Il fragile “scudo” del Privacy Shield che metteva al riparo da contestazioni i trasferimenti di dati fra l’Unione Europea e gli Stati Uniti è venuto a mancare con la sentenza pronunciata il 16 luglio dalla Corte di Giustizia UE nel caso C-311/18, che vede coinvolta l’Autorità Garante irlandese, Facebook Ireland e il sig. Maximillian Schrems.
La decisione, storica, arriva dopo una decisione simile già emanata nel 2015 e che aveva posto nel nulla lo “scudo” che aveva preceduto il Privacy Shield.
Mentre la decisione del 2015 non aveva scosso il convincimento della Commissione Europea circa l’affidabilità del partner americano circa il trattamento dati effettuato oltre oceano, questa seconda sentenza avrà probabilmente effetti più incisivi, costringendo la Commissione a cambiare approccio.
Indice degli argomenti
All’inizio fu il Safe Harbor
La sentenza del 16 luglio ha radici lontane e si può affermare che prende le mosse da una decisione che risale addirittura a vent’anni fa, al 2000, nella vigenza della Direttiva CE 95/46 in tema di privacy.
Già la direttiva del 1995 consentiva infatti il trasferimento di dati all’esterno dell’UE solo nel caso in cui questi paesi garantissero un livello di protezione adeguato ovvero nel caso in cui le parti negoziassero clausole contrattuali in grado di offrire garanzie sufficienti.
Con riguardo ai rapporti UE-USA il trasferimento dei dati personali è stato dapprima normato in seno alla Decisione CE del 26 luglio 2000 n. 2000/520/CE, che ha permesso la creazione del c.d. “Safe Harbor“, ovvero un accordo a cui potevano aderire, a determinate condizioni, le società USA interessate a trattare dati in UE per garantire un livello di protezione conforme a quello previsto dalla normativa europea.
Sotto l’egida del Safe Harbor si è così avuta una “normalizzazione” dei trasferimenti dati fra USA e UE nonostante poco dopo la decisione della Commissione gli Stati Uniti avessero preso (dopo l’11.09.2011) una deriva molto poco garantista circa i dati personali dei propri cittadini e degli stranieri.
La Commissione ignorò il fenomeno, fino a quando non fu costretta a confrontarvisi nel 2015.
Il 6 ottobre 2015, decidendo la causa C-362/14, la Corte di Giustizia Europea ha però posto nel nulla il Safe Harbor con un lapidario “la decisione n. 200/520/CE è invalida” argomentando che (anche alla luce del fatto che le garanzie del Safe Harbor trovavano limiti se la domanda di accesso ai dati proveniva da una pubblica amministrazione statunitense) tale meccanismo non era uno strumento valido per garantire il rispetto dei requisiti in tema di protezione dei dati previsti in sede europea.
Il “fautore” di questa pronuncia è sempre il sig. Schrems, attivista austriaco che aveva agito avanti all’autorità irlandese nel 2013, per lamentare che la sussidiaria europea di Facebook Inc. avesse illegittimamente trasferito i suoi dati (e quelli di tutti gli altri utenti del social) al di fuori dei confini dell’Unione senza adeguate garanzie.
L’autorità garante irlandese rigettava le richieste di Schrems, che si rivolgeva quindi alla High Court la quale rimetteva la questione in rinvio pregiudiziale alla Corte di Giustizia UE, affinché valutasse se il c.d. “Safe Harbor” poteva legittimare il trasferimento dei dati di cittadini europei negli Stati Uniti.
Pochi anni prima le rivelazioni di Edward Snowden avevano rivelato le pesanti ingerenze del governo USA in questioni private di cittadini americani ed europei e la preoccupazione in Europa circa il trattamento dei nostri dati da parte degli statunitensi era (giustamente) ai massimi livelli: la Corte di Giustizia raccolse queste preoccupazioni e, pronunciandosi sulla questione pregiudiziale, dichiarava appunto l’invalidità della Decisione che aveva istituito il Safe Harbor.
