Geopolitica e flussi transfrontalieri dei dati: gli sviluppi dopo Schrems II - Agenda Digitale

protezione dati personali

Geopolitica e flussi transfrontalieri dei dati: gli sviluppi dopo Schrems II

La data protection sta diventando il presupposto di legittimità cardine per l’innovazione digitale e lo sviluppo economico degli Stati, ma anche motivo di frizione geopolitica. Facciamo il punto sui recenti sviluppi

28 Set 2021
Barbara Calderini

Legal Specialist - Data Protection Officer

Per decenni i trasferimenti di dati e i problemi di sorveglianza sono stati punti critici nelle relazioni Usa e Ue.

Se infatti per l’Europa la protezione dei dati personali assurge al livello di diritto fondamentale, codificato negli stessi Trattati europei, altrettanto non è per altre politiche come quella degli Stati Uniti dove la privacy viene protetta su base settoriale.

Facciamo dunque il punto sullo stato dell’arte attraverso una panoramica dei recenti sviluppi in materia di trasferimenti internazionali di dati personali, cercando di metterne in risalto gli elementi essenziali, ben consapevoli che tanto non potrà ritenersi esaustivo in merito all’effettiva complessità delle dinamiche e dei riflessi geopolitici che gravitano intorno alla tutela dei dati, personali e non.

Trasferimenti internazionali di dati: gli approcci

I trasferimenti internazionali di dati rappresentano meccanismi di condivisione delle informazioni di vitale importanza per le economie e le società globali, tutte impegnate, sebbene con diversi approcci, nella valutazione e costruzione di strategie sui flussi di dati transfrontalieri in grado di favorire l’economia, l’innovazione e allo stesso tempo la protezione e la libera – o quantomeno agevole – circolazione delle informazioni: da Bruxelles e Strasburgo a Washington e Londra, a Pechino, a Delhi, passando per le Big Tech americane e cinesi.

WEBINAR
18 Novembre 2021 - 15:00
PNRR: Cybersecurity e innovazione digitale (sicura).
Sicurezza
Cybersecurity

Per intenderci parliamo di attività quali la trasmissione di informazioni online, i servizi di comunicazione, il mercato delle cloud solution, il monitoraggio delle catene di approvvigionamento globali, le azioni dei dipartimenti delle risorse umane nelle organizzazioni, come i sistemi di gestione dei candidati Software-as-a-Service (SaaS) o i trasferimenti all’interno del gruppo aziendale, la condivisione di dati nel campo della ricerca medica e scientifica, la fornitura di servizi transfrontalieri e supporto tecnologico all’innovazione, le analisi di marketing, la prevenzione e repressione dei crimini.

Ed è piuttosto evidente come, nel luglio 2020, la sentenza della Corte di giustizia dell’Unione europea che ha invalidato con effetto immediato il Privacy Shield Framework, abbia creato una notevole incertezza giuridica per molte imprese impegnate nei commerci transatlantici, sino ad allora condotti in modo alquanto meccanicistico. Tale clima di precarietà ha coinvolto tanto le organizzazioni che si affidavano al Privacy Shield (di cui oltre il 75% sono piccole e medie imprese, PMI), quanto quelle che utilizzavano le clausole contrattuali standard – SCC; comprese molte grandi multinazionali che si sono viste vietare l’ingresso allo loro “comfort zone”.

Allo stesso modo, il patchwork globale di protezioni della privacy e le limitazioni transfrontaliere stanno influenzando la qualità e la scelta dei prodotti e dei servizi offerti ai consumatori su base globale.

In tutto ciò – sebbene il 4 giugno 2021 la Commissione europea – CE abbia pubblicato la nuova versione delle tanto attese Clausole Contrattuali Standard finali per i trasferimenti di informazioni personali dall’UE a paesi terzi (alle aziende che attualmente si affidano alle vecchie versioni degli SCC adottate rispettivamente nel 2001, 2004 e 2010 viene concesso un periodo di 18 mesi a partire dal 27 giugno 2021 per implementare i requisiti presenti nelle SCC) – spicca ancora preponderante il ruolo destabilizzante assunto dalla CGUE che, imponendo in capo agli operatori del mercato digitale dei dati onerosi e complessi “test di equivalenza sostanziale delle tutele”, ha reso i concetti di corporate privacy rules e due diligence dell’esportatore, ovvero le responsabilità che l’organizzazione nel suo insieme e i suoi partner si assumono la per la protezione dei dati personali, e le esigenze di cooperazione transfrontaliera, fattori di fondamentale importanza al di là di ogni strumento normativo di supporto attualmente vigente e di ogni tecnicismo operativo.

