Privacy Shield: cosa succede ora dopo schrems 2?

Per comprendere al meglio le cause ed i possibili effetti della Sentenza della Corte di Giustizia dell’Unione Europea (CGUE) del 16 luglio 2020 (c.d. “Sentenza Schrems 2”), è necessario partire da una premessa.

Il legislatore Europeo fin dalle origini, perciò fin dalla Direttiva “Madre” 95/46/CE, ha percepito un potenziale pericolo nel trasferimento di dati all’estero, intravedendo nel trasferimento stesso un possibile rischio per i diritti e le libertà deli interessati.

Per questo motivo l’Unione Europea ha, fin da subito, cercato di definire un quadro di tutele, all’interno della stessa Direttiva “Madre”, che garantisse il rispetto dei diritti e delle libertà degli interessati sia all’interno dei confini dell’UE che all’esterno dei confini.

Con il Regolamento UE 679/2016, le regole relative al trasferimento di dati al di fuori dell’UE sono state fissate, interpretate e chiarite all’interno dei Considerando e del Capo V, in particolare le stesse sono scolpite dall’art. 44 all’art. 49.

Oltre alla necessaria premessa, è fondamentale conoscere anche gli antefatti della Sentenza cd “Schrems 2”.

Maximillian Schrems, noto attivista austriaco, nel 2012 presentò una denuncia, nei confronti di Facebook Ireland Limited, dinanzi all’Autorità Irlandese, con particolare riferimento alle operazioni di trattamento compiute da Facebook sui suoi dati personali, ponendo un’attenzione particolare al trasferimento dei dati verso gli USA, nel particolar caso di specie nei confronti di Facebook Inc. La tesi di Schrems, si basava sul divieto di imporre ai social di trasferire dati di utenti UE all’interno del territorio USA, in considerazione del fatto che questo trasferimento poteva comportare una perdita di controllo sui dati stessi, dati che, una volta ricevuti potevano essere utilizzati negli USA per ulteriori finalità.

Dinanzi al rigetto da parte dell’Autorità Irlandese, basato sul fatto che il social utilizzasse salvaguardie corrette e considerando la validità del Safe Harbor, Schrems decise di non fermarsi, presentando così ricorso alla Corte D’Appello, la quale presentò il quesito alla Corte di Giustizia.

Nell’ottobre del 2015, la Corte di giustizia dichiarò invalida la decisione 200/50 relativa al Safe Harbor (accordo che permetteva di trasferire i dati dall’UE agli USA), ritenendo che la critica mossa fosse fondata, in quanto i controlli svolti in ambito di sicurezza pubblica e nazionale, da parte degli USA, non sono ricompresi all’interno del Safe Harbor.

A questo punto inizia un lavoro di negoziazione tra UE e USA, i quali si son resi fin da subito disponibili a trovare soluzioni alternative, in quanto l’Europa per gli USA risulta essere un mercato importante.

Il Privacy Shield venne alla luce nel luglio 2016, anno in cui la Commissione Europea decise di cristallizzare il nuovo accordo tra UE e USA. Rispetto al precedente accordo, il Privacy Shield si presentava come uno strumento dalla maggior trasparenza rispetto ai trattamenti svolti in tema di sicurezza nazionale e maggior chiarezza relativamente agli strumenti di ricorso a disposizione dei cittadini europei.

 

Cos’è il Privacy Shield?

Il “Privacy Shield”, ovvero lo “Scudo per la privacy” era, quindi, valevole per i trasferimenti dei dati tra Unione Europea ed USA. Questo “meccanismo di autocertificazione” permetteva alle aziende stabilite all’interno dell’Unione Europea di effettuare il trasferimento dei dati verso gli USA e permetteva alle società stabilite negli USA, che intendevano ricevere dati personali da parte di società stanziate all’interno dell’Unione Europea, di poter ricevere i dati.

Dopo la sentenza cd “Schrems 2” non è più possibile basare i trasferimenti di dati sul “Privacy Shield”, in quanto la Corte di Giustizia dell’Unione Europea ha ritenuto invalido anche il “Privacy Shield”, ritenendo che lo stesso non risulti idoneo a garantire un livello di protezione adeguato per i dati oggetto di trasferimento, con particolare riferimento al fatto che vi è, secondo la CGUE,  da un lato un’indiscriminata possibilità delle autorità pubbliche USA di utilizzare i dati per finalità di sicurezza e di difesa nazionale e dall’altro lato l’assenza di uno strumento che garantisca la tutela degli interessati.

 

Quali sono le regole per poter effettuare un trasferimento di dati al di fuori dell’UE?

IL GDPR, all’art.44, fa riferimento a specifiche condizioni per poter effettuare il trasferimento di dati in paesi extraeuropei. In mancanza delle condizioni esplicitamente ivi riportate non è possibile trasferire dati all’esterno dell’Unione Europea.

Il trasferimento può essere effettuato nei seguenti casi:

1. Trasferimento sulla base di una decisione di adeguatezza della Commissione Europea;
2. Trasferimento soggetto a garanzie adeguate;
3. Sussistenza di norme vincolanti d’impresa;

Nel caso, invece, in cui il trasferimento non rientri nelle tre fattispecie sopra riportate è possibile far riferimento all’art.49 relativo alle deroghe previste per situazioni specifiche.

