Premessa
Il 16 luglio 2020 è una data che difficilmente gli appassionati di data protection e privacy potranno dimenticare.
In questo fatidico giorno la Corte di Giustizia (CGUE), con la c.d. “Sentenza Schrems II”, ha invalidato la decisione della Commissione europea sull’adeguatezza della protezione fornita dal Privacy Shield, ossia il trattato internazionale con cui veniva reso lecito il trasferimento di dati verso gli Stati Uniti.
Abbattendo così lo “scudo” che forniva copertura ai trasferimenti verso gli USA.
Nella stessa sentenza la Corte ha invece ritenuto valida la decisione di adeguatezza relativa alle SCCs (Standard Contractual Clauses) per il trasferimento di dati personali a incaricati del trattamento stabiliti in Paesi terzi, chiarendo tuttavia l’obbligo in capo al titolare del trattamento di effettuare una valutazione sull’ordinamento dello Stato in cui è stabilito il soggetto destinatario, in particolare in termini di compatibilità con i principi dell’ordinamento europeo.
Si tratta di una decisione dalla portata dirompente, con la quale si è venuta a creare una vera e propria lacuna (se non addirittura una voragine) legislativa, che ha gettato nel panico non solo gli imprenditori e le aziende europee e d’oltreoceano, ma gli stessi addetti ai lavori.
Soprattutto perché la suddetta sentenza è immediatamente vincolante e non prevede un periodo di grazia.
Cosa implica tutto ciò?
Che allo stato attuale la maggior parte dei trasferimenti verso gli USA sono illegali.
E quindi sanzionabili.
In molti potrebbero dire: «Figuriamoci se è pensabile una cosa simile»oppure «Ma va, ho ricevuto un comunicato di Google che mi rassicurava sul fatto che fosse tutto sotto controllo».
Purtroppo le cose non stanno così e assumere un atteggiamento speranzoso, confidando nel fatto che il garante italiano sarà tollerante, non risolverà le cose.
Infatti, come accaduto con il Safe Harbor – ossia l’antesignano del Privacy Shield, invalidato con la “Sentenza Schrems I” – anche in questo caso è prevedibile che le autorità garanti non si faranno molti problemi a sanzionare eventuali trasferimenti illeciti.
Che fare quindi?
Cerchiamo di capirlo insieme, partendo come sempre da alcuni chiarimenti preliminari necessari ad inquadrare il problema e, di conseguenza, comprendere al meglio le possibili soluzioni pratiche.
Il concetto di trasferimento di dati personali
Cosa si intende per “trasferimento”?
Prima osservazione: il GPDR non contiene una definizione del “trasferimento”, ma si limita a definire le regole poste a presidio dell’istituto (Capo V del GDPR, artt. 44 e ss.). Nè simile definizione è stata fornita dalla Corte di Giustizia europea.
Da un punto di vista terminologico il “trasferimento” indica l’azione e l’operazione di trasferire e quindi, nell’ambito del GDPR, lo spostamento di dati personali da un titolare o un responsabile del trattamento, situato all’interno dell’UE/SEE, a un titolare o responsabile del trattamento, situato al di fuori dall’UE/SEE.
E’ evidente però come tale spostamento, nell’era di internet e della connessione globale, sia del tutto slegato da una concezione materiale dei confini.
Memorizzi dati su server fuori dall’UE/SEE?
Trasferisci dati all’estero.
Seconda osservazione: la regola generale è che in linea di principio il trasferimento dei dati fuori dallo Spazio Economico Europeo (SEE) è vietato.
Infatti mentre la circolazione dei dati all’interno dello SEE è libera, l’art. 44 del GDPR stabilisce che qualunque trasferimento di dati ha luogo soltanto se il titolare del trattamento e il responsabile del trattamento «rispettano le condizioni di cui al presente capo». E il GDPR ci spiega anche qual è il motivo di tale limitazione, ossia «assicurare che il livello di protezione delle persone fisiche garantito dal presente regolamento non sia pregiudicato».