E tra l’approccio assolutista assunto dall’EDPB in merito a Schrems II, ben evidenziato nelle sue Raccomandazioni successive alla sentenza Schrems II, e le aspirazioni degli “araldi dell’ottimismo” – convinti che la maggior parte dei trasferimenti di dati transatlantici siano immuni per legge alla sorveglianza statunitense, inclusa la raccolta ai sensi del § 702 del Foreign Intelligence Surveillance Act o dell’Executive Order 12333 – prende forma il dibattito complesso in corso nelle sedi istituzionali, tra gli esperti e tra i regolatori europei, nel frattempo impegnati nella definizione di importanti tasselli legislativi come il Digital Services Act package, la nuova Direttiva europea ePrivacy e il Regolamento sull’Intelligenza Artificiale.

I recenti sviluppi in tema di trasferimento dei dati: Europa, Regno Unito, Corea del sud, Cina e Usa

Il mese di giugno 2021 è stato un mese particolarmente significativo per l’Europa.

La versione finale delle Clausole Contrattuali Standard

Il 4 giugno 2021, la Commissione europea ha adottato le nuove Clausole Contrattuali Standard per i trasferimenti di dati personali verso paesi terzi (al di fuori del SEE) ai sensi del GDPR. Queste sono entrate in vigore il 27 giugno 2021 e sostituiscono, entro il 27 dicembre 2022 al più tardi, le precedenti tre versioni adottate nel 2001, 2004 e 2010 ai sensi della direttiva 95/46/CE.

La versione rivista della SCC è caratterizzata da un approccio flessibile, modulare e multi-parte. E’ infatti prevista sia la possibilità di successiva integrazione in un contratto più ampio che l’inserimento di altre clausole, al fine di adeguare meglio gli obblighi delle parti ai propri ruoli e responsabilità in relazione al trattamento in questione. Inoltre altre parti possono aderire in una fase successiva attraverso l’attivazione della c.d. “clausola di docking”.

Esattamente le nuove SCC offrono 4 configurazioni di responsabilità: controller to controller; controller to processor; processor to controller e, infine, processor to processor.

L’Accordo sul trattamento dei dati nel contesto dei trasferimenti internazionali di dati da titolare a responsabile e da responsabile a sub-responsabile derivante dall’articolo 28 GDPR viene integrato nelle medesime SCC.

Gli esportatori di dati dovranno documentare la propria Valutazione dell’impatto del trasferimento – TIA e fornire tale documentazione su richiesta all’autorità di controllo competente.

La valutazione circa l’adeguato livello di sicurezza dovrà comprendere l’intera filiera dei vari responsabili e considerare aspetti sia teorici che pratici relativi ai trattamenti, a cominciare dallo stato dell’arte, dai costi di attuazione, dalla natura, l’ambito, il contesto e le finalità di ogni attività di trattamento, fino all’analisi dei rischi connessi al trattamento per l’interessato e alla necessità di ricorrere alla crittografia o alla pseudonimizzazione, anche durante la trasmissione, qualora lo scopo del trattamento possa essere realizzato in tal modo.

Il tutto dovrà essere quindi costantemente monitorato e, dunque, aggiornato.

Il progetto di decisione di adeguatezza per la Corea del Sud

Il 16 giugno 2021, la Commissione europea ha adottato il progetto di decisione di adeguatezza per la Corea del Sud e ha avviato il processo per la sua adozione, concludendo che la Corea del Sud garantisce un livello di protezione sostanzialmente equivalente a quello assicurato dal GDPR. L’entrata in vigore della nuova legge sulla privacy, il Personal Information Protection Act – PIPA, e il rafforzamento dei poteri della Commissione Nazionale coreana per la Protezione dei Dati, hanno convinto i Commissari europei sull’elevato grado di convergenza tra l’Unione Europea e la Corea del Sud nel campo della data protection. La Corea potrebbe, quindi, presto aggiugersi alla schiera dei territori che beneficiano delle decisioni sinora adottate ai sensi della Direttiva 95/46/CE in materia di adeguatezza, in vigore fino a quando non vengano modificate, sostituite o abrogate dalla stessa Commissione (art. 45, par. 9 del Regolamento UE 2016/679) o dalla CGUE.