Quindi il Privacy Shield
Dalle ceneri del “Safe Harbor”, abbattuto dalla Corte di Giustizia, è però poco dopo sorto un nuovo accordo fra UE e USA, detto Privacy-Shield Framework adottato dalla Commissione Europea con Decisione UE IP/16/216.
In tale accordo la Commissione ha cercato di smussare molti degli aspetti criticati del “Safe Harbor”, rafforzando le tutele per i cittadini UE, anche se era già allora evidente che non si trattava di una soluzione davvero garantista e che esistevano ipotesi in cui i dati dei cittadini europei non sarebbero stati al sicuro da ingerenze USA.
L’accordo, in particolare, si preoccupava di ridurre i casi in cui le società statunitensi potevano conferire dati a terzi, nonché di ampliare le possibilità di accesso ai dati e di aumentare i controlli in capo al Dipartimento del Commercio USA.
Non veniva però affrontata a dovere l’ostica questione delle possibili ingerenze governative circa i dati dei cittadini europei che venivano trattati in USA e pertanto, siccome le argomentazioni con cui la Corte di Giustizia UE aveva abbattuto il Safe Harbor non erano state superate con il Privacy Shield, molti immaginavano che anche questo secondo “scudo” sarebbe presto caduto.
Gli Stati Uniti, nel frattempo, non hanno limitato le proprie potestà di ingerenza nei confronti delle società americane e questo a prescindere dal fatto che i dati riguardino cittadini statunitensi, europei o di altre nazionalità.
Anzi, il governo USA è andato addirittura oltre nel 2018, approvando il Clarifying Lawful Overseas Use of Data (CLOUD) Act, norma che consente al governo USA di chiedere ad organizzazioni americane di accedere ai dati ospitati anche su server transfrontalieri. Il Cloud Act può essere opposto solo in caso di sottoscrizione di appositi executive agreements con “qualifying foreign States” e i più non facevano rientrare il Privacy Shield tra tali executive agreements.
La curiosa storia del sig. Schrems
Maximillian Schrems è un attivista austriaco che ha iniziato la sua personale battaglia contro Facebook nel lontano 2011 quando, assistendo ad una lezione presso la Santa Clara University in California in cui il docente aveva invitato a parlare il “privacy lawyer” di Facebook, aveva capito che il social network americano non aveva afferrato l’estensione dei diritti riconosciuti ai cittadini europei in tema di protezione dei dati (e probabilmente non aveva interesse a farlo).
Tornato in Austria, si era dedicato ad approfondire il tema del trattamento dei dati degli utenti da parte di Facebook, che allora metteva a disposizione degli utenti una pagina per richiedere una copia “fisica” dei propri dati sul social network. La “copia” ricevuta da Schrems su CD ammontava a 1.200 pagine e conteneva una inaspettata mole di dati inclusi tutti i soggetti con cui aveva mai stretto amicizia (anche cancellati), tutti i messaggi scambiati (inclusi quelli “cancellati” che erano solamente accompagnati dalla dicitura in coda “cancelled”) e i dati di chi altri si era loggato a Facebook dal suo computer.
La svolta nell’attività di Schrems si ebbe nel 2013 con le rivelazioni di Edward Snowden, che misero in luce come i dati di Facebook non erano conoscibili solamente ai gestori del social network, ma anche potenzialmente al governo USA.
Schrems è anche autore di diverse altre iniziative nei confronti di Facebook e altri colossi tech americani, tra cui una class action in Austria e varie iniziative davanti all’Autorità Garante irlandese (che ospita le sedi europee anche di molti degli altri “destinatari” delle iniziative di Schrems, tra cui Amazon, Google, Apple).
La pronuncia del 2015
Nel 2013, quindi, Schrems portò le sue lamentele davanti all’Autorità Garante Privacy irlandese, chiedendo che venisse vietato a Facebook Ireland il trasferimento di dati di cittadini europei dal territorio comunitario a Facebook Inc., con sede negli Stati Uniti.
