il quadro

Data transfer Ue-Usa: i Big Tech passano alle Clausole Contrattuali Standard

Google, Facebook, Microsoft e altri big del web stanno utilizzando le clausole contrattuali standard per “legalizzare” il trasferimento dei dati personali Ue-Usa dopo l’annullamento del Privacy Shield. Ecco come stanno agendo

02 Ott 2020
Monia Donateo

Polimeni.Legal

Angela Lo Giudice

Avvocato, Polimeni.Legal


Entra in gioco un’altra base giuridica la quale, in assenza del Privacy Shield, sembrerebbe comunque “legalizzare” il trasferimento dei dati personali dall’Europa agli Stati Uniti: sono le cosiddette Clausole contrattuali standard (SCCs).

Tutto questo quando sono passati poco più di due mesi da quando la Corte di Giustizia europea ha emesso la sentenza “Schrems II”, con la quale ha definitivamente annullato il Privacy Shield, rendendo così illegittimo e illegale il data transfer fino ad allora attuato tra il nostro continente e quello americano.

Ma prima di addentrarci nell’analisi di questo nuovo fondamento giuridico che permetterebbe il data transfer EU-USA, vediamo concretamente come stanno agendo le Big Tech.

Da una nostra verifica di tutti i termini di servizio e DPA, si evince chiaramente che le grandi società statunitensi ripetono come un mantra che stanno valutando la situazione e assicurando che i dati degli utenti siano protetti sulla base delle SCCs. Ciò non cambia il fatto che le leggi sulla sorveglianza degli Stati Uniti danno ad autorità come la NSA il diritto di accedere a grandi quantità di dati che vengono trasferiti negli Stati Uniti.

Google e le clausole contrattuali standard

Nella sua informativa sugli international transfers, Google si dichiara impegnata ad “avere un fondamento legale per il trasferimento dei dati in conformità con le leggi vigenti in materia di protezione dei dati” e precisa che, sebbene la Corte di Giustizia EU abbia annullato il Privacy Shield “Google si baserà sulle clausole contrattuali standard per i trasferimenti di dati pertinenti che, secondo quanto stabilito dalla sentenza, possono continuare ad essere un meccanismo legale valido per trasferire i dati ai sensi del GDPR”.

La dichiarazione di intenti di Google non fa una piega, ma i legittimi dubbi permangono ed è per questo che Google aggiunge anche “Forniremo ulteriori informazioni in merito a questi aggiornamenti (incluse le tempistiche di implementazione) appena possibile. Le clausole contrattuali standard vengono già offerte come strumenti giuridici validi per il trasferimento dei dati da Google Cloud…Continueremo inoltre a monitorare l’evoluzione dei sistemi per il trasferimento di dati a livello internazionale ai sensi del regolamento GDPR e ci impegniamo a effettuare i trasferimenti di dati in modo lecito ai sensi delle leggi vigenti in materia di protezione dei dati”.

Facebook e le clausole contrattuali standard

Nella sezione privacy/explanation, Facebook fornisce un rimando alle decisione di adeguatezza della Commissione Europea per il trasferimento dei dati all’interno dei suoi servizi global.

Facebook ci avverte poi che, essendo parte di un’organizzazione globale, opera sia all’interno che all’esterno dello Spazio economico europeo (“EAA”) e di volta in volta può decidere di trasferire i dati dell’utente al di fuori dell’UE ove, però, gli standard legali di protezione dei dati possono essere differenti. Ebbene, ci avvisa poi che quando ciò avviene, come il caso del data transfer in USA, utilizza le clausole contrattuali standard approvate dalla Commissione europea al fine di garantire che il data protection abbia livelli equivalenti a quelli richiesti dall’Europa.

Facebook non ci mostra, però, quali sono le clausole stipulate con le entità che elaborano i dati, se non dietro esplicita richiesta dell’utente di ottenere una loro copia, con esclusione di alcune informazioni commerciali che Facebook tiene oscurate.

La richiesta va inoltrata qui.

L’attenzione sulla legittimità della nuova base giuridica del trasferimento dati negli Stati Uniti è tutta sulla presunta “necessità” di esternalizzare l’elaborazione negli Stati Uniti in base al contratto con gli utenti.

Lo scorso 31 agosto, la Commissione Irlandese per la protezione dei dati ha annunciato che avvierà un’indagine strettamente limitata all’uso delle SCCs da parte di Facebook ai sensi dell’articolo 46, paragrafo 1, del GDPR. Tuttavia, Facebook ha già dichiarato che, anche se la Commissione si pronuncerà contro l’utilizzo delle SCCs, sarà irrilevante, in quanto il trasferimento di dati si basa invece sull’articolo 49 del GDPR.

