Recenti notizie paiono rinfocolare la speranza di arrivare a un nuovo accordo politico ad hoc tale da poter trasferire (o far accedere) i dati personali della UE a imprese nordamericane: in parole semplici, sarebbero in corso delle trattative tra USA e UE per approvare un nuovo Privacy Shield e scongiurare, così, il blocco dei trasferimenti di dati personali verso gli Stati Uniti.
Ciò anche a fronte dell’insistenza di colossi USA come Facebook che hanno chiesto urgentemente al loro governo di sanare una crescente difficoltà, ovvero rendere i loro servizi in territorio unionista con le autorità sempre più agguerrite nell’invocare lo stop ai trasferimenti dei dati negli USA e, di fatto, all’impiego di servizi digitali americani.
Un mercato, quello europeo, non certo irrilevante per gli over-the-top americani e che trova nell’amministrazione Biden una sponda favorevole. È noto che i servizi online dei maggiori provider americani comportano trasferimenti massivi di dati personali di cittadini e persone presenti nell’UE nei loro sistemi, localizzati negli USA o comunque soggetti ad accesso da parte di soggetti di diritto americano.
Trasferimenti dati extra UE dopo Schrems II: tutti gli elementi normativi da conoscere
È noto che dopo la sentenza detta “Schrems II” del luglio 2020 della Corte di Giustizia – con cui si è “affondato” il ponte giuridico atlantico, cioè l’accordo Privacy Shield per i trasferimenti dei dati personali UE-USA – non si è più riusciti ad avere uno strumento di chiara e sicura applicazione per poter operare in tal senso.
Anzi, tutto ciò che è stato proposto successivamente pare piuttosto aver complicato e opacizzato ulteriormente il da farsi, più un disperato tentativo di prendere tempo in attesa del nuovo “convitato di pietra”: un nuovo accordo politico sostitutivo del Privacy Shield che possa fungere da passpartout per i trasferimenti e gli accessi americani.
Questo tempo pare esaurito, a fronte dei sempre più numerosi provvedimenti europei di ostacolo o divieto all’utilizzo dei servizi online statunitensi. Servizi tuttora egemoni e difficili da sostituire con provider comunitari (pur a fronte del tanto invocato “sogno” di un Digital Single Market europeo che nei fatti fatica a concretizzarsi).
Indice degli argomenti
Gli stop dalle autorità UE post-Schrems II
Quanto illustrato sopra non è uno spettro teorico: si stanno moltiplicando negli ultimi mesi i provvedimenti delle autorità di controllo europee, mirati a sancire l’illiceità dei trasferimenti o gli accessi dei dati personali a soggetti di diritto nordamericano.
Ricordiamo anzitutto un provvedimento dell’autorità di controllo bavarese, del marzo scorso, con il quale è stato sanzionato un titolare che facevo uso dei servizi di DEM (invio massivo di e-mail) di Mailchimp, fornitore di base USA: ciò proprio per le ragioni sopra dette.
Altro caso rilevante è quello di Cloudflare, importante fornitore di content delivery network e servizi di sicurezza online. In tal caso, l’autorità portoghese in aprile ha sospeso l’invio di dati personali relativi al censimento nazionale al provider USA. Analoghe le motivazioni.
Da ultimo quello che ha originato le recenti sollecitazioni di Facebook al governo USA, emanato dalla High Court irlandese a maggio, con cui ha dichiarato che l’autorità di controllo irlandese (la Data Protection Commission – DPC, competente per la sede dublinese di Facebook Ltd., controllata della capogruppo americana Facebook Inc.) potrà sospendere i trasferimenti di dati degli utenti di Facebook negli USA. La DPC si era già espressa in tal senso in precedenza, in seguito Facebook aveva impugnato il provvedimento: ora in sede giudiziaria si è avallata l’azione iniziale dell’autorità che potrà riprendere e far attuare il suo provvedimento sospensivo.