E questo è il fulcro della decisione che ha invalidato il Privacy Shield.
Come si è arrivati all’invalidazione del Privacy Shield: breve cronistoria
La vicenda che ha condotto alla decisione dello scorso Luglio è avvincente e di grande interesse, ma in questa sede ci si limiterà a chiarire solo alcuni passaggi fondamentali (omettendone altri).
Nel 2013, Max Schrems ha presentato una denuncia all’autorità garante irlandese, chiedendole di vietare a Facebook Ireland di trasferire i suoi dati personali a Facebook Inc., situata negli USA, lamentando infatti che il diritto e la prassi statunitense non offrissero una protezione sufficiente dei dati personali contro le attività di controllo praticate dalle autorità pubbliche.
Tale denuncia è stata respinta, in quanto si è affermato che i trasferimenti dei dati negli USA fossero coperti dalla decisione di adeguatezza del Safe Harbor (l’antesignano del Privacy Shield), con la quale la Commissione europea aveva ritenuto che gli Stati Uniti d’America assicurassero un livello di protezione adeguato.
La questione è poi arrivata dinanzi alla CGUE (su ricorso pregiudiziale della High Court irlandese) che nel 2015 ha dichiarato l’invalidità del Safe Harbor, constatando che le autorità americane potessero accedere ai dati personali trasferiti dagli Stati membri verso gli Stati Uniti e trattarli in maniera incompatibile con le finalità del loro trasferimento e oltre a quanto strettamente necessario e proporzionato per la protezione della sicurezza nazionale.
Oltre che per l’assenza, di fatto, di un controllo giurisdizionale effettivo.
Panico generalizzato, le diplomazie europee e statunitensi si mettono all’opera per trovare una soluzione.
Nel frattempo, senza mostrare segnali di cedimento, Facebook Ireland prosegue con i trasferimenti, sostenendo (furbescamente) che gran parte dei dati personali fossero comunque trasferiti a Facebook Inc. sulla base delle Standard Contractual Clauses (SCCs) per il trasferimento dei dati personali a incaricati del trattamento stabiliti in paesi terzi, ritenute adeguate da un’altra decisione di adeguatezza della Commissione, del tutto valida.
Max Schrems è quindi passato al contrattacco, riformulando la sua denuncia ed evidenziando che gli Stati Uniti, a prescindere dallo strumento utilizzato (Safe Harbor o SCCs) non offrissero comunque una protezione sufficiente ai dati a causa dei programmi di sorveglianza operanti nel Paese.
Nel frattempo, nel 2016, viene approvata la versione definitiva del Privacy Shield, con la quale si cerca di mettere qualche toppa.
Seguono alcuni passaggi, sostanzialmente coincidenti con quelli che hanno portato alla “Sentenza Schrems I”, con i quali la questione tornata dinanzi alla Corte.
Una volta per tutte.
La sentenza Schrems II in pillole e i suoi effetti
La Corte, con la sentenza in esame, ha ribadito che:
«Le persone i cui dati personali sono trasferiti verso un Paese terzo devono godere di un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’Unione da detto regolamento, letto alla luce della Carta»
Pertanto ha dichiarato l’invalidità della decisione di adeguatezza del Privacy Shield, in quanto:
- i programmi di sorveglianza USA, risolvendosi in controlli indiscriminati e massivi, violano il principio di proporzionalità;
- la normativa USA non conferisce agli interessati diritti nei confronti delle autorità statunitensi azionabili dinanzi ai giudici, in violazione del requisito di tutela giurisdizionale.
Ha poi dichiarato la validità della decisione di adeguatezza delle Standard Contractual Clauses, precisando (però)l’obbligo per l’esportatore dei dati e il destinatario del trasferimento di verificare, preliminarmente, che tale livello di protezione sia rispettato nel Paese terzo.