Il caso verrà comunque deciso a novembre e Facebook, per ora, non ha sospeso il data transfer.

Facebook contesta decisamente la mossa del DPC ritenendola prematura e lesiva del mercato a causa del potenziale impatto che tale misura potrebbe avere sull’economia europea, poiché le SCCs sono utilizzate anche da altri Big Tech, nonché da banche, compagnie aeree e molte piccole imprese. Per giungere ad una soluzione definitiva più sicura e conforme ai livelli di sicurezza richiesti, Facebook esorta le autorità a pensare ad un approccio più pragmatico e meno ostativo di quello attuale che paralizzerebbe l’intero business.

Microsoft

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

Microsoft è tra le prime Big ad aver immediatamente tranquillizzato i propri Business Users a seguito della famosa sentenza della Corte di giustizia sul Privacy Shield, mettendo in chiaro – dal suo punto di vista, certo – la conformità dei servizi Microsoft con la legge europea e la legittimità dell’attuale trasferimento dei dati tra l’UE e gli Stati Uniti tramite il cloud Microsoft proprio perché, già da anni, forniva ai clienti protezioni sia in base alle clausole contrattuali standard (SCCs) – le sole oggi valide – che al vecchio Privacy Shield.

Oltre quelli considerati, quasi tutti i maggiori player, tra cui Mailchimp (si veda l’allegato C, appendice 3 sulle SCCs) si avvalgono della nuova base giuridica – analizzata dettagliatamente di seguito – per sopperire al vuoto lasciato dal Privacy Shield. Infatti, è sì vero che la protezione dei dati e la tutela dei diritti degli interessati deve sempre avere la priorità sul piatto della bilancia, ma è pur vero che è lo stesso GDPR a considerare e riconoscere gli scambi di dati con paesi e organizzazioni extra UE. D’altronde è inevitabile che un’alternativa (anche se ve ne sono altre che richiedono più effort) sarebbe presto arrivata. L’espansione del commercio internazionale e della cooperazione internazionale non può certo arrestarsi.

Le altre basi che legittimano il trasferimento dei dati extra Ue

Ma perché era così importante il Privacy Shield, quali sono le altre basi che legittimano il trasferimento dei dati extra UE e perché tutti i “big” si stanno orientando verso le clausole contrattuali standard?

Partendo come sempre dal dato normativo, occorre chiarire esistono diverse basi giuridiche che consentono il trasferimento dei dati all’estero e che non sono esattamente alternative tra loro perché il regolamento europeo, tra tutte, ne predilige una: la decisione di adeguatezza.

Il legislatore comunitario, nell’introdurre il capo V del regolamento europeo, rubricato “Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali” sancisce il primato delle decisioni di adeguatezza sulle restanti modalità.

L’articolo 45, infatti, impone che i trasferimenti verso paesi terzi possono avvenire solo se la Commissione Europea ne ha deciso che il livello di protezione offerto da quel paese sia, appunto, adeguato.

Ed ecco che entra in campo il Privacy Shield che altro non è che la decisione di adeguatezza stilata per i trasferimenti in USA ed è per questo che era così importante: le società che aderivano a questo scudo erano, perciò soltanto, legittimate ad importare i dati.

Dopo la sentenza Schrems, pertanto, le società americane devono necessariamente fare ricorso a uno degli altri strumenti, insomma, scendere di un gradino.

Quali sono gli altri strumenti?

L’articolo 46 ci informa che in assenza di una decisione di adeguatezza, i trasferimenti extra UE sono consentiti se il titolare o il responsabile del trattamento forniscono garanzie adeguate che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati.

Ma quali sono le garanzie adeguate?

L’articolo 46 del regolamento europeo ci dice che esistono due categorie di garanzie adeguate, le prime delle quali non necessitano di autorizzazione preventiva da parte del garante.

Nello specifico, rientrano nella prima categoria:

  • gli strumenti giuridici vincolanti ed esecutivi tra soggetti pubblici;
  • le norme vincolanti d’impresa;
  • le clausole contrattuali tipo;
  • i codici di condotta;
  • i meccanismi di certificazione.

Nella seconda categoria, invece, troviamo:

  • le clausole contrattuali ad hoc;
  • gli accordi amministrativi tra autorità o organismi pubblici.