L’Autorità, come visto, negò la richiesta mentre la High Court rimise la questione avanti alla Corte di Giustizia UE.
La Corte, dopo aver inquadrato il portato della Decisione della Commissione che aveva creato il Safe Harbor che va rispettata dalle autorità nazionali, ma ciò non toglie che i cittadini abbiano diritto di contestarne la legittimità, con la Corte di Giustizia unico soggetto legittimato a pronunciarne l’eventuale invalidità.
In un importante passo della pronuncia, la Corte afferma che il livello di protezione adeguato richiesto dalla normativa europea per giustificare una “decisione di adeguatezza” sebbene non sia definito dalla normativa, va inteso in continuità con l’elevato livello di protezione garantito in Europa.
Ne deriva l’essenziale corollario, che avrà il suo peso nella decisione del 2020, che il “livello di protezione adeguato” richiesto ai paesi terzi deve evolvere insieme all’evolvere della normativa europea in tema di dati personali, aumentando all’aumentare del rigore delle norme UE.
Detto questo, la Corte nel 2015 evidenzia che il c.d. “Safe Harbor” di fatto sancisce il primato delle esigenze di sicurezza nazionale, interesse pubblico o amministrazione della giustizia degli Stati Uniti sui principi del cosiddetto “approdo sicuro” e che questo rende possibili ingerenze, fondate su esigenze connesse alla sicurezza nazionale e all’interesse pubblico o alla legislazione interna degli Stati Uniti, nei diritti fondamentali delle persone i cui dati personali sono o potrebbero essere trasferiti dall’Unione Europea verso gli USA.
In tal senso, poco importa, per accertare l’esistenza di un’ingerenza nel diritto fondamentale al rispetto della vita privata, che le informazioni relative alla vita privata di cui trattasi abbiano o meno un carattere sensibile o che gli interessati abbiano o meno subito eventuali inconvenienti in seguito a tale ingerenza.
Proprio in base a queste argomentazioni la Corte, nel 2015, pronunciava l’invalidità della Decisione che aveva creato il Safe Harbor.
La pronuncia del 2020
Una volta eliminato il “Safe Harbor” le vicissitudini del sig. Schrems non erano finite, due ulteriori ostacoli si frapponevano fra lui e il divieto, per Facebook Ireland, di trasferire i dati oltreoceano.
Il primo era la Decisione della Commissione n. 2010/87 relativa alle clausole contrattuali standard, ovvero una serie di clausole contrattuali che, secondo la Commissione, costituiscono garanzie sufficienti per la tutela della vita privata e dei diritti e della libertà fondamentali delle persone.
La logica è che anche se un governo non rispetta gli elevati standard di tutela dei dati personali previsti in Unione Europea, è possibile sopperire se le parti privatamente si impegnano a garantire i medesimi standard.
Questa logica presenta un’evidente fallacia nel caso in cui la minaccia al grado di tutela previsto dalla normativa UE non provenga dalle parti, ma piuttosto dalla nazione terza che ospita una delle due (come nel caso di Schrems).
La seconda era la Decisione della Commissione n. 2016/1250 che aveva istituito il “Privacy Shield” affinché sostituisse prontamente (apportando alcuni correttivi) il “Safe Harbor”, legittimando nuovamente il flusso di dati attraverso l’atlantico (che chiaramente non si era nel frattempo mai fermato).
Nel frattempo, era inoltre entrato in vigore il GDPR, che ha elevato ulteriormente il grado di tutela per i cittadini europei in punto di protezione dei dati personali e ha quindi aumentato la distanza con gli Stati Uniti, che ad oggi non hanno introdotto a livello federale una disciplina comparabile con quella europea (né questa sembra una priorità del governo centrale).
Con riguardo al trasferimento di dati verso paesi terzi, il GDPR prevede la possibilità di un trasferimento basato su una decisione di adeguatezza della Commissione (art. 45), decisione che deve essere fondata su una serie di valutazioni in capo alla Commissione, nonché la possibilità di un trasferimento basato sulla presenza di garanzie adeguate (a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi) e tra queste garanzie adeguate rientrano le condizioni contrattuali standard adottate dalla Commissione (art. 46).