Nel frattempo è del 27 settembre scorso il parere reso dall’ EDPB sul progetto di decisione di adeguatezza della Commissione europea per la Repubblica di Corea: – accesso delle autorità pubbliche ai dati personali trasferiti dallo Spazio economico europeo (SEE) alla Repubblica di Corea ai fini dell’applicazione della legge e della sicurezza nazionale, – presenza o meno  rimedi legali disponibili per le persone nel SEE, – efficacia delle garanzie fornite dal quadro giuridico coreano; sono questi gli aspetti fondamentali del quadro coreano sulla protezione dei dati esaminati dal Board dei Garanti Europei sui quali gli stessi, pur riconoscendo la presenza di aree chiave di allineamento tra i quadri di protezione dei dati dell’UE e della Corea del Sud, hanno inteso richiamare l’attenzione dei  Commissari dell’UE al fine di sollecitarne un attento riesame e un adeguato monitoraggio prima di stabilire che la Repubblica di Corea fornisca a tutti gli effetti un livello di protezione dei dati “essenzialmente equivalente” a quello del GDPR.

Le Raccomandazioni dell’EDPB

Il 18 giugno 2021, l’ EDPB ha reso nota la versione finale delle sue Raccomandazioni 01/2020 sulle misure che integrano gli strumenti di trasferimento per garantire il rispetto del livello di protezione dei dati personali dell’UE. Le raccomandazioni, ricche di numerosi esempi pratici, hanno lo scopo di aiutare gli esportatori di dati a trasferire legalmente dati personali a paesi terzi al di fuori del SEE, garantendo un livello di protezione equivalente ai dati personali trasferiti. Esse contengono l’indicazione dei sei passi da seguire nel progettare/attuare il trasferimento: Mappatura e ricognizione dei propri trasferimenti; Individuazione della base giuridica di trattamento e dei strumenti di trasferimento su cui fare affidamento; Valutazione di impatto – TIA – sull’efficacia dello strumento di trasferimento di cui all’articolo 46 del RGPD; Adozione delle opportune misure supplementari; Implementazione operativa delle misure supplementari ritenute adeguate; Monitoraggio a intervalli appropriati del livello di protezione e sicurezza.

In particolare, per quanto riguarda la Valutazione dell’impatto del trasferimento (TIA), il Board dei Garanti Europei rileva come l’analisi di conformità debba riguardare non solo la legge nel paese terzo, ma anche le pratiche effettive condotte dalle autorità pubbliche in quel paese, oltre alla necessaria due diligence sugli importatori di dati su cui faranno affidamento, tra gli altri avvertimenti.

La Decisione di Adeguatezza per il Regno Unito

Il 28 giugno la Commissione europea, ottenuto il parere dell’EDPB e sulla scorta delle indicazioni del MEPs, ha adottato la Decisione di Adeguatezza per il Regno Unito, ritenendo che il quadro giuridico dello stesso, principalmente il cosiddetto “UK GDPR” e il DPA 2018, garantissero un livello di protezione dei dati personali trasferiti dall’Unione europea essenzialmente equivalente a quello garantito dal Regolamento (UE) 2016/679, esattamente come quando il Regno Unito era membro dell’Unione Europea. La decisione di adeguatezza, sulla scorta di una cosiddetta “sunset clause”, sarà valida per un periodo iniziale di 4 anni e potrà essere prorogata o revocata a seconda di come si evolverà ulteriormente la situazione giuridica nel Regno Unito.

Cina: la Legge sulla protezione delle informazioni personali (“PIPL”)

Un evento di rilievo specie per i riflessi in fatto di adozione di misure destinate allo sviluppo di tecnologie relative al riconoscimento facciale, all’intelligenza artificiale e all’analisi dei dati è intervenuto in agosto, ed esattamente il 20 agosto 2021, quando il Comitato permanente dell’Assemblea nazionale del popolo cinese ha approvato la Legge sulla protezione delle informazioni personali (“PIPL”), che entrerà in vigore il 1° novembre 2021.

La legge, da molti ritenuta per buona parte affine al GDPR e per questo foriera di complicanze per lo sviluppo degli scambi commerciali tra Cina e Europa, mira a tutelare tanto la sicurezza specie informatica dei dati, quanto la sovranità digitale e consentirà alle aziende di adeguarsi in un lasso di tempo ristretto, ovvero in poco più di due mesi. La portata del provvedimento aggiunge un livello di complessità significativo rispetto alla conformità con le leggi e le normative cinesi in materia di sicurezza e dati, nonché un tassello fondamentale per l’elaborazione di dati a livello internazionale. Sarà incentrata sui principi di informazione, minimizzazione, cancellazione e consenso. Avrà portata extraterritoriale: si applicherà tanto alle attività di trattamento, in Cina, di informazioni personali, quanto ai trattamenti, operati al di fuori della Cina se tali elaborazioni vengono rese allo scopo di fornire prodotti o servizi a persone fisiche che si trovano in Cina; di analizzare/valutare il comportamento delle persone fisiche in Cina; o altre circostanze previste da leggi e regolamenti amministrativi.