Gmail, tanti i dati personali utilizzati: ecco fino a che punto Google ci sorveglia
La società americana aveva avvertito, nel depositare i propri scritti difensivi in Irlanda, come – salvo che l’UE e gli Stati Uniti non riescano a raggiungere un nuovo accordo sulla falsariga del Privacy Shield – l’applicazione delle restrizioni irlandesi potrebbero renderla incapace di gestire parte considerevole della propria attività in Europa, sottolineando che “il modo in cui i dati possono muoversi in tutto il mondo resta di importanza significativa per migliaia di aziende europee e americane che collegano clienti, amici, familiari e dipendenti attraverso l’Atlantico”, secondo un portavoce di Facebook.
Aggiungendo che, a proprio dire, la società fornisce già adeguate garanzie per tutela dei dati degli utenti.
Peraltro, diversi esperti hanno ricordato che le stesse argomentazioni – e conseguenti azioni di sospensione dall’utilizzo dei servizi – impiegate nei provvedimenti irlandesi avverso Facebook potranno essere reimpiegate contro tantissimi altri fornitori digitali nordamericani, da quelli di servizi cloud a quelli di e-mailing, dai social media al marketing.
L’interruzione del flusso di dati transatlantico porterebbe a perdite per stime di miliardi di dollari nei settori coinvolti, oltre a bloccare od ostacolare sensibilmente le imprese europee.
Breve riepilogo delle puntate precedenti: da Schrems I in poi
Dovendo riassumere brevemente la complessa tematica, ricordiamo che il trasferimento o l’accesso a dati personali di chi si trova nel territorio dell’UE verso chi non ha sede nell’Unione è ammesso dal GDPR solo in una ristretta casistica: adeguatezza del Paese destinatario ex art. 45 (gli USA non lo sono mai stati, a fronte di una normativa non compatibile con i principi unionisti), altri strumenti di garanzia ex art. 46 (come BCR, clausole standard ecc. che però non sono di facile e immediata applicazione dopo le precisazioni nelle Raccomandazioni pubblicate nel 2020 dall’EDPB) oppure in specifiche eccezioni ex art. 49 (di difficile applicazione, essendo perlopiù limitate a trattamenti occasionali).
La difficoltà di applicare tali strumenti alle particolarità normative USA aveva nel tempo generato un ulteriore strumento, ovvero gli accordi specifici di trasferimento (prima il Safe Harbor, poi il Privacy Shield) stipulati di volta in volta dalla Commissione Europea – una sorta di valutazione di “adeguatezza condizionata” ai trasferimenti dei dati negli USA, visto che li permetteva solo a imprese aderenti al framework, a determinate condizioni (poi valutate come troppo carenti e poco sorvegliate).
In seguito, la Corte di Giustizia (con le note sentenze dette “Schrems I” del 2015 e “Schrems II” del 2020) ha ravvisato l’insufficienza degli accordi suddetti a tutelare i diritti fondamentali garantiti nell’UE (come l’esercizio dei diritti degli interessati di fronte a un’autorità giudiziaria), dichiarandoli invalidi e privando tuttavia gli operatori europei di un supporto giuridico fondamentale per servirsi di fornitori americani (ovviamente adottato da tutti i big player del digitale) o comunque trasferire dati in tale area.
Facendola breve, questa lacuna non si è poi dimostrata facile da colmare: molti operatori hanno ripiegato sulle clausole standard (o tipo) della Commissione Europea, uno degli strumenti di garanzia ex art. 46 GDPR.
Non è però bastata la loro recente riforma da parte della Commissione (nel tentativo manifesto di supplire alla situazione in corso): l’EDPB ha ribadito nelle sue Raccomandazioni 2020 sui transfer assessment – pure nella versione definitiva 2.0, pur ammorbidendo un po’ il rigore della versione iniziale – come l’uso di tale giustificazione giuridica va sempre accompagnata da valutazioni ad hoc ed eventuali misure supplementari, a garanzia del necessario livello di protezione dei dati.
Un iter a dir poco complesso e farraginoso che – come confermato anche da autorevoli studi di vari esperti europei come il prof. Korff e altri – in moltissimi casi porta a un empasse, o meglio a considerare non garantito un livello sufficiente di tutela negli USA, a cui dovrebbe conseguire un’interruzione dei trasferimenti stessi da parte dei titolari/responsabili dell’Unione.
Le normative USA ritenute particolarmente critiche per i trasferimenti dei dati sono soprattutto il FISA 702 e l’Executive Order 12333, alla base della citata sentenza CGUE Schrems II.
Proprio su tali normative si dovrebbe appuntare una riforma dell’intelligence americana che – dopo le rivelazioni del caso Snowden/NSA – possa offrire ai cittadini comunitari garanzie di tutele e difesa dei propri dati personali e relativi diritti fondamentali. Come vedremo anche nelle conclusioni successive.
Trasferimenti dati extra-UE, le nuove clausole standard non sono ancora una vera soluzione
Il dialogo USA-UE in corso: la difficile trattativa
Dato lo scenario delineato, da più parti si incita la politica – di entrambe le sponde dell’Atlantico – a riaprire un negoziato e trovare un nuovo accordo che andasse a sostituire, quale strumento di compliance, il Privacy Shield, con modalità analoghe al precedente e che comunque alleviasse le criticità applicative sopra dette (transfer assessment, misure supplementari ecc.).
Dopo un’amministrazione trumpiana piuttosto restia, la nuova amministrazione Biden ha manifestato invece interesse ai negoziati e ad addivenire a un accordo sostitutivo con le autorità europee, in tempi brevi.
Negoziati in forte accelerazione fin da giugno, visto che i recenti provvedimenti comunitari sopra illustrati stanno restringendo di molto le possibilità di manovra dei grossi player – proprio come Facebook che ha manifestato esplicitamente all’amministrazione USA la necessità di arrivare a un’intesa, urgentemente.
L’interesse è ovviamente bilaterale, considerato il largo utilizzo di fornitori (o sub-fornitori), prodotti e servizi americane da parte delle imprese europee, tuttora in difficoltà nel trovare competitor adeguati (sia a livello di servizi che di costi) nell’Unione o comunque privi di trasferimenti dei dati negli USA.
Un funzionario della Casa Bianca ha dichiarato recentemente di stare lavorando insieme agli omologhi europei per far progredire l’impegno americano per la privacy, per proteggere i dati e per prevenire interruzioni che danneggerebbero le imprese americane.
Una delegazione degli Stati Uniti – guidata anche da funzionari della famigerata NSA del caso Snowden – incontrerà dunque a breve i funzionari dell’UE, per addivenire a una bozza di accordo che contenga le nuove condizioni da rispettare per le imprese USA e così poter trattare i dati europei, senza ulteriori restrizioni o complicazioni.
Conclusioni
Dopo questo excursus si comprende che l’accordo sarà arduo da raggiungere non tanto nei punti da mettere nero su bianco a breve, quanto difficile da ipotizzare come superamento in diritto degli stessi problemi che hanno portato all’invalidazione dei precedenti accordi.
Senza una concreta e profonda riforma delle normative americane citate sopra, come il FISA 702 – riforma politicamente molto impegnativa quanto rimettere in discussione determinati pilastri dell’intelligence USA, a cui il Paese è molto legato –, secondo gli esperti succitati non sarà possibile superare i problemi giuridici pregressi.
Considerato che lato europeo non ci si potrà attendere certo una marcia indietro, cioè una revisione delle pretese comunitarie, basate sul rispetto di diritti fondamentali unionisti, ribaditi in numerose sentenze della Corte di Giustizia.
Il rischio è pertanto di ritrovarsi con un Privacy Shield II, cioè di un accordo che – fin dalla bozza, nonostante possa essere criticato nell’immediato dalle autorità comunitarie (come l’EDPB e l’EDPS) – venga comunque stipulato anche in forza degli interessi economici sottesi, rimettendo in circolo un provvedimento che verrà probabilmente a sua volta impugnato (dal solito Schrems, è prevedibile) e infine invalidato, ritornando al punto di partenza.
Speriamo di sbagliarci e che questa volta si arrivi davvero a uno strumento di serio contemperamento delle due visioni della privacy e dei diritti in gioco, sia a tutela delle persone fisiche che della sicurezza e stabilità delle attività commerciali tra i due continenti.
