il commento di Pizzetti

Trasferimento dati all’estero, come garantirlo senza violare il Gdpr: nodi e possibili soluzioni

Una parte prevalente dell’economia digitale europea poggia sui trasferimenti dati da operatori UE a operatori o fornitori di servizi con sede in USA. A seguito della sentenza Schrems II si è posto il tema di come considerare compatibili col GDPR questi trasferimenti. La via da praticare è il richiamo alle regole derogatorie

30 Nov 2021
Franco Pizzetti

professore emerito diritto costituzionale all'Università di Torino, ex Garante Privacy

Schrems-II-blog

Il trasferimento dei dati fuori dal territorio europeo è sottoposto a regole molto stringenti fin dalla Direttiva 95/46.

Il tema è sempre stato considerato, giustamente, come legato alla tutela dei dati personali vista come diritto fondamentale del cittadino europeo che, soprattutto dopo la approvazione della Carta di Nizza e il suo inserimento con forza di Trattato nel Trattato di Lisbona è diventato un aspetto essenziale della stessa UE come comunità fondata sul mercato unico e su valori fondamentali comuni.

Fin dalla Direttiva 95/46 tale trasferimento è stato considerato per principio vietato salvo che anche nel contesto giuridico esterno alla UE nel quale i dati sono trasferiti essi siano protetti da norme e garanzie simili a quelle previste nell’ambito UE.

Trasferimento dati extra UE, cosa sta succedendo dopo Schrems II

In questo senso la disciplina del trasferimento dei dati all’estero è sempre stata considerata una disciplina strettamente legata al principio fondamentale della libera circolazione dei dati nel territorio UE, al consolidamento del quale la normativa europea a tutela dei dati stessi era dedicata.

In sostanza, e per essere il più chiari possibile, la catena concettuale è sempre stata questa: a) la UE è uno spazio economico europeo comune finalizzato allo sviluppo comune dei Paesi che ne fanno parte; b) la libera circolazione dei dati, come la libera circolazione delle merci e delle persone, è un principio fondamentale dell’Unione che completa le libertà sulle quali essa si fonda; c) proprio per questa fondamentale valenza della libertà di circolazione dei dati nel territorio dell’Unione (di recente più volte sottolineata dalla Presidente Ursula von der Leyen) è fondamentale assicurare la loro condivisione (obiettivo non ancora pienamente raggiunto e al quale è dedicato anche il pacchetto di nuove regole noto come Digital Act); d) non meno fondamentale però è garantire anche che la libertà di circolazione dei dati, in particolare di quelli personali come definiti e tutelati dalla Carta di Nizza, possano “circolare” in tutta l’Unione accompagnato dalla vigenza di regole di tutela identiche in tutto il territorio dell’UE.

Per questo, e in questo quadro, si decise a suo tempo, proprio dopo la proclamazione della Carta di Nizza e del successivo Trattato di Lisbona, di andare oltre la Direttiva 95/46, che per sua natura implicava l’adozione da parte degli Stati membri di leggi nazionali proprie, anche se vincolate al rispetto dei principi affermati nella Direttiva e fondate sul principio del mutuo riconoscimento, per approdare i invece al Regolamento europeo, fonte, come è noto, direttamente applicabile in tutto il territorio dell’Unione.

Di qui l’adozione del Regolamento europeo 2016/679 noto come GDPR e la successiva adozione del Regolamento europeo sui dati non personali.

Di qui anche la rinnovata centralità che pure nel GDPR hanno le disposizioni relative al trasferimento dei dati “verso Paesi terzi o organizzazioni internazionali” raccolte nel Capo V del GDPR e aperte dall’art. 44 il cui ultimo periodo afferma, non a caso, che “tutte le disposizioni del presente capo sono applicabili al fine di assicurare che il livello di protezione delle persone fisiche garantito dal presente regolamento non sia pregiudicato”.

L’ingresso dei privati nell’economia dei dati

È importante tenere conto, peraltro, che l’evoluzione dell’economia dei dati, ispirata al “Washingotn consensus”, per usare l’espressione coniata da Williamson nel 1989, ha fatto sempre più spazio all’intervento dei privati. Proprio questa spinta ha costituito anche la base della cospicua legislazione promossa nei primi anni Novanta dal Presidente Clinton e dal Vicepresidente Al Gore per passare dall’epoca del digital divide a quella della digital opportunity e che ha avuto il suo pilastro nell’apertura della rete Internet agli usi commerciali favorendo così lo sviluppo dell’economia basata sulla Silicon Valley e su quelli che presto sarebbero diventati gli Over the Top USA.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

Proprio questa evoluzione, basata essenzialmente sull’apertura della rete all’uso commerciale e allo sviluppo dell’economia digitale, ha reso ancora più centrale il tema del trasferimento dei dati dalla UE ai territori extra UE e extra SEE.

Infatti, è proprio con l’epoca Clinton che si sviluppano i fondamenti normativi e le regole finalizzate allo sviluppo dell’economia digitale che, a sua volta, costituiscono il secondo grande elemento di innovazione che spinge la UE ad adottare il GDPR.

Proprio in questo quadro, tuttavia, diventa sempre più importante la tutela dei dati personali negli ambiti extra UE.

L’apertura della rete allo sfruttamento economico da parte dei privati e, in ultima analisi, allo sviluppo dell’economia digitale, comporta anche un generale incentivo allo sviluppo delle tecnologie di cui l’economia digitale può avvalersi, prima fra tutte la tecnologia del cloud computing e dei microprocessori sempre più potenti che consentono analisi sempre più approfondite dei dati raccolti.