Se una società al di fuori della Cina svolge attività di trattamento che rispondono alle circostanze previste dal PIPL, allora alle stesse verrà richiesto tassativamente di istituire un ufficio speciale o designare un rappresentante in Cina per la gestione delle questioni relative alla protezione delle informazioni personali e di comunicare il nome e i dettagli di contatto di tale istituto o rappresentante alle autorità cinesi. I trasferimenti transfrontalieri di informazioni personali potranno essere effettuati solo per determinati scopi legittimi e in conformità alle leggi vigenti, tra cui in primis la Cybersecurity Law, in vigore fin dal primo giugno 2017 e la Data Security Law (DSL), destinata a entrare in vigore insieme alla nuova legge sulla protezione dei dati personali. Questo in modo particolare se riferito alle tre categorie di dati in esse contemplati, ovvero, i “core data of State” riguardanti la sicurezza nazionale e gli interessi pubblici, gli “important data” e i “general data”.

Affinché il trasferimento sia lecito, saranno richiesti sia una base giuridica adeguata che il consenso degli interessati oltre a specifiche valutazioni di impatto del rischio. Il consenso sarà sempre necessario per il trattamento di informazioni personali come i dati biometrici, medici, sanitari e finanziari. Inoltre, sono previste la sospensione o la cessazione dei servizi per le applicazioni che trattano illegalmente i dati personali,oltre a pesanti sanzioni. Oltre ai requisiti di consenso e informazione, gli “operatori di infrastrutture di informazioni critiche” (tra cui servizi pubblici di comunicazione e informazione, energia, trasporti, acqua, finanza, servizi pubblici, servizi di e-government , difesa nazionale e qualsiasi altra importante struttura di rete o sistema informativo che possa danneggiare gravemente la sicurezza nazionale, l’economia nazionale e i mezzi di sussistenza delle persone, o l’interesse pubblico in caso di incapacità, danno o fuga di dati) e i titolari del trattamento che trattano informazioni personali in quantità superiori ai limiti governativi devono superare una valutazione di sicurezza del governo prima di trasferire i dati al di fuori della Cina. Allo stesso modo le aziende e gli individui non possono fornire informazioni personali archiviate in Cina ad agenzie giudiziarie o esecutive straniere, senza previa approvazione del governo cinese.

UK: la strategia post-Brexit per i flussi transfrontalieri di dati personali

Il 25 agosto, il Dipartimento del Regno Unito per il digitale, la cultura, i media e lo sport (DCMS) ha rilasciato importanti dettagli sulla sua Strategia post-Brexit per i flussi transfrontalieri di dati personali.

E’ passato poco tempo da quando, sulla base dell’attuale continuità delle regole, il 28 giugno scorso la Commissione UE ha concesso la sua Decisione sull’adeguatezza dei dati che consente al Regno Unito – almeno per i prossimi 4 anni e salvo necessità di revisione, il trasferimento continuo e senza ostacoli di dati dall’UE alle aziende UK in settori cruciali come quello dell’intelligenza artificiale, della salute, delle scienze e della tecnologia (dal primo gennaio 2021 i trasferimenti di dati personali verso il Regno Unito erano disciplinati da un regime provvisorio, previsto dall’accordo commerciale e di cooperazione UE-UK (TCA), che con la c.d. “bridging clause” garantiva la liceità dei flussi di dati tra UE e Regno Unito, ma in via temporanea) – che il 25 agosto, il Dipartimento del Regno Unito per il digitale, la cultura, i media e lo sport (DCMS) rilasciasse importanti dettagli sulla sua Strategia post-Brexit per i flussi transfrontalieri di dati personali. Non a caso una delle 10 priorità tecnologiche del governo inglese, peraltro già anticipata lo scorso anno quando venne pubblicata la corrispondente Strategia nazionale sui dati.

Tanto è bastato per alimentare nuove tensioni e nuovi dibattiti tra gli esperti sui rischi che eventuali modifiche alle norme interne del Regno Unito o divergenze aggressive verso un quadro normativo più leggero rispetto all’UE, possano comportare la perdita del regime di adeguatezza, con gravi implicazioni finanziarie per le società che commerciano attraverso la Manica.

