Le regole

Privacy Shield abolito, ecco cosa devono fare ora le aziende e i privati

Sono state pubblicate FAQ appositamente pensate per dare istruzioni ad imprese e cittadini in seguito alla decisione della Corte di Giustizia europea, che a luglio ha invalidato il Privacy Shield con effetto immediato: una situazione che ha portato una rivoluzione della gestione dei dati di molte realtà produttive

05 Ago 2020
C
Leonardo Cornacchia

Studio legale d’Ammassa & Partners

M
Andrea Michinelli

FIP (IAPP), Studio legale d’Ammassa & Partners


La sentenza Schrems II, con cui la Corte di Giustizia europea ha invalidato il Privacy Shield, ha gettato nel caos molte imprese. Ovviamente gli USA a fronte di quanto dichiarato dalla Corte non riescono, allo stato attuale, a garantire il richiesto livello di tutela agli interessati europei. La Corte non ha riconosciuto un “periodo di grazia” alle aziende per potersi adeguare: l’effetto è stato immediato, a decorrere dal 16 luglio 2020.

Sono seguiti molti interventi di varie autorità di controllo, per illustrare il da farsi (specie considerando che le altre basi applicabili, come le eccezioni di cui all’art. 49 GDPR, di difficile attuazione) ai soggetti coinvolti, in particolare menzioniamo le FAQ  pubblicate il 23 luglio dall’European Data Protection Board (EDPB). E tanti sono stati e sono in corso di pubblicazione i commenti su come procedere, a firma di esperti. Anche il NOYB ha pubblicato, a ridosso della sentenza Schrems II, due FAQ esplicative rivolte alle aziende, oltre a modelli di questionari da sottoporre alle proprie aziende partner statunitensi o europee. Vogliamo dunque qui affrontare le prospettive sul trasferimento dei dati come affrontate dall’associazione di colui che ha dato il via a tutto questo.

La sentenza

È uno dei provvedimenti più discussi, non solo nell’ambito del trattamento di dati personali, per i suoi effetti dirompenti: il 16 luglio scorso la Corte di Giustizia dell’Unione Europea si è pronunciata nella vicenda giudiziaria che vede contrapposti l’attivista austriaco Maximilian Schrems, Facebook Ireland Ltd e il Data Protection Commissioner (l’autorità garante irlandese per la protezione dei dati personali). In breve, con questa sentenza la Corte ha “cestinato” definitivamente il cosiddetto “Privacy Shield”, ovvero la decisione 2016/1250 con la quale la Commissione europea (seguendo un indirizzo difforme da quello della CGUE e dell’EDPB) aveva cercato di colmare il vuoto normativo creato in seguito alla famosa sentenza del 2015 “Schrems I”, sempre della Corte di Giustizia, che aveva invalidato l’impalcatura giuridica alla base dell’accordo tra UE e USA denominato “Safe Harbour”, predecessore del Privacy Shield. La Corte, inoltre, è intervenuta anche sulla validità delle clausole contrattuali standard, in particolare sulla validità della decisione 2010/87 , quale differente meccanismo di garanzia nel trasferimento dei dati verso Paesi terzi, ritenendo tale decisione – e le clausole in essa contenute – astrattamente idonee a garantire ai cittadini europei un livello di protezione in linea con il GDPR nonché con la Carta dei diritti fondamentali dell’Unione europea.

Sempre che però l’esportatore dei dati e importatore dei dati, anche in ottica accountability, possano garantire e dimostrare che il suddetto livello di tutela sia garantito nel Paese terzo a fronte di un sistema politico e legislativo compatibile con i diritti fondamentali dell’UE, e – in caso di impossibilità – sospendendo il trasferimento, con conseguente risoluzione del contratto tra le parti. Ciò vale, secondo l’EDPB, anche in merito alle BCR (Binding Corporate Rules, norme vincolanti d’impresa ex art. 47 GDPR adottate da diverse multinazionali per la circolazione infragruppo dei dati). Pertanto SCC e BCR sono ancora astrattamente utilizzabili ma solo a fronte di misure supplementari che l’EDPB stessa curerà di precisare in futuri provvedimenti.