L’articolo 49 del GDPR poi prevede infine alcune deroghe alla necessità di una decisione di adeguatezza nonché alla necessità di adeguate garanzie, per i casi in cui il soggetto, informato dei rischi, consenta comunque al trattamento, o il trattamento sia necessario per eseguire un contratto o per ulteriori necessità (es. difesa giudiziale).
Di nuovo quindi Schrems, tornato a far valere le sue pretese davanti all’Autorità Garante irlandese, ha visto il proprio caso rimesso avanti alla Corte di Giustizia nel 2018, per verificare se queste due ulteriori decisioni della Commissione potessero fare da “scudo” al trasferimento dati da Facebook Ireland a Facebook Inc.
La Corte apre le proprie argomentazioni passando in rassegna i rischi derivanti dal trasferimento negli Stati Uniti, in particolare le possibili ingerenze derivanti dalla Section 702 del FISA (Foreign Intelligence Surveillance Act) e dall’Executive Order 12333 del 1982, che permettono il primo di autorizzare la sorveglianza di cittadini non statunitensi (anche per dar corso a programmi di sorveglianza più duraturi ed incisivi) ed il secondo di far ottenere alla NSA di accedere ai dati già quando questi sono “in transito” verso gli USA.
Le attività di indagine trovano (specie per i cittadini non statunitensi) ben pochi limiti nella normativa USA, con i cittadini europei che non possono nemmeno fare appello al quarto emendamento (che difende da perquisizioni, arresti e confische irragionevoli).
La Corte dichiara nuovamente l’invalidità della decisione di adeguatezza relativa al trasferimento di dati verso gli Stati Uniti (Decisione n. 2016/1250) sulla base di una valutazione circa le possibili ingerenze statunitensi sui dati personali dei cittadini europei, della normativa FISA (Foreign Intelligence Surveillance Act), dell’Executive Order n. 12333 e dei deboli palliativi tesi ad arginarne gli effetti contenuti nel Privacy Shield (contenuti nella cosiddetta PPD Privacy Policy Directive 28, che però non garantisce diritti effettivi ed azionabili ai soggetti che subiscono questi trattamenti da parte delle autorità USA e ammette l’acquisizione massiva di dati di un soggetto sottoposto a sorveglianza).
Inoltre, la Corte evidenzia come l’organo di salvaguardia previsto dalla normativa statunitense (il cosiddetto “Privacy Shield Ombudsperson”) non presenta idonee garanzie di indipendenza rispetto all’amministrazione in cui è inserito.
La Corte, quindi, afferma che la decisione sulle clausole contrattuali standard (Decisione n. 2010/87), non riferendosi ad un singolo paese ma limitandosi ad individuare una serie di clausole astrattamente idonee a garantire un adeguato livello di tutela, non può essere dichiarata invalida, fermo però il fatto che andrà valutato in concreto il contesto in cui tali clausole verranno di volta in volta calate.
Quindi, anche se ci sono situazioni in cui, a seconda della legge e pratiche in vigore nel paese terzo interessato, il destinatario di tale trasferimento è in grado di garantire la necessaria protezione dei dati esclusivamente sulla base delle clausole standard sulla protezione dei dati, ce ne sono altre (e la Corte non menziona espressamente gli Stati Uniti ma sembra intendere che il riferimento vada esteso ad includere proprio gli USA) in cui il contenuto di tali le clausole standard potrebbero non costituire un mezzo sufficiente per garantire, in pratica, l’effettiva protezione dei dati personali trasferiti nel paese terzo interessato.
Questo è il caso, in particolare, in cui la legge di quel paese terzo consente alle sue autorità di interferire con i diritti degli interessati ai quali tali dati si riferiscono.