Tra gli elementi di maggior spicco annunciati dal segretario al digitale del Regno Unito Oliver Dowden sono emersi:

  • La “Mission Statement” sul nuovo approccio ai trasferimenti internazionali di dati e l’intenzione di procedere verso specifiche valutazioni di “adeguatezza” relative ai trasferimenti internazionali di dati e verso il consolidamento di solide partnership con Stati Uniti (partner commerciale nazionale più importante del Regno Unito nelle esportazioni basate sui dati, dove il 92% delle esportazioni di servizi del Regno Unito negli Stati Uniti è basato sui dati, pari a 67,03 miliardi di sterline), Australia, Repubblica di Corea, Singapore, Dubai International Finance Centre , Colombia e successivamente con India, Brasile, Kenya e Indonesia. Ovvero, un paniere di scambi non inferiore a 80 miliardi di sterline di esportazioni di servizi abilitati dai dati verso queste destinazioni ogni anno.
  • L’introduzione di un manuale sull’adeguatezza dei dati per valutare il livello di protezione del sistema di trattamento dei dati di un paese terzo;
  • La nomina dell’esperto internazionale di privacy John Edwards (già Commissario per la privacy della Nuova Zelanda) a capo dell’ICO- l’Ufficio del Commissario per le informazioni del Regno Unito
  • La creazione di un Consiglio di esperti per orientare la politica del Regno Unito sui trasferimenti internazionali di dati;
  • La previsione di una consultazione pubblica per esaminare le migliori tattiche per stimolare la crescita, accelerare le scoperte scientifiche e migliorare i servizi pubblici e così aumentare il commercio e l’innovazione attraverso la valorizzazione della protezione e della circolazione dei dati, incluso il potenziamento del ruolo dell’Ufficio del Commissario per le informazioni (ICO).

“Nelle prossime settimane il governo lancerà una consultazione sui cambiamenti per abbattere le barriere agli usi innovativi e responsabili dei dati in modo da poter aumentare crescita, soprattutto per le startup e le piccole imprese, accelerare le scoperte scientifiche e migliorare i servizi pubblici. La consultazione dovrebbe includere il ruolo dell’Information Commissioner’s Office (ICO) […]”.

Nel frattempo la stessa ICO in data 11 agosto 2021 (scadenza 07 ottobre 2021) ha già avviato un’importante consultazione pubblica sulla bozza dell’accordo/contratto internazionale sul trasferimento dei dati (IDTA) e relativi documenti associati , che le organizzazioni potranno utilizzare quando intendono trasferire dati a paesi non coperti da decisioni di adeguatezza. Nelle intenzioni dell’Ufficio del Commissario per le informazioni (ICO), l’IDTA dovrebbe sostituire le vigenti clausole contrattuali standard (SCC) per tenere conto della sentenza vincolante della Corte di giustizia europea nel caso “Schrems II” in cui la CGUE ha pronunciato severi limiti ai trasferimenti di dati transfrontalieri.

Rimane inoltre sempre valida l’attrattiva degli accordi di partenariato digitale con paesi terzi su questioni come la cooperazione per la sicurezza informatica: una posizione politica che sembrerebbe “non dispiacere” alle mire del Regno Unito, al momento impegnato in valutazioni di convenienza sul fatto che il beneficio della divergenza normativa possa valere il costo (ingente) della perdita della Decisione di Adeguatezza dell’UE.

USA: i negoziati tra il presidente Biden e la presidente della Commissione Ue von der Leyen

Proseguono, al momento senza esiti formali di rilevanza particolare, i negoziati tra UE e USA, che vedono impegnati la Commissione europea e il dipartimento del Commercio americano, dopo che la Corte dell’UE ha annullato per la seconda volta il patto per il trasferimento dei dati transatlantico; mentre allo stesso tempo aumentano le azioni di contrasto degli stati membri contro i trasferimenti di dati negli Stati Uniti sulla scia di Schrems II. Tanto è avvenuto per conto del Portogallo che a giugno ha ordinato all’Istituto nazionale di statistica di interrompere tutti i trasferimenti di dati a un fornitore di servizi situato negli Stati Uniti. A maggio, anche il Garante europeo della protezione dei dati ha avviato due indagini sulla legalità delle pratiche condotte dalle agenzie dell’UE che continuano ad utilizzare i servizi cloud e software statunitensi. Dichiara infatti Wojciech Wiewiórowski, Garante europeo della protezione dei dati: “A seguito dell’esito dell’esercizio di rendicontazione da parte delle istituzioni e degli organi dell’UE, abbiamo individuato alcuni tipi di contratti che richiedono particolare attenzione ed è per questo che abbiamo deciso di avviare queste due indagini. Sono a conoscenza che i “contratti Cloud II” sono stati firmati all’inizio del 2020 prima della sentenza “Schrems II” e che sia Amazon che Microsoft hanno annunciato nuove misure con l’obiettivo di allinearsi alla sentenza. Tuttavia, queste misure annunciate potrebbero non essere sufficienti per garantire il pieno rispetto del diritto dell’UE sulla protezione dei dati e quindi la necessità di indagare adeguatamente”. E ad agosto, il supervisore della privacy di Amburgo ha ingiunto ad un’agenzia statale di astenersi dall’utilizzo della piattaforma di videoconferenza Zoom, nominando al contempo un provider cloud locale come alternativa per la legalità dei trattamenti.