Schrems e NOYB, il ruolo della no profit

Un importante contributo è pervenuto anche da un particolare ente privato, il NOYB – European Center for Digital Rights (l’acronimo sta per “None Of Your Business”): stiamo parlando dell’organizzazione no-profit fondata in Austria da Max Schrems stesso che si batte da alcuni anni, in varie sedi, proprio per i diritti e le libertà dei cittadini europei. Si occupa di sensibilizzazione e informazione sui temi della protezione dei dati personali (si veda ad es. la pagina di materiali GDPRHub) ma soprattutto di avviare e sostenere le note cause giudiziarie di Schrems e di altri attivisti, in forza dell’art. 80 GDPR che permette alle associazioni no profit di presentare reclamo alle autorità di controllo e in generale di esercitare i diritti spettanti agli interessati ex artt. 77-79 GDPR. Se consideriamo la complessità di procedimenti come quelli di Schrems, con i prevedibili costi annessi (si pensi ai tanti consulenti necessari per una corretta redazione degli atti processuali, peraltro con competenze ampie di diritto extra-UE come quello nordamericano), si rivela l’importanza di simili entità che possono attingere a maggiori risorse per la tutela dei diritti dei singoli, altrimenti non accessibili agli stessi. A colmare per quanto possibile lo iato tra i diritti spettanti ai cittadini e il loro esercizio effettivo, spesso troppo ampio.

Le FAQ rivolte alle aziende

Il documento in esame, oltre ad essere stato il primo nel suo genere a essere stato divulgato dopo la pubblicazione della sentenza di cui sopra, offre importanti chiarimenti e spunti pratici a beneficio delle aziende interessate, soprattutto per comprendere se possa sussistere uno stretto spazio di applicazione delle SCC verso i propri outsourcer e fornitori in genere, non solo quanto al diritto nordamericano ma di qualunque Paese terzo non ritenuto adeguato (qui è possibile verificare la lista aggiornata dei Paesi che invece lo sono). I punti principali di queste FAQ posso essere descritti come segue:

  • viene confermata l’inesistenza di un “periodo di grazia”, posto che la sentenza è immediatamente esecutiva. Pertanto, i titolari e le autorità di controllo competenti hanno il dovere di agire per sospendere o vietare i trasferimenti in assenza di una idonea base giuridica al trasferimento, pena il rischio di venire sanzionati ex art. 83 comma 5 lett. c) del GDPR (sanzioni fino a 20 milioni o fino al 4% del fatturato globale);
  • il NOYB consiglia dapprima alle aziende interessate di rivedere la propria strategia aziendale, affidandosi se possibile a un fornitore stabilito in UE/SEE, evitando in tal modo i problemi derivanti dal trasferimento dei dati in un Paese terzo;
  • in presenza di un trasferimento di dati basato sulle SCC verso un fornitore non appartenente allo Spazio Economico Europeo, le aziende sono tenute a svolgere un’analisi certosina al fine di verificare la sussistenza di leggi nazionali extra-UE applicabili al fornitore, tali da vincolare l’azienda ad attività in contrasto con il GDPR e la Carta dei diritti fondamentali dell’UE. Rientrano in quest’ultima categoria, ad esempio, quelle leggi che legittimano programmi di sorveglianza di massa o l’accesso a database di dati personali senza un preventivo e/o successivo controllo giurisdizionale. Le SCC, infatti, sono il frutto dell’autonomia contrattuale delle parti, e non possono certo derogare a norme imperative locali;
  • in presenza di un trasferimento di dati basato sulle SCC verso un fornitore statunitense, è opportuno valutare se quest’ultimo rientri nella sfera di applicazione del Foreign Intelligence Surveillance Act (di seguito “FISA”), la cui Sec. 702 impone obblighi stringenti nei confronti dei fornitori di servizi di comunicazione elettronica; in particolare impone a questi ultimi l’obbligo di garantire all’intelligence statunitense l’accesso a tutti i dati personali dei cittadini di Paesi esteri che vengono trasferiti verso o che transitano attraverso gli Stati Uniti. La definizione di “fornitore di servizi di comunicazione elettronica” è contenuta nel 50 U.S. Code § 1881(b)(4), che descrive tale soggetto sulla base delle attività che può svolgere, ovvero:

–  fornitore di servizi di elaborazione da remoto;

–  fornitore di servizi di comunicazione elettronica;

–  vettore di servizi di telecomunicazione;

– qualsiasi altro fornitore di servizi di comunicazione avente accesso a comunicazioni via cavo o elettroniche;

– qualsiasi funzionario, dipendente o agente delle suddette entità.