Vabbè, la sentenza ha dichiarato l’invalidità del Privacy Shield, ma ha anche detto che le Standard Contractual Clauses sono valide!
E comunque alla peggio ci sono le Binding Corporate Rules.
Possiamo usare questi strumenti per proseguire nel trasferimento dei dati.
NO, o comunque, NI.
Checché ne dicano alcuni “esperti”, con la sua pronuncia la CGUE ha di fatto “vanificato” sia le SCCs che le BCRs rispetto ai trasferimenti negli USA.
Per una ragione molto semplice: dato che sia le SScs che le BCRs hanno carattere contrattuale, esse non vincolano le autorità del Paese terzo dove sono trasferiti i dati.
Quindi se l’importatore è sottoposto ai sistemi di sorveglianza USA, non c’è strumento che tenga.
Tuttavia qualche spiraglio c’è. Vediamolo.
Le possibili soluzioni: le Raccomandazioni 1/2020 dell’EDPB
Un grande assist è arrivato dall’EDPB che, dopo alcune importanti FAQ del 24 luglio scorso, il 10 novembre 2020 ha adottato una bozza di Raccomandazioni (n. 1/2020).
Premesso che per loro stessa natura tali raccomandazioni non hanno forza di legge (e quindi non sono vincolanti), risultano comunque utilissime in quanto forniscono un modello di “Data Transfer Impact Assessment” (DTIA) in 6 step, con il quale il data exporter può analizzare il trasferimento e le misure supplementari da mettere in campo per rispettare i principi imposti dalla normativa UE.
Anche se la bozza è attualmente in consultazione, v’è ragione di ritenere che la loro struttura sia destinata a rimanere sostanzialmente immutata.
Vediamo quindi quali passaggi è opportuno seguire (attenzione, prima di effettuare il trasferimento) al fine di essere compliantal GDPR secondo l’EDPB.
1 – Primo step: “conosci i tuoi trasferimenti”
Bisogna innanzitutto effettuare una mappatura di tutti i trattamenti (inclusi gli strumenti software utilizzati, i cloud, le newsletter, ecc.) in modo da avere contezza di dove vadano i dati che si trattano.
Se avete un registro del trattamento ben fatto non dovreste avere problemi, in quanto per ciascuna colonna di trattamento ci dovrebbe essere anche l’indicazione di un eventuale trasferimento dei dati.
2 – Secondo step: verificare quali strumenti di trasferimento sono utilizzati tra quelli previsti dal Capo V del GDPR
Atteso che con “strumenti” si intendono gli strumenti normativi, ossia le basi legali offerte dal GDPR per effettuare il trasferimento dei dati personali, le Raccomandazioni suggeriscono di effettuare una verifica puntuale e precisa degli strumenti utilizzati in relazione a ciascun trattamento.
Il che significa, oltre a “spulciare” il registro dei trattamenti, rileggere tutti i contratti con i fornitori/data importer.
Questa attività vi consentirà peraltro di contattare immediatamente coloro che utilizzavano il Privacy Shield come base legale per il trasferimento dei dati (N.B. Questi contratti non sono più validi).
A seconda del tipo di strumento utilizzato cambiano le azioni suggerite dalle Raccomandazioni.
IPOTESI 1: Se si utilizzano le decisioni di adeguatezza della Commissione europea (di cui all’art. 45 GDPR) tutto ok, non occorre effettuare alcun altro step. L’unico onere che rimane fermo è quello di monitorare che la decisione di adeguatezza in questione rimanga valida.
IPOTESI 2: In mancanza di una decisione di adeguatezza, gli strumenti utilizzabili variano in ragione delle caratteristiche del trasferimento.
Se il trasferimento è regolare e ripetitivo occorre guardare ai principi fissati nell’art. 46 GDPR, rubricato “trasferimento soggetto a garanzie adeguate”, che disciplina:
– le Standard Contractual Clauses (SCCs);
– le Binding Corporate Rules (BCRs);
– i codici di condotta;
– i meccanismi di certificazione;
– le clausole contrattuali ad hoc.