Ad ogni modo crescono anche le aspettative dell’Europa nei confronti dell’amministrazione Biden e soprattutto sugli sviluppi che potrebbero derivare dal Consiglio Ue-Usa per il commercio e la tecnologia annunciato in occasione del summit di metà giugno a Bruxelles: il 29 settembre a Pittsburgh, in Pennsylvania, si terrà l’incontro inaugurale. Da lì in poi sarà più chiaro se e come si renderà possibile risolvere il fronte aperto dei trasferimenti transatlantici dei dati e, dunque, se investire nell’iniziativa Build Back Better World, lanciata da Joe Biden nel corso del G7, pensata come risposta occidentale alla Via della Seta inaugurata nel 2013 dal presidente cinese Xi Jinping. Non ultimo sarà cruciale l’approccio con il quale verrà affrontato il nodo critico rappresentato dall’Afghanistan.

“Questa riunione inaugurale del Consiglio per il commercio e la tecnologia (TTC) USA-UE segna il nostro impegno congiunto per espandere e approfondire il commercio e gli investimenti transatlantici e per aggiornare le regole per l’economia del XXI secolo. Basandoci sui nostri valori democratici condivisi e sulla più grande relazione economica del mondo, abbiamo lavorato duramente dal Vertice per identificare le aree in cui possiamo adottare misure concrete per garantire che le politiche commerciali e tecnologiche siano efficaci per il nostro popolo. In collaborazione con il TTC, sia l’UE che gli Stati Uniti sono impegnati e attendono con impazienza un impegno solido e continuo con un’ampia gamma di parti interessate per garantire che i risultati di questa cooperazione sostengano una crescita su vasta scala in entrambe le economie e siano coerenti con i nostri valori condivisi.” Dichiarano i co-presidenti del TTC.

Conclusioni

La data protection sta rappresentando il presupposto di legittimità cardine per l’innovazione digitale e lo sviluppo economico degli Stati.

Ed è in tal senso interessante, a conclusione di questa analisi che non può che essere preliminare e destinata ad essere integrata, maturare una riflessione sugli effetti dell’operato della CGUE e del ruolo politico e costituzionale dallo stesso assunto, per molti aspetti paragonabile a quello riservato ad una Corte Costituzionale paneuropea.

Con la decisione C-311/18 la Corte ha, infatti, reso evidente, ancora una volta, “un judicial activism human rights-oriented” di primissimo piano e determinante per la tutela del diritto fondamentale alla protezione dei dati personali, attribuendo all’effettiva esternazione della stessa una veste addirittura “universale”.

Dopo le rivelazioni del 2013 di Edward Snowden sulla sorveglianza statunitense, e dopo la sentenza Schrems I che nel 2015 comportò la “semplice” sostituzione del Safe Harbor con il Privacy Shield, la recente decisione Schrems II del luglio 2020 (causa C-311/18) – con la quale la Corte di giustizia dell’Unione europea (CGUE) ha sancito come la Commissione europea avesse commesso un grave errore ritenendo “adeguate” le salvaguardie statunitensi in materia di sorveglianza della sicurezza nazionale e, in modo particolare, ha evidenziato come il governo degli Stati Uniti non disponesse ancora di una chiara previsione dei necessari mezzi di ricorso a garanzia delle azioni individuali in difesa dei diritti degli interessati europei e non fossero mai riusciti a soddisfare il requisito di “stretta necessità e proporzionalità” delle relative pratiche di sorveglianza governativa basate incentrate sui due provvedimenti “702 del Foreign Intelligence Surveillance Act (FISA) e l’ordine esecutivo 12333” – costituisce a livello globale uno degli elementi di rilevanza strategica e politica maggiori, stante la portata urgente e pervasiva che contraddistingue il suddetto provvedimento, per il futuro dei commerci internazionali, delle innovazioni tecnologiche e dei modelli di business di innumerevoli aziende, oltre che una pietra miliare del diritto alla protezione dei dati personali.

