio e uno alla botte. Da un lato aveva infatti riconosciuto che gli Stati Uniti garantiscono un livello adeguato di protezione dei dati personali dei cittadini UE, dall'altro però ha anche indicato dieci raccomandazioni alle autorità statunitensi in merito ad alcuni aspetti critici nella gestione di tali dati.
Nemmeno la cronaca ha sostenuto l'ottimismo della Commissione. In questi mesi ci sono stati diversi casi di evidente cattiva gestione delle informazioni personali, in particolare il caso Cambridge Analytica, e l'Amministrazione USA ha preso diverse decisioni che vanno verso una più estesa - e non maggiormente limitata - possibilità di controllo dei dati e delle comunicazioni da parte delle autorità, anche se tali dati e comunicazioni risiedono al di fuori degli USA.

Ora il Parlamento Europeo si è mosso di conseguenza e ha approvato una risoluzione in cui sottolinea diversi problemi irrisolti del Privacy Shield. Tra gli altri, il meccanismo di mediazione istituito dal Dipartimento di Stato statunitense non ha sufficienti poteri, le società statunitensi indicano di essere aderenti al Privacy Shield anche senza aver completato il necessario processo di certificazione, le varie procedure di ricorso per i cittadini dell'UE possano rivelarsi troppo complesse, i principi del Privacy Shiled non sono il linea con i dettami del GDPR sul consenso esplicito al trattamento dei dati, il concetto di "sicurezza nazionale" è troppo generico.

Le segnalazioni del Parlamento non sono unicamente formali. Solo la Commissione può sospendere l'applicazione del Privacy Shield ma il Parlamento le può chiedere - e con la nuova risoluzione fa esattamente questo - di muoversi proprio in tal senso. Il Parlamento infatti "invita la Commissione ad adottare tutte le misure necessarie a garantire che il Privacy Shield rispetti pienamente il regolamento (UE) 2016/679", ossia il GDPR. Inoltre "ritiene che l'attuale accordo non preveda il livello adeguato di tutela richiesto dal diritto dell'Unione" e "invita la Commissione a sospendere il Privacy Shield fino a quando le autorità statunitensi non ne rispetteranno le sue condizioni".

Il Privacy Shield inoltre è già nel mirino del WP29 - o, come si chiama ora, European Data Protection Board o EDPB - che potrebbe portarlo davanti alla Corte di Giustizia europea e farlo invalidare esattamente come è accaduto per il Safe Harbour. Una posizione fortemente critica del Parlamento Europeo rende questo scenario molto più probabile.