La Corte, quindi, nel “salvare” la decisione relativa all’adeguatezza delle clausole standard, impone un onere non da poco agli operatori, affermando che l’adozione delle clausole contrattuali deve sempre essere accompagnata da una analisi degli aspetti rilevanti del sistema normativo destinatario dei dati.
La conseguenza, ovviamente, riverbera non solo sulle realtà statunitensi, ma su tutti i soggetti europei che decidono di trasferire i dati negli USA, la Corte infatti ci ricorda che laddove il titolare del trattamento o un responsabile del trattamento stabilito nell’Unione Europea non sia in grado di adottare adeguate misure aggiuntive per garantire la protezione adeguata dei diritti dei soggetti interessati, questo è tenuto a sospendere il trasferimento di dati personali nel paese terzo interessato.
Le conseguenze
Qual è il portato di questa pronuncia?
Innanzitutto, la pronuncia ha un significato politico, in quanto “denuncia” il trattamento di favore riservato dalla Commissione Europea agli USA, nelle ripetute decisioni che hanno riconosciuto un livello di protezione adeguato ai trasferimenti di dati negli Stati Uniti, con la Commissione che ha scelto di non vedere le palesi criticità di una simile decisione di adeguatezza pur di non compromettere il continuo flusso di una mole enorme di dati fra UE e USA.
In secondo luogo, la pronuncia “denuncia” il trattamento di favore riservato dall’autorità garante irlandese a Facebook (e qualcuno la ritiene condizionata dalla necessità di attirare -con tassazioni di favore ma anche, perché no, con decisioni privacy favorevoli- colossi stranieri interessati ad operare in Europa).
Inoltre, la pronuncia comporta importanti conseguenze sul piano normativo.
La Commissione non potrà più, con leggerezza, sostituire la decisione di adeguatezza con una nuova decisione (salvo che gli Stati Uniti non intervengano con una significativa revisione normativa) e questo comporterà una situazione di stallo più lunga rispetto a quella attraversata dopo la decisione Schrems I del 2015.
Resta l’alternativa delle clausole contrattuali standard ma, come visto, questa alternativa ha perso di efficacia in conseguenza della lettura che ne ha fatto la Corte, con i titolari del trattamento europei che non potranno più permettersi di “isolare” le garanzie fornite dalle clausole dal contesto normativo in cui la controparte extraeuropea opera.
Questo problema era stato spesso superato con il “tandem” clausole standard e decisione di adeguatezza, ma ora con gli Stati Uniti uno dei due pilastri di questo tandem è venuto meno (la decisione di adeguatezza) rendendo quindi molto meno giustificabile il trasferimento dei dati.
Non sarà sufficiente un adeguamento contrattuale formale a superare le criticità esposte nella sentenza Schrems II, sarà invece necessaria una difficile analisi (che sicuramente impatterà sulle valutazioni di impatto affidate agli esperti privacy) circa la normativa dello stato che ospiterà i dati e delle possibili ingerenze governative in merito agli stessi.
Questa lettura porta a conseguenze rilevanti anche per numerosi altri stati terzi, con la valutazione relativa alle clausole standard che deve estendersi alla situazione normativa e impegna gli operatori ad una difficile disamina dei diritti privacy più disparati.
Le soluzioni alla portata degli operatori per ora sono poche, in attesa che la Commissione faccia i passi necessari per porre rimedio alla questione. Per ora, sarà comunque interessante tornare a guardare con più attenzione alle deroghe di cui all’articolo 49 del GDPR, che legittimano alcune ipotesi di trattamento pur in assenza di decisione di adeguatezza, e in particolare lo consentono quando l’interessato è informato dei rischi e vi consente.
La speranza è comunque che gli USA decidano di cogliere questa occasione per elevare il livello di protezione dei dati personali dei loro cittadini e degli stranieri che affidano i loro dati alle aziende statunitensi; in difetto, il ruolo di “cloud storage” del mondo che ora hanno assunto gli Stati Uniti potrebbe presto venir messo in dubbio.