Se (e solo se) il trasferimento è occasionale e non ripetitivo (e comunque a talune condizioni, cfr. anche le Linee Guida 2/2018 dell’EDPB) – è possibile ricorrere all’art. 49, rubricato “deroghe in specifiche situazioni”.
Però attenzione, si tratta di un’ipotesi residuale e che non può essere utilizzata come regola.
3 – Terzo step: valutare l’efficacia della strumento individuato in relazione alla legge o alla prassi del Paese terzo
E qui cominciano le grane.
Quello che consiglia di fare l’EDPB è infatti di mettersi a tavolino ed effettuare un assessment della normativa complessiva del Paese terzo per comprendere se essa possa avere o meno un qualche impatto negativo sul livello di protezione dei dati personali oppure sull’efficacia delle misure prescritte dall’art. 46 GDPR.
In particolare l’EDPB raccomanda di verificare la presenza di una legislazione che preveda l’accesso ai dati da parte delle autorità pubbliche (come ad esempio il FISA 702 o l’Executive Order 1233), soprattutto in caso di disposizioni normative ambigue o non disponibili al pubblico.
E se non esiste una vera e propria normativa che disciplini le circostanze in cui le autorità pubbliche potrebbero accedere ai dati personali?
Bisogna far riferimento ad altri fattori “rilevanti e oggettivi”.A tal proposito l’EDPB ha revisionato le European Essential Guarantees (adottate in occasione della Sentenza Schrems I) con le Raccomandazioni 02/2020, anche queste dello scorso 10 novembre.
Si tratta delle “Garanzie essenziali europee” che devono essere rispettate dalle misure di sorveglianza nel trasferimento dei dati per assicurare il diritto alla privacy e alla protezione dei dati personali, e assicurare che esse si limitino «a quanto sia necessario e proporzionale in una società democratica».
N.B. Ricordatevi di documentare accuratamente le motivazioni poste a base di qualsiasi decisione prendiate, sempre nell’ottica dell’accountability!
Una chicca?
NOYB, l’associazione di Max Schrems, ha messo a disposizione sul suo sito specifiche FAQ ed un Questionario da sottoporre ai fornitori statunitensi al fine di verificare la sottoposizione a sistemi di sorveglianza, https://noyb.eu/it/prossimi-passi-le-aziende-dellue-faq.
Però come sempre quando si ha che fare con modelli presi online, vi ricordiamo che si tratta di prototipi generici che debbono essere adattati alle specificità della propria attività!
4 – Quarto step: identificare e adottare misure supplementari necessarie a consentire un livello di protezione sostanzialmente equivalente a quello UE.
Nell’ipotesi in cui la valutazione effettuata con il terzo step riveli che la legislazione del Paese terzo incida negativamente sull’efficacia dello strumento di trasferimento utilizzato (e che quindi lo strumento del GDPR non è effettivo dal punto di vista della protezione dei diritti) occorre procedere con il quarto step.
Che si intende per “misure supplementari”?
L’EDPB ne ha individuate alcune e le ha raccolte nell’Allegato 2 alle Raccomandazioni 1/2020.
Si tratta di un approfondito elenco, ancorché non esaustivo, di misure supplementari e di condizioni necessarie per rendere efficace ciascuna delle misure considerate.
In particolare si tratta di misure:
a) contrattuali (es. trasparenza negli obblighi, tutela dei diritti);
b) organizzative (es. politica interna, trasparenza, procedure);
c) tecniche (es. crittografia, separazione del trattamento, pseudonimizzazione).
Queste misure, che possono (e spesso devono) essere combinate tra loro, meritano di essere lette, anche perché l’EDPB prevede delle casistiche molto interessanti (“Scenarios for which effective measures could be found/Scenarios in which no effective measures could be found”).