Cosa sono le clausole contrattuali standard

Ecco che siamo arrivati alle clausole contrattuali standard. Cosa cono?

Le Clausole contrattuali standard (SCCs) sono adottate o dalla Commissione o da un’autorità di controllo e, come specificato dal considerando 109, possono essere inserite all’interno di un contatto più ampio e, soprattutto, possono essere utilizzate non solo per regolare i rapporti tra titolare e responsabile ma anche tra responsabile e responsabile. L’unica accortezza è che queste clausole non possono essere modificate e devono essere sottoscritte dalle parti; nulla vieta, comunque, che a queste clausole standard ne vengano aggiunte altre purché non entrino in contraddizione con le prime.

La Corte di Giustizia Europea ha affermato che saranno valide solo laddove il più ampio panorama giuridico del paese in cui i dati devono essere esportati non prevalga sulle prescrizioni contenute nelle SCCs e sui diritti e le tutele garantiti dalla Carta dei Diritti fondamentali. Un utilizzo conforme degli SCCs può richiedere pertanto un effort ulteriore, quello di attuare le necessarie garanzie aggiuntive, pena l’illegittimità del trasferimento che non potrà altrimenti avvenire, con conseguente restituzione o cancellazione dei dati sino ad allora trasferiti.

In particolare, la CGUE ha chiarito che le SCCs non possono essere utilizzate se il destinatario negli Stati Uniti è soggetto alle leggi di sorveglianza statunitensi (come FISA 702 che consente alle agenzie di sicurezza statunitensi di accedere ai dati personali in alcuni casi senza un ordine del tribunale, ed ha la precedenza sulle società di telecomunicazioni).

Le autorità per la protezione dei dati possono imporre multe fino a 20 milioni di euro o il 4% del fatturato annuo per una violazione delle norme GDPR sul trasferimento dei dati. Ciò si aggiunge alle possibili richieste di risarcimento danni da parte degli utenti interessati.

Finora la Commissione ha adottato due decisioni:

  • la 2010/87/CE menzionata nella ormai famosissima sentenza Schrems II e che è l’unica che autorizza i trasferimenti da titolare a responsabile;
  • la 2001/497/CE e la decisione 2004/915/CE che invece autorizzano i trasferimenti tra titolari.

In Italia, inoltre, il Garante ha emanato due successive autorizzazioni per consentire i trasferimenti verso i paesi terzi tramite le clausole contrattuali standard: la prima doc.web 1728496 in caso di importatore stabilito in paese terzo; la seconda dec. web. 2191156 in caso di importatore stabilito in paesi extra UE.

All’ultimo posto e quindi in assenza di ogni altro presupposto, è possibile trasferire i dati personali sulla base dell’articolo 49 che prevede deroghe in specifiche situazioni:

  • consenso dell’interessato;
  • esecuzione di un contratto o di di misure precontrattuali svolte su richiesta dell’interessato oppure a suo favore;
  • motivi di interesse pubblico;
  • accertare, esercitare o difendere un diritto in sede giudiziaria;
  • tutelare gli interessi vitali dell’interessato o di altre persone qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
  • il trasferimento sia effettuato a partire da un registro che, a norma del diritto dell’Unione o degli Stati membri, mira a fornire informazioni al pubblico e può essere consultato tanto dal pubblico in generale quanto da chiunque sia in grado di dimostrare un legittimo interesse, solo a condizione che sussistano i requisiti per la consultazione previsti dal diritto dell’Unione o degli Stati membri.

Perché fare ricorso alle clausola contrattuali standard

Sono di veloce applicazione perché sono già state predisposte, possono essere inserite all’interno del contratto principale, non richiedono la preventiva autorizzazione dell’Autorità competente e ne è stata sancita l’ultrattività rispetto alla direttiva 95/46/CE.

Se infatti prendiamo in considerazione le altre garanzie “adeguate” che non richiedono la previa autorizzazione del garante, ci rendiamo conto che tutte impongono un effort maggiore da parte del titolare del trattamento.

Tutte tranne una che, a quanto pare è proprio quella che Facebook si sta indirizzando ad utilizzare. Come detto a inizio dell’articolo, infatti, se la Commissione Irlandese per la protezione dei dati di pronuncerà contro le SCCs, la decisione non fermerà i trasferimenti in USA basati sull’articolo 49 che ricalcano le condizioni di liceità del trattamento ai sensi dell’articolo 13 e che sono, certamente, di immediato utilizzo.

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

@RIPRODUZIONE RISERVATA

Articolo 1 di 4