A titolo esemplificativo e non esaustivo rientrano nel novero delle deroghe in specificazioni, il consenso esplicito ed informato del soggetto interessato, il trasferimento necessario per la conclusione o l’esecuzione di un contratto o il trasferimento necessario per importanti motivi di interesse pubblico.

 

Quali sono i possibili effetti della Sentenza “Schrems 2” e quali sono le possibili alternative?

L’effetto immediato che ha provocato la sentenza è una situazione di incertezza. Da un lato gli studiosi della materia, dall’altro gli imprenditori si sono domandati come poter continuare a trasferire i dati verso gli USA e su quali misure di sicurezza garantire il trasferimento.

L’effetto, nel lungo periodo, potrebbe essere un deterioramento dei rapporti commerciali tra le aziende stabilite in UE e quelle stabilite negli USA.

È innegabile che il trasferimento di dati verso gli USA sia una fonte di business per le aziende multinazionali e non ed è innegabile che in alcuni casi (si pensi ad esempio un cloud provider con server esclusivamente in USA) sia inevitabile un trasferimento di dati. Di conseguenza è necessario trovare una soluzione al problema.

Una soluzione univoca allo stato attuale non c’è.

E’ possibile comunque, analizzando il flusso di dati e le motivazioni che sono alla base del trasferimento cercare di trovare un’alternativa valida. Strumenti tuttora validi per il trasferimento sono rinvenibili nelle clausole contrattuali standard e nelle norme vincolanti d’impresa. Altri strumenti utilizzabili potrebbero essere le certificazioni ed i codici di condotta.

Da ultimo, ulteriori alternative potrebbero essere rinvenibili nell’art. 49 del GDPR, relativo alle deroghe applicabili in specifiche situazioni. Un’alternativa potrebbe, ad esempio, essere riscontrabile nella creazione di un contratto ad hoc, trasparente e robusto, che fondi chiaramente il trasferimento dei dati sul contratto stesso.

 

Cosa è necessario fare?

Al fine di gestire nel migliore dei modi la problematica sopra esposta è necessario delineare accuratamente i confini della situazione, in modo da aver un quadro generale chiaro.

Sia che il soggetto agisca come Titolare del Trattamento sia che il soggetto agisca come Responsabile del Trattamento è necessario tenere bene a mente i seguenti punti:

• È necessario che vengano identificati i trasferimenti di dati verso gli USA o che vengano identificati i trasferimenti posti in essere direttamente o per il tramite di sub-fornitori
• Se la base di sicurezza su cui si fondava il trasferimento era rinvenibile nel Privacy Shield è necessario che la stessa venga sostituita, con altre misure idonee per il trattamento posto in essere e con quello che impone il GDPR
• Aggiornare il Registro delle attività di Trattamento (ex. art. 30 GDPR) sia per i trattamenti effettuati in qualità di Titolare che per quelli effettuati in qualità di Responsabile
• Revisionare le informative, le policy e le procedure affinché non vi si riscontrino riferimenti al Privacy Shield
• Tenersi costantemente aggiornati, in modo tale da rilevare proattivamente novità ed eventuali interpretazioni delle Autorità di Controllo sulla questione

In conclusione, in attesa di ulteriori sviluppi, è necessario analizzare accuratamente il flusso di dati oggetto di trasferimento e le motivazioni poste alla base del trasferimento stesso, in modo che, data la situazione di incertezza attuale, si possa portar avanti il proprio business, senza vedersi costretti ad interromperlo a metà, nel pieno rispetto della protezione dei dati personali e della tutela dei diritti e delle libertà dell’interessato.

 

Alternative finali

Le imprese normali, abituate all’utilizzo di soluzioni in cloud operanti negli USA, possono anche procedere ad una revisione puntuale dei loro fornitori o delle modalità di iterazione con i loro fornitori.

Due le principali soluzioni alternative:

La prima è la più banale: operare con fornitori italiani e/o europei. Spesso vi sono fornitori italiani e/o europei che sono in grado di offrire gli stessi servizi di quelli più noti degli USA. Se pensiamo a software gestionali in cloud, CRM, software di invio newsletter, sistemi di hosting/Housing … ormai i fornitori nostrani sono in grado di fornire sistemi analoghi e più adatti alle aziende italiane. Inoltre è più facile l’interlocuzione a livello privacy, la nomina a Responsabile, la gestione di Data Breach, i rapporti con il Garante nostrano ..

La seconda, se proprio è necessario utilizzare software o applicativi di provenienza USA, è chiedere a questi colossi la geolocalizzazione dei server (e quindi dei dati) all’interno di un paese della comunità europea. I più grandi fornitori di servizi quali Amazon, Google, Microsoft, Dropbox … già forniscono questa opzione. Formalmente i dati sarebbero in unione europea. Francamente, però, mi risulta difficile dare assicurazioni che gli enti governativi americani, comunque, non siano in grado di chiedere ed ottenere accesso a questi dati …