Nell’individuazione e implementazione delle misure supplementari più efficaci per proteggere i dati trasferiti occorre procedere caso per caso, anche di concerto e con il supporto del data importer, in considerazione delle caratteristiche del Paese Terzo e di una serie di altri fattori, quali ad esempio:
(i) il formato dei dati da trasferire (non crittografato, pseudonimizzato o crittografato);
(ii) la natura dei dati;
(iii) la complessità del flussi di elaborazione;
(iv) il numero dei soggetti coinvolti nel trattamento e il rapporto tra loro;
(v) la possibilità di trasferimenti successivi di dati all’interno dello stesso paese terzo o in altri paesi terzi.
E ricordarsi come di documentare le decisioni prese nell’ottica dell’accountability.
E che fare se all’esito di questa verifica dovesse emergere che nessuna misura supplementare è sufficiente a tutelare i diritti degli interessati?
L’EDPB è chiaro: bisogna “evitare, sospendere o interrompere il trasferimento per evitare di compromettere il livello di protezione dei dati personali”.
5 – Quinto step: adottare tutte le misure procedurali formali che l’adozione della misura supplementare scelta può richiedere
Ovviamente, una volta accertato quali siano le misure supplementari in grado di assicurare un livello sostanzialmente equivalente di tutela dei diritti, occorre predisporre e attivare le procedure volte a implementare in maniera effettiva tali misure.
Eventualmente consultando l’autorità garante.
6 – Sesto step: controllare, controllare, controllare
Ciò significa effettuare una vigilanza continua, tramite audit periodici volti a rivalutare costantemente, a intervalli appropriati, il livello di protezione assicurato ai dati che sono trasferiti a Paesi terzi.
Oltre a monitorare se ci sono stati (o ci saranno) eventuali sviluppi normativi o regolamentari che potrebbero incidere sulle garanzie e sulle misure in concreto adottate.
ATTENZIONE, è necessario ricordarsi di “studiare” e implementare anche meccanismi in grado di sospendere immediatamente il trasferimento nel caso in cui l’importatore non sia in grado di rispettare lo strumento adottato oppure le misure aggiuntive si rivelino non più sufficienti a garantire un adeguato livello di protezione degli interessati.
Ai fini della vigilanza continua tornano utili alcune misure supplementari contrattuali suggerite dall’EDPB nell’Allegato 2), come ad esempio le clausole che possono essere inserite nei contratti data exporter-data importer.
Ad esempio quelle che obbligano l’importatore ad informare periodicamente l’esportatore di eventuali sviluppi normativi che possano comportare variazioni della valutazione sull’adeguatezza della protezione dei dati.
Oppure quella che prevede l’uso di “warrant canary”, che consente di aggirare il divieto di rivelare pubblicamente di aver ricevuto una richiesta di divulgare i dati da un’autorità pubblica. Come funziona? L’importatore trasmette un messaggio (il canary) ad intervalli regolari, con il quale informa l’esportatore che non c’è stato un mandato emesso dall’autorità pubblica. Se il canary non viene aggiornato o trasmesso, allora significa che l’importatore ha presumibilmente ricevuto un mandato.
Il nodo che resta.
A questo punto sorge spontanea la domanda: la metodologia offerta dall’EDPB è sufficiente a consentire i trasferimenti negli USA?
Risposta: Non sempre.
L’enorme, insuperabile grattacapo è che, allo stato attuale, la maggior parte dei fornitori dei servizi cloud americani è sottoposta ai controlli ai sensi dell’art. 702 del FISA, che si applica appunto ai c.d. “electronic communication service provider”.
Infatti il problema è a monte: gli Stati Uniti, per il tipo di legislazione in vigore, non possono essi stessi essere considerati uno “Stato adeguato” dal punto di vista dei principi del diritto europeo.
