Sentenza Schrems II, le big tech fanno finta di niente | Agenda Digitale

privacy Europa-USA

Sentenza Schrems II, le big tech fanno finta di niente

Google e le altre Big non sembrano aver compreso che le conseguenze della sentanza Shrems II non possono essere meramente burocratiche. Non basta sostituire nell’informativa il termine Privacy Shield con Clausole Contrattuali Standard. La Corte vuole una valutazione e delle garanzie concrete. Ecco cosa dovrebbe cambiare

10 Set 2020
Diego Dimalta

Studio Legale Dimalta e Associati


Sono passati quasi due mesi dalla pubblicazione della sentenza Schrems II, ma che cosa è cambiato realmente per le Big Tech? Praticamente nulla.

Verrebbe quasi da dire che, sintetizzando, è stato semplicemente sostituito, nelle informative privacy di Google come di altri colossi del digitale il riferimento al Privacy Shield con il riferimento alle Clausole Contrattuali Standard. Ma è davvero così semplice superare i dubbi di legittimità evidenziati dalla Corte di Giustizia dell’Unione Europea?

La risposta è evidentemente negativa, ciononostante non possiamo che prendere atto dello stato di fatto.

Google, ad esempio, ha inviato a numerosi utenti un messaggio in cui si informava che, pur venendo meno il Privacy Shield, il trasferimento dati da UE ad USA poteva ritenersi legittimo in quanto “coperto” dalle SCC.

Le garanzie supplementari oltre le Clausole Contrattuali Standard

La verità però è che le Clausole Contrattuali Standard, secondo quanto affermato dalla Corte, in contesti come quello statunitense non sono (di per sé) sufficienti a garantire la tutela dei diritti degli interessati, rendendosi quindi necessaria l’adozione di “garanzie supplementari” ad hoc, utili al fine di colmare il gap normativo che, ad esempio, in USA consente a talune condizioni l’accesso ai dati da parte dell’autorità.

Ed in effetti, in base all’articolo 46, paragrafo 2, lettera c), del GDPR, incombe sul titolare del trattamento o sul responsabile del trattamento l’obbligo di verificare, caso per caso, e, eventualmente, in collaborazione con il destinatario del trasferimento, che il diritto del paese terzo di destinazione garantisca una protezione adeguata, alla luce del diritto dell’Unione, dei dati personali trasferiti sulla base di clausole tipo di protezione dei dati fornendo, se necessario, garanzie supplementari rispetto a quelle offerte da tali clausole.

Ad oggi, per l’utente, non è possibile sapere se Google abbia effettivamente adottato queste “garanzie supplementari” in quanto, ciò non viene espressamente precisato. Come ci si dovrebbe comportare allora? La domanda è più che pertinente e la risposta non può che essere garantista: in mancanza di certezze sull’esistenza di garanzie supplementari è da ritenere che i trasferimenti fuori dall’UE non siano sicuri.

Google quindi, come anche le altre corporation del web, dovrebbe affrettarsi a comunicare non solo l’adozione delle Clausole Contrattuali Standard, ma anche delle “garanzie ulteriori” adottate per implementare il livello di sicurezza e per bilanciare i diritti degli utenti europei con i poteri delle autorità USA.

Non solo, è altresì auspicabile che Google effettui una rapida revisione di tutta la politica privacy, ad oggi, onestamente, troppo frammentata oltreché in alcuni casi aggiornata al 31 marzo 2020, motivo per cui, partendo da Privacy G Suite e cliccando sul footer alla parola privacy, entriamo in un portale in cui, tra l’altro leggiamo:

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal

“Trasferimenti di dati: gestiamo server in tutto il mondo e le tue informazioni potrebbero essere elaborate su server situati al di fuori del paese in cui vivi. Le leggi in materia di protezione dei dati personali variano da paese a paese e alcune prevedono più protezione di altre. Indipendentemente da dove sono elaborate le tue informazioni, noi applichiamo le stesse protezioni descritte nelle presenti norme. Inoltre, rispettiamo alcuni quadri giuridici relativi al trasferimento dei dati, inclusi l’EU-U.S. Privacy Shield (scudo UE-USA per la privacy) e lo Swiss-U.S. Privacy Shield (scudo Svizzera-USA per la privacy)”.

L’utente medio non può che essere indotto in confusione in quanto, nelle comunicazioni pervenute via mail, legge che Google invia i dati in USA servendosi delle SCC (senza specificare le “garanzie ulteriori”) e poi, sul sito, legge che i trasferimenti sono coperti dal Privacy Shield. È evidente che Google sta ancora aggiornando le sue informative, ma per una simile società, una sentenza come quella citata, non può che mettere in moto una azione di review che si deve concludere in poco tempo e che deve necessariamente partire dai prodotti di punta, G Suite in primis!

I 101 reclami di NOYB

Le criticità qui evidenziate hanno portato NOYB (None of your business – European Center for Digital Rights) a presentare 101 reclami relativamente ad altrettante società europee che continuano ad inviare i dati dei visitatori dei propri siti verso Google e Facebook, nonostante, a detta loro, entrambe ancora oggi non siano in compliance con Schrems II.

In particolare, NOYB ha evidenziato che dall’analisi del codice HTML dei maggiori siti europei, un mese dopo la decisione, molte aziende continuano ad utilizzare Google e Facebook Connect per trasferire dati, senza disporre di una base legale in quanto Google, come visto più sopra, sul proprio sito dichiara ancora di basarsi sul Privacy Shield mentre Facebook continua ad utilizzare le Standard Contractual Clauses, nonostante la Corte di Giustizia abbia indicato che le leggi di sorveglianza americane non sono in grado di garantire la tutela dei diritti di riservatezza previsti dalla normativa europea.

Naturalmente, la mera presentazione di un reclamo non comporta necessariamente ed in automatico la colpevolezza delle citate società, tuttavia il fatto che i medesimi problemi da me sopra evidenziati siano stati notati anche da altri è di certo un indice che qualcosa deve cambiare e lo deve fare in fretta.

In conclusione, a parere di chi scrive, è necessario che Google e le altre Big Tech, capiscano che le conseguenze di Shrems II non possono essere meramente burocratiche. Non è sufficiente, come dicevamo, sostituire nell’informativa il termine Privacy Shield con Clausole Contrattuali Standard. La Corte vuole una valutazione e delle garanzie concrete. Queste big, peraltro, hanno sulle spalle la responsabilità di numerose aziende che, a loro volta, in mancanza di corretto adeguamento della Big di turno, risulteranno non compliant. Urge quindi una presa di coscienza del proprio ruolo e dei reali obiettivi perseguiti dalla Corte.

In mancanza di questa presa di coscienza, gli scenari sono due:

  • l’UE continuerà a sanzionare le Big (ma questo, onestamente, non sembra spaventarle molto);
  • i cittadini e gli imprenditori europei potranno iniziare a fare, anche solo parzialmente, a meno dei servizi di Google, preferendo soluzioni “made in EU” e questo, onestamente, credo che potrebbe essere l’unico vero spauracchio per le Big.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4