Ciò, poiché oltre all’invalidazione immediata del Privacy Shield, la CGUE ha inteso mettere in discussione la validità dei trasferimenti posti in essere con le standard contractual clauses (“SCC”) e con le binding corporate rules (“BCR”) così come mediante altre salvaguardie previste dall’art. 46 del GDPR: se da una parte la Corte ha evidenziato come, almeno in teoria, particolari salvaguardie “appropriate” potrebbero compensare i deficit sostanziali e istituzionali in un regime di sorveglianza, salvi gli effetti e le deroghe previste dall’art. 49[1] del Regolamento europeo sulla protezione dei dati – GDPR, dall’altra ha affermato come le società dovranno necessariamente verificare, sempre e caso per caso, se la legge del paese destinatario consenta un’adeguata protezione, ai sensi del diritto dell’UE e, in caso contrario, fornire ulteriori garanzie – supplementary measures– che garantiscano un livello di protezione adeguato – almeno equivalente a quello dell’Unione – dei diritti e delle libertà delle persone fisiche i cui dati sono trasferiti fuori dallo Spazio Economico Europeo.

E come noto, in merito alle “supplementary measures” l’EDPB ha già da tempo fornito, ancor prima che si addivenisse alla nuova versione delle SCC, alcune raccomandazioni operative di carattere assolutistico- Raccomandazioni 01/2020 relative alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE – tra cui la cosiddetta TIA (Transfer Impact Assessment), l’analisi di adeguatezza tesa a valutare il livello di protezione del Paese terzo di destinazione e la necessità di adottare ulteriori e specifiche misure legali, organizzative e tecniche, salva la possibilità di avvalersi delle deroghe al divieto di trasferimento ex art. 49 GDPR.

Non si è trattato, dunque, di una -seppur significativa- interpretazione giurisprudenziale dei meccanismi di protezione dei dati personali nell’ordinamento comunitario, bensì di una decisiva spinta operata per via giurisdizionale dalla CGUE in qualità di “judge made law”.

E non sono da meno, per gli stati dell’Eurolandia, specie in attesa che si concluda la saga che dovrebbe condurre all’introduzione della revisione di “ePrivacy”, le due successive sentenze del 6 ottobre 2020 note come Privacy International e LQDN – La Quadrature du Net[2], con le quali, sempre la CGUE, nuovamente in veste di “guardiano” della tutela dei diritti fondamentali, ha respinto la tesi patrocinata da alcuni Stati membri (nove stati, tra cui il Regno Unito all’epoca ancora membro dell’UE e la Francia) fondata sul presupposto dell’applicazione dell’ “eccezione di sicurezza nazionale generale” espressa nell’articolo 4, paragrafo 2, del Trattato sull’Unione europea, secondo cui “la sicurezza nazionale rimane di esclusiva responsabilità di ciascuno Stato membro”, oltre che suffragata – a loro dire – dal contenuto prescrittivo dell’ articolo 1(3) della Direttiva del 2002 sulla privacy e le comunicazioni elettroniche (direttiva ePrivacy), laddove la stessa dispone: “la presente direttiva non si applica alle attività concernenti la sicurezza pubblica, la difesa, la sicurezza dello Stato (compreso il benessere economico dello Stato quando le attività riguardano questioni di sicurezza dello Stato) e le attività dello Stato nei settori della criminalità legge”.

La Corte si è opposta alla raccolta massiccia di dati sulle connessioni Internet e telefoniche da parte degli Stati ed ha avuto modo di chiarire come qualora il singolo Stato intenda perseguire scopi di sicurezza nazionale non in via diretta, servendosi delle proprie infrastrutture, bensì imponendo specifici obblighi ai servizi di comunicazione elettronica sulla raccolta, conservazione e trasferimento dei dati, allora agli stessi dovranno necessariamente applicarsi le stesse limitazioni del diritto dell’UE che il tribunale ha invocato in relazione agli Stati Uniti in Schrems II. E tanto è risultato coerente anche con gli standard previsti dalla Convenzione europea dei diritti dell’uomo – CEDU, nei confronti dei quali la giurisprudenza della CGUE sulla sorveglianza si pone su un piano addirittura più restrittivo ed esigente nei confronti dei governi.