Quindi non si capisce come strumenti contrattuali (come le SCCs o le BCRs) possano risolvere qualcosa che non è riuscito a risolvere un accordo internazionale come il Privacy Shield.
Pertanto ad oggi l’unico modo per assicurare il livello di tutela richiesto e imposto dalla Corte di Giustizia nell’ambito dei trasferimenti in USA è quello di applicare in maniera stretta il principio di minimizzazione, in particolare tramite misure tecniche in grado di impedire ipso facto l’ingerenza da parte delle autorità statunitensi, come la crittografia o alla pseudonimizzazione (e non trasmettere, in tale seconda ipotesi, i dati ulteriori utilizzabili per la re-identificare gli interessati).
Invece i trasferimenti di dati “in chiaro” non possono più essere effettuati, salvo il caso (piuttosto marginale in realtà) in cui il fornitore/data importer non sia soggetto al FISA 702 e/o disponga di adeguate protezioni contro la sorveglianza dei dati in transito.
Conclusioni e qualche consiglio finale
La situazione rimane pertanto piuttosto intricata.
Dalle ultime notizie trapelate si evince che sul tavolo dei negoziati ci sia una “short-term solution”, ossia un accordo di un anno da mettere in campo il prima possibile, in modo da assicurare il prosieguo dei trasferimenti fino a quando l’amministrazione Biden avrà la possibilità di negoziare con l’Unione Europea una soluzione definitiva.
Tuttavia è evidente come un nuovo accordo di per sé sia del tutto insufficiente. Basti pensare a cosa è accaduto al Safe Harbor prima ed al Privacy Shield dopo.
L’unica soluzione possibile è infatti che gli USA scendano a patti con la propria sovranità ed intervengano in maniera concreta sulla legislazione interna, in modo da renderla più coerente i principi su cui si basa una società democratica nel trattamento dei dati personali.
Più facile a dirsi che a farsi.
In attesa di un intervento diplomatico e normativo, ecco i nostri consigli in pillole:
1 – Valutare se sia effettivamente necessario trasferire i dati all’estero dal punto di vista pratico e commerciale.
Anche il ricorso ad un fornitore UE/SEE possa sembrare su due piedi molto meno conveniente (non solo in termini di risparmio economico ma anche di performance, affidabilità, ecc.) il tempo e le risorse impiegate per rendere legale un trasferimento non UE/SEE possono risultare ben più onerose – soprattutto per una PMI – che passare ad un fornitore UE/SEE oppure a un fornitore di un paese “adeguato” (es. la Svizzera).
2 – Nel caso in cui non si possa prescindere da un trasferimento negli USA, applicare in maniera diligente e accurata le Raccomandazioni 1/2020 dell’EDPB (e le Raccomandazioni 1/2020) e la DTIA secondo gli step sopra analizzati, oltre ad avere cura di informare in maniera trasparente gli interessati circa il trasferimento dei loro dati.
3 – Nel caso in cui non sia possibile assicurare (in concreto) un livello di protezione sostanzialmente equivalente a quello assicurato dal GDPR e dalla Carta, sospendere immediatamente il trasferimento.
Senza “se” e senza “ma”.
Se decidi di non fare tutto questo sappi che ti esponi alle sanzioni previste dal GDPR: fino a 20 milioni di euro o 4% del fatturato globale se superiore, che è quello che si commina a chi continua a trasferire dati senza uno strumento giuridico valido (ex 83, par. 5, lettera c).
Pertanto è necessario agire tempestivamente per rendere legali i propri trasferimenti, affidandosi a professionisti esperti del settore, in grado di guidarvi nella scelta delle migliori scelte da mettere in campo.
Per maggiori informazioni sul sistema DATI360® Legal Suite oppure per ricevere una consulenza dal nostro team di legali, contattaci qui: www.dati360.it/contatti/ oppure direttamente in chat.
DATI360® è un marchio registrato nr.302019000004315 presso: