Cosa significa Trasferimento di dati personali e quali sono le prospettive e le aspirazioni dopo la sentenza Schrems II
L’anno 2020 volge al termine.
Un anno di turbolenze socio-sanitarie, politiche ed economiche e che nelle ultime settimane assesta un vigoroso colpo di coda al già agitato mondo della Privacy. Infatti, uno dei temi più discussi di sempre e in queste ultime settimane ancora più scottante, riguarda le modalità del trasferimento di dati personali fuori dallo spazio SEE (spazio economico europeo – EEA in inglese).
Chiariamo subito cosa significa trasferimento di dati personali all’estero* >>
(*a onor del vero una definizione chiara e precisa non esiste, qui tentiamo di darla)
- Ogni trasferimento dati da parte di un titolare del trattamento dei dati personali all’interno del SEE verso un titolare o responsabile del trattamento dei dati personali extra SEE;
- Ogni accesso da remoto da parte di una impresa di un paese terzo ai dati situati nel SEE.
Si ricorda facilmente la vicenda mediatica di Edward Snowden che aveva posto sotto i riflettori la pericolosa espansione della sorveglianza sulle reti globali. Altri riflettori sono stati poi accesi da Maximilian Schrems. In questi ultimi anni si è battuto per porre in evidenza altre sfumature dello stesso pericolo: le fughe di notizie. Schrems sostiene che le pratiche di sorveglianza statunitensi, poste in luce da Snowden, hanno dimostrato che le imprese statunitensi non potevano conformarsi ai requisiti del Safe Harbor e poi del Privacy Shield.
Oggi non è più possibile nascondere la polvere sotto il tappeto. E così, con la sentenza della Corte di giustizia dell’Unione europea nella causa Schrems II C-311/18 (Data Protection Commissioner contro Facebook Ireland Ltd e Maximillian Schrems), è stato invalidato il Privacy Shield.
La sentenza arriva dopo il caso Schrems I con cui sempre la stessa Corte invalidò il Safe Harbour (protocollo che perse vigore quando divenne impossibile per l’Europa ignorare che le aziende statunitensi erano vulnerabili agli interventi del governo degli Stati Uniti in tema di sicurezza nazionale, perché loro rispettavano le norme, mentre il governo degli Stati Uniti no).
Facciamo un veloce riepilogo.
Secondo il documento del Gruppo di lavoro Articolo 29 – WP245 del 13 dicembre 2016, il Privacy Shield, lo “scudo per la privacy” fra UE e USA, era un meccanismo di autocertificazione per le società stabilite negli USA che intendevano ricevere dati personali dall’Unione europea.
Le società si impegnavano a rispettare i principi in esso contenuti e a fornire agli interessati (cioè tutti i soggetti i cui dati personali fossero stati trasferiti dall’Unione Europea) adeguati strumenti di tutela, pena l’eliminazione dalla lista delle società certificate (“Privacy Shield List”) da parte del Dipartimento del Commercio statunitense e possibili sanzioni da parte della Federal Trade Commission (Commissione federale per il commercio).
La Commissione europea aveva ritenuto che il sistema offrisse un livello adeguato di protezione per i dati personali trasferiti da un soggetto dall’interno dell’UE a una società stabilita negli Stati Uniti e che, pertanto, il Privacy Shield costituiva una garanzia giuridica.
Ad oggi la situazione si è ribaltata e in questa cornice giurisprudenziale è stato ridisegnato il rapporto tra la sicurezza nazionale e i flussi di dati a livello globale perché la Corte di giustizia ha ritenuto che le pratiche in corso violassero i diritti fondamentali dei cittadini dell’Unione europea, che non potevano ricorrere ad alcuno strumento legale effettivo e significativo per contestare potenziali abusi statunitensi.
Tra l’altro, la sentenza C-311/18 mina anche la validità delle Standard Contractual Clauses – “clausole contrattuali standard” – su cui torneremo nei prossimi articoli.
Gli Stati Uniti hanno reagito
Ovviamente gli Stati Uniti hanno reagito definendo il tutto come un “eccesso europeo”, una “ipocrisia eurocentrica”. Un esempio su tutti, Stewart Baker* sul sito Lawfare che propone agli Stati Uniti << l’utilizzo di sanzioni commerciali per costringere l’Unione europea a fare marcia indietro e far capire agli europei che gli Stati Uniti sono seriamente intenzionati a mantenere “il diritto di scrivere leggi statunitensi senza ottenere il permesso dai governi europei”>>.
Per ora viviamo in un vuoto normativo in attesa di novità a fine dicembre, con la partita ancora aperta per tutto l’anno 2021.
Nel frattempo, il Comitato europeo per la protezione dei dati (EDPB) – organo europeo indipendente che contribuisce all’applicazione coerente delle norme sulla protezione dei dati in tutta l’Unione europea e promuove la cooperazione tra le autorità competenti per la protezione dei dati dell’UE – a seguito della sentenza della Corte di giustizia dell’Unione europea nella causa Schrems C-311/18 ha posto in essere due importanti mappe su cui orientarci:
- il 23 luglio 2020 ha adottato un documento contenente risposte alle domande più frequenti ricevute dalle autorità di controllo;
- l’11 novembre 2020 ha pubblicato due raccomandazioni: una, ancora in consultazione pubblica, sui trasferimenti di dati personali nei Paesi extra UE e una sulle garanzie fondamentali che devono essere presenti laddove ci siano anche misure di sorveglianza da parte delle agenzie di sicurezza nazionale.
Partiamo dal percorso segnato dalla sentenza Schrems II.
- Nella sentenza, la Corte di giustizia evidenzia quali sono i criteri per proteggere i dati che vengono trasferiti all’estero e che questo trasferimento non deve essere causa di indebolimento della protezione garantita nel SEE (Spazio economico europeo);
- La sentenza ha stabilito inoltre che se pur si possa contare ancora su le <<Standard contractual clauses >> sará necessario un << Impact assessment >> per valutare se il paese terzo in cui i dati vengono trasferiti garantisca realmente un livello di protezione adeguato a quello offerto dal GDPR. Sono clausole valide ma restano uno strumento contrattuale che non può incidere sulla normativa statale per la sorveglianza di massa, sono quindi rimedi contrattuali che da soli non risolvono il problema della protezione dei dati;
- Il livello di protezione nei paesi terzi non deve essere identico a quello garantito all’interno del SEE ma sostanzialmente equivalente;
- Il rispetto delle regole sul trasferimento dei dati grava tutto sulle spalle di titolari e responsabili del trattamento (controller e processor) in linea con il principio di responsabilità dell’articolo 5.2 GDPR, che agiscono in qualità di esportatori;
Per aiutarli a valutare i Paesi terzi e a identificare le misure supplementari appropriate, l’EDPB adotta queste raccomandazioni che descrivono una serie di passaggi da seguire per il trasferimento dei dati personali:
- Mappatura di tutti i trasferimenti di dati;
- Verificare se il paese destinatario (l’importatore) abbia sottoscritto una decisione di adeguatezza (la Svizzera è uno dei paesi che ha sottoscritto);Se sì, basta il monitoraggio della validità della decisione di adeguatezza e se nel tempo la legge o la prassi del paese terzo possano interferire;
- Se non c’è la decisione di adeguatezza, fare affidamento sugli altri sistemi di trasferimento previsti dall’ art. 46 GDPR;
- Fare una valutazione della normativa e della prassi del Paese Terzo. Verificare se ci sono rischi per le libertà e i diritti degli interessati. In altre parole, fare una valutazione (assessment) molto simile alle DPIA (valutazione d’impatto sulla protezione dei dati) – La valutazione richiede una approfondita conoscenza della normativa del Paese terzo e anche delle prassi: si tratta di una valutazione che potrebbe non essere facile per le multinazionali, per non parlare delle piccole imprese, per le quali potrebbe rivelarsi anche molto onerosa, spingendole a preferire provider di Paesi adeguati (come la Svizzera) -;
- Se ancora non si è in linea, fare affidamento sulle misure supplementari. Si può prendere spunto da quelle indicate nell’Allegato 2 della Raccomandazione 01/2020;
- Se nessuna misura supplementare risulta adatta, bisognerà interrompere il trasferimento e interpellare il Garante del proprio stato (proprio come nella DPIA). Il garante potrà confermare il pericolo o… ribaltare il risultato;
- Predisporre una vigilanza continua per accertare nel tempo il livello di protezione, anche attraverso continue valutazioni (assessments).
La soluzione: una vera e chiara collaborazione internazionale
È questo ad oggi un ingorgo dal quale si uscirà solo attraverso una vera e chiara collaborazione internazionale. In un mondo di reti globali è palese l’interdipendenza e la necessità di una cooperazione internazionale molto più profonda con democrazie che riescano a guardare nella stessa direzione, decise ad allearsi per affrontare i cambiamenti associati ad un mondo che cambia. È proprio l’approccio che necessita di un cambiamento. Non c’è modo di affrontare le sfide alla sicurezza dell’interdipendenza tra le democrazie senza rendere interdipendenti anche alcuni diritti.
BIBLIOGRAFIA
-Domande più frequenti in merito alla sentenza della Corte di giustizia dell’Unione europea nella causa C-311/18 https://bit.ly/2HMRHro
-C-311/18 – Facebook Ireland e Schrems https://bit.ly/3mezYYQ
-Raccomandazione 01/2020 https://bit.ly/2V9iP6R
-Raccomandazione 02/2020https://bit.ly/3fJiBwA
-How Can the U.S. Respond to Schrems II? By Stewart Baker https://bit.ly/2KDcNJE
-PRIVACY SHIELD – FAQ per gli interessati in Europa – Gruppo di lavoro Articolo 29 – WP246 del 13 dicembre 2016 https://bit.ly/2KI4Kvb
-Lo scudo UE – FAQ per le imprese europee – Gruppo di lavoro Articolo 29 – WP245 del 13 dicembre 2016 https://bit.ly/3fHkB8R