A questo punto dovrebbe essere chiaro come la complessità si ponga alla base dell’effettiva tutela dei diritti e delle libertà fondamentali nel XXI secolo e come coordinamento, collaborazione e cooperazione siano essenziali per far funzionare qualsiasi società. E, certo, la complessità è una cosa seria. Spesso da gestire con sistemi a loro volta complessi.

Una cosa intanto è certa, il ruolo e le incombenze dei titolari del trattamento e, più in generale degli intermediari digitali e delle grandi piattaforme web, nel nuovo scenario normativo relativo al trasferimento di dati verso paesi terzi, rappresentano un fattore cruciale determinante i cui sviluppi, benché ancora instabili poiché esposti alle influenze esterne ed interne tanto della giurisprudenza delle supreme corti e ai quadri regolatori vigenti e preannunciati, quanto agli interessi di parte, lasciano intuire comunque una tendenza verso un aumento di potere e di responsabilità dei poteri privati.

Se da tanto deriverà una maggiore effettività della portata extraterritoriale della disciplina europea preposta alla tutela della privacy digitale, rimane tutto da dimostrare.

Per ora la posizione degli individui-utenti appare assai debole.

Note

  1. L’art. 49 del GDPR prevede delle specifiche deroghe, ovvero eccezioni al principio generale secondo cui i dati personali possono essere trasferiti verso paesi terzi soltanto in presenza di adeguate garanzie nel paese terzo. Tali circostanze vanno interpretate in maniera restrittiva rispetto alla regola generale. Nello specifico: in mancanza di una decisione di adeguatezza ai sensi dell’articolo 45, paragrafo 3, o di garanzie adeguate ai sensi dell’articolo 46, comprese le norme vincolanti d’impresa, è ammesso il trasferimento o un complesso di trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale soltanto al verificarsi di determinate condizioni elencate nelle lettera da a) a g) dell’art 49.1. GDPR (consenso, contratto, interesse pubblico, difesa in giudizio, interesse vitale, registro pubblico, cogente interesse legittimo del titolare) E’ sufficiente che si verifichi anche una sola delle condizioni elencate per poter valutare l’applicazione del regime di deroga. Un’analisi dettagliata dei presupposti di applicazione di tali deroghe è contenuta nel documento del Comitato europeo per la protezione dei dati che segue e al quale si rinvia. Linee guida 2/2018 sulle deroghe di cui all’articolo 49 del Regolamento 2016/679, del 25 maggio 2018.
  2. La Corte di giustizia dell’Unione europea (CGUE) ha stabilito che il diritto dell’UE osta a una normativa nazionale che imponga ai fornitori di servizi di comunicazione elettronica di effettuare la trasmissione generale e indiscriminata di dati relativi al traffico e all’ubicazione alle agenzie di sicurezza e di intelligence allo scopo di salvaguardare la sicurezza nazionale. Nelle domande congiunte del Regno Unito, della Francia e del Belgio, la CGUE ha cercato di determinare la legittimità della normativa nazionale che prevedeva l’obbligo per i fornitori di servizi di comunicazione elettronica di trasmettere i dati sul traffico degli utenti e i dati sull’ubicazione a un’autorità pubblica, o di conservare tali dati in modo generale o indiscriminato per motivi di prevenzione della criminalità e di sicurezza nazionale. La Corte ha ritenuto che tale obbligo non solo interferisse con la tutela della vita privata e dei dati personali, ma era anche incompatibile con il principio della libertà di espressione sancito dall’articolo 11 della Carta dell’UE. La Corte, tuttavia, ha stabilito che, qualora tale trattenuta sia giustificata nei casi in cui vi sia una grave minaccia per la sicurezza nazionale o pubblica, la natura della misura deve essere «strettamente» proporzionata allo scopo perseguito. Inoltre, la Corte ha anche chiarito la portata dei poteri conferiti agli Stati membri dal la natura della misura deve essere «strettamente» proporzionata alla sua finalità. Inoltre, la Corte ha anche chiarito la portata dei poteri conferiti agli Stati membri dal la natura della misura deve essere «strettamente» proporzionata alla sua finalità. Inoltre, la Corte ha anche chiarito la portata dei poteri conferiti agli Stati membri dalDirettiva sulla privacy e sulle comunicazioni elettroniche in materia di conservazione dei dati per le finalità di cui sopra. Per un approfondimento si veda https://globalfreedomofexpression.columbia.edu/cases/the-cases-of-privacy-international-la-quadrature-du-net-and-others/ da cui è tratto il riassunto in nota.
WHITEPAPER
Suggerimenti e strumenti pratica per difendersi dagli attacchi informatici.
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 4