Al fine di valutare se un fornitore stabilito in USA sia soggetto alla FISA 702, nonché all’Executive Order 12.333 (un ordine esecutivo firmato dal presidente Ronald Reagan nel 1981 che ha esteso i poteri operativi dell’intelligence americana), il NOYB mette a disposizione un modello di questionario in modo tale da valutare la sussistenza di adeguate protezioni contro la sorveglianza massiva. In particolare, si richiede al fornitore:

  • se direttamente o indirettamente rientra all’interno delle definizioni di cui al 50 U.S. Code § 1881(b)(4) e pertanto se è soggetto alla FISA 702;
  • in quale delle definizioni di cui al 50 U.S. Code § 1881(b)(4) si rientri;
  • se direttamente o indirettamente sia vincolato al rispetto di normative nazionali che potrebbero mettere in pericolo i dati personali, in particolare all’E.O 12333;
  • se sono state implementate – e in caso affermativo, quali siano – misure tecniche e organizzative ex art. 32 del GDPR al fine di rendere impossibile la sorveglianza massiva sui dati in transito ad opera dell’intelligence statunitense (come potrebbe essere ad es. adeguata crittografia sui dati in transito e/o a riposo).

Trasferimento dati con fornitori legati agli USA

Il problema del trasferimento dei dati verso gli USA si pone anche in presenza di un fornitore stabilito nell’UE/SEE ma collegato a un’azienda statunitense. La FISA 702 e l’E.O. 12333, infatti, non sono sottoposte ad alcuna limitazione territoriale e trovano applicazione persino nei confronti di quei soggetti stabiliti in Europa che esternalizzano alcune attività a un fornitore statunitense, pur avendo i dati comunque localizzati in Europa. Anche in questo caso il NOYB fornisce un modello di questionario al fine di approfondire i propri rapporti contrattuali con questi soggetti e vagliare lo stato di cose. Tale documento è pressoché identico al precedente questionario, dal quale differisce per un’importante precisazione: viene richiesto al fornitore stabilito in UE/SEE se sia una società controllata o una filiale di una azienda statunitense oppure se, in ogni caso, sia potenzialmente soggetta alla legislazione USA. In caso di risposta affermativa, infine, viene richiesto al fornitore se disponga del potere di ignorare una richiesta di accesso proveniente da un’istituzione statunitense ai sensi della FISA 702 e dell’E.O. 12333 e se, di fatto, sia in grado di bloccare tale accesso;

  • non solo i dati che vengono trasferiti, bensì anche i dati in transito scontano il pericolo di essere sottoposti ad attività di sorveglianza massiva ad opera dell’intelligence USA. Posto dunque che intromissioni di tal specie siano foriere di pregiudizi per gli interessati, sarà onere dell’importatore ed esportatore attuare quelle misure di sicurezza adeguate di cui all’art. 32 del GDPR per proteggere i dati in transito; sul punto il NOYB raccomanda espressamente la cifratura end-to-end;
  • sebbene non esista un elenco completo e dettagliato di tutti i fornitori di servizi di comunicazioni che rientrano nella FISA 702, nelle FAQ si propone una lista di aziende già accertate come sottoposte alle predette normative USA, tra le quali ritroviamo gli over the top della Silicon Valley. Molte aziende pubblicano nei propri “Transparency Report” le richieste di accesso di tipo FISA provenienti dalle agenzie di intelligence USA (altre, invece, si rifiutano di condividere tali informazioni), tra le quali spiccano maggiormente Amazon (AWS), Apple, Dropbox, Facebook, Google, Microsoft e Verizon;
  • in merito a eventuali responsabilità contrattuali con i propri fornitori derivanti dal ri-trasferimento dei dati in UE/SEE, il NOYB individua questi ultimi come unici responsabili posto che sugli stessi gravava l’obbligo di informare l’esportatore di essere sottoposti a leggi “critiche” come la FISA 702 e l’E.O. 12333. Pertanto, eventuali costi derivanti dall’impossibilità di utilizzare le SCC come base giuridica al trasferimento dei dati, graverà unicamente su di essi. Il NOYB, peraltro, avanza anche l’ipotesi di proporre contro la Commissione Europea richieste di risarcimento dei danni per responsabilità derivanti dall’adozione di uno strumento invalido come il Privacy Shield, ai sensi dell’art. 340 del Trattato sul funzionamento dell’Unione Europea;
  • in merito alla possibilità di giustificare i trasferimenti dei dati personali ai sensi dell’art. 49 del GDPR, ciò potrà avvenire in genere per “trasferimenti occasionali e non ripetitivi” (ad es. su base contrattuale a fronte di cogenti necessità), oppure in forza di un consenso esplicito e informato sui rischi del trasferimento, peraltro sempre revocabile (si vedano ampiamente le indicazioni dell’EDPB nelle proprie Linee guida 2/2018 sulle deroghe ex art. 49 GDPR);
  • infine, per valutare se la legislazione di un Paese terzo sia compatibile con i diritti fondamentali dell’UE occorre considerare il Working document 1/2016 pubblicato dal WP29, concernente le ingerenze giustificabili nei diritti fondamentali – come è la privacy – nel trasferimento dei dati personali verso Paesi terzi. In questo senso, il WP29 individuava quattro specifiche garanzie il cui rispetto risulta essenziale al fine di poter correttamente trasferire dati fuori dall’UE/SEE:

– il trattamento deve essere basato su regole chiare, precise e accessibili;

– il trattamento effettuato da autorità governative sui dati trasferiti o in transito deve essere necessario e proporzionale rispetto agli obiettivi perseguiti in modo legittimo;

– qualsiasi interferenza alla protezione dei dati personali deve essere sottoposta a un meccanismo di controllo imparziale e indipendente;

– l’interessato deve essere messo nelle condizioni di poter tutelare i propri diritti attraverso rimedi efficaci e satisfattivi.

Le FAQ rivolte ai privati

Le FAQ rivolte agli interessati, oltre a fornire consigli utili agli utenti sull’argomento, contengono modelli di richiesta qualora si volessero ottenere dalle aziende informazioni sui propri dati e dunque richieste di accesso o di blocco del trasferimento dei propri dati. In particolare, in caso di silenzio da parte del titolare o qualora questi non volesse interrompere il trasferimento all’estero dei dati, viene consigliato agli utenti di proporre un reclamo all’autorità locale di controllo (come il nostro Garante).

Le vere e proprie FAQ per gli utenti, oltre a riprendere alcuni punti descritti nel documento rivolto alle aziende, delineano una casistica di ipotesi in cui il trasferimento dei dati verso gli USA non è più consentito e un’altra invece in cui è ancora permesso. Nella prima fattispecie rientrano, ad esempio:

  • il trasferimento da parte di una filiale o azienda collegata negli USA alla propria casa madre, come accade per i big della Silicon Valley menzionati sopra;
  • l’esternalizzazione dei servizi di un’azienda stabilita in UE/SEE verso un fornitore statunitense.

Al contrario, sono ancora considerati consentiti ad es. quei trasferimenti ritenuti necessari su base contrattuale ex art. 49 GDPR, esemplificando:

  • la prenotazione di un albergo direttamente negli USA o tramite un’agenzia di viaggi in UE;
  • la prenotazione di un volo per gli USA;
  • il noleggio di un’auto negli USA;
  • l’ordine di prodotti online da una società con sede negli USA;
  • l’utilizzo di servizi online forniti da una azienda con sede negli USA;
  • l’invio di un’email negli USA;
  • l’inoltro dei propri dati a un avvocato negli USA nel contesto di una causa legale.

Nelle FAQ si allegano anche modelli di missiva da indirizzare alle aziende per richiedere se e come i propri dati vengono trasferiti al di fuori dello SEE, intimando la cessazione immediata del trattamento eventualmente basata sul Privacy Shield, richiedendo copia delle eventuali SCC o BCR utilizzate, ecc. Di fatto si tratta di esercizio dei diritti informativi garantiti agli interessati dall’art. 15 GDPR.

Conclusioni

Come abbiamo potuto constatare, le indicazioni fornite dal NOYB forniscono un’importante chiave di lettura della sentenza in esame, oltre a consigli e raccomandazioni – oltre che strumenti – sia agli operatori che ai comuni cittadini. In linea con la vocazione di NOYB, non certo come si può pensare quella di bloccare il trattamento di dati personali quanto l’assicurarsi che sia ogni trattamento sia in linea con l’impalcatura di diritti e garanzie pretesi dall’Unione Europea. Dal canto suo, l’effetto immediato sancito dalla CGUE poteva meglio calibrarsi con disposizioni provvisorie, ritenute evidentemente ultronee una volta arrivati alla seconda puntata del caso Schrems con una situazione analoga a quella vigente ai tempi del Safe Harbour. Gli effetti della sentenza nel medio – lungo periodo appaiono, peraltro, evidenti, in linea peraltro col progetto di Digital Single Market perseguito a livello comunitario. Le aziende continentali saranno incoraggiate ad optare per fornitori europei, con datacenter europei, anziché esternalizzare i propri servizi fuori dal perimetro del SEE, evitando in tal modo i complicati rischi operativi nel trasferimento dei dati.

Si attendono ulteriori sviluppi e si dovrà restare sintonizzati non solo su quanto l’EDPB, le autorità di controllo e la Commissione europea decideranno di fare ma anche sulle ulteriori azioni intraprese da Schrems e NOYB (è già stata data notizia di una loro richiesta presso l’autorità irlandese di tempi certi per conformarsi alla decisione della CGUE nel procedimento avviato contro Facebook), soggetti ormai chiaramente capaci di colpire nel vivo l’intero sistema di trattamento dei dati personali europeo, con ricadute persino globali.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5