È l’epoca Clinton, in sostanza, che pone le premesse per l’economia dei dati e, in ultima analisi, anche dell’attuale sviluppo delle tecniche di Intelligenza artificiale.

La necessità di tutelare il trasferimento dei dati all’estero

Proprio queste trasformazioni, per un verso normative e per l’altro tecnologiche, rafforzano sempre di più la necessità di tutelare il trasferimento dei dati all’estero. I dati diventano infatti, come si disse con una nuova e fortunata (anche se imprecisa) espressione, il “nuovo petrolio”. Di qui la necessità, mai palesemente esplicitata ma nei fatti molto evidente, di tutelare ulteriormente il trasferimento dei dati all’estero, avendo di mira non più solo la tutela della libertà delle persone (che pure reta sempre per la UE un pilastro fondamentale e non negoziabile) quanto anche l’economia e la capacità competitiva della UE a scala globale.

È anche in questo senso che vanno lette e applicate le norme del Capo V del GDPR, così come è in questo senso che vanno lette e capite le norme, ormai sempre più numerose, che la Commissione ha proposto per regolare l’uso dei dati nelle digital economy.

Tuttavia, per capire meglio questo punto occorre tenere presente che la UE, mentre in particolare col patto di Aquisgrana tra Francia e Germania del 2019 (al quale si aggiunge ora il Trattato del Quirinale fra Italia e Francia) ha posto le premesse per la strategia che ora la Commissione von der Leyen persegue e per la competizione nell’economia globale digitale, deve registrare anche una grande debolezza industriale, priva come è di sistemi di cloud europei paragonabili a quelli delle OTT USA. Inoltre, la UE è anche priva di operatori di piattaforme globali che possano sostenere la competizione UE a livello planetario.

Di qui gli sforzi per dar vita al cloud europeo, basati ora sia sulla non fortunata iniziativa di Gaia-X che sulle proposte regolatorie limitative del potere delle OTT USA. Di qui anche lo sforzo della UE per promuovere, anche attraverso l’iniziativa Next Generation UE, lo sviluppo dei cloud nazionali e delle reti di interconnessione delle comunicazioni a livello unionale.

La sentenza Schrems II

È in questo quadro che, a mio parere, va letta la decisione nota come Schrems II della Corte di Giustizia UE del 16 luglio 2020.

La vicenda è nota e non richiede troppe precisazioni.

A seguito della denuncia promossa da Maximilian Schrems nel dicembre 2013 contro Facebook davanti alla Corte irlandese e poi, tramite questa, davanti alla Corte di giustizia UE, fu dichiarato invalido dalla Corte UE il cosiddetto Safe Harbour, l’accordo CE/USA del 2000, che era stato siglato dalla allora Commissione CE per poter adottare la clausola di adeguatezza rispetto ai trasferimenti di dati dalla Comunità agli USA.

A seguito di quella decisione, nota come Schrems I, la UE stipulò successivamente. Nel 2015, un nuovo accordo con gli USA definito come Privacy Shield, ed è proprio con riferimento a quell’accordo che la Commissione adottò una nuova dichiarazione di adeguatezza rispetto ai trasferimenti di dati da UE a USA.

Ora, con la decisione del 2020, e sempre a seguito di un nuovo ricorso di Schrems contro il Privacy Shield e la nuova dichiarazione di adeguatezza della Commissione, la Corte ha dichiarato la invalidità di quell’accordo e di quella dichiarazione di adeguatezza, con la conseguenza che di nuovo i trasferimenti dati dalla UE agli USA sono illegittimi rispetto al quadro UE.

Poiché però allo stato, e in attesa che la politica perseguita dalla Commissione von der Leyen abbia raggiunto risultati sufficienti, una parte preponderante dell’economia digitale UE poggia sui trasferimenti di dati da operatori economici con sede in UE a operatori economici o fornitori di servizi con sede in USA e che per questo ricadono comunque sotto le norme del Capo V del GDPR, a seguito della decisone del luglio 2020 si è posto il tema, enorme nelle sue implicazioni, di come considerare compatibili col GDPR i trasferimenti dei dati dall’UE agli USA e dall’USA all’UE.

Possibili soluzioni al problema

Ben consapevole delle dimensioni del problema aperto dalla sua decisione, la stessa Corte di Giustizia ha tentato di dare indicazioni utili alla sua soluzione.

Ha pertanto richiamato essa stessa, nella decisione del 16 luglio 2020 la possibilità che la Commissione UE riveda e ridefinisca le cosiddette standard contractual clauses previste dall’art.46 del GDPR e la Commissione stessa è stata invitata a ridefinire, ove necessario, nuove standard clauses più conformi al nuovo quadro normativo.

Allo stesso tempo la Corte di giustizia ha richiamato anche la possibilità di adottare codici di condotta ex art.40 del GDPR nonché meccanismi di certificazioni ex art. 42 del GDPR.

Ancora, la stessa Corte di giustizia ha incitato le Autorità nazionali di garanzia dei dati di adottare, anche in forma congiunta, linee guida che consentissero agli importatori e agli esportatori dei dati di operare in un quadro di compatibilità col nuovo contesto normativo conseguente alla sua decisione.

Infine, la stessa Corte di giustizia ha implicitamente richiamato l’attenzione della Autorità di garanzia sulla necessità di adottare comportamenti uniformi e di prestare adeguata attenzione alla possibilità per gli operatori di ricorrere alle regole derogatorie che lo stesso GDPR prevede all’art. 49 del GDPR. Regole, queste, che possono essere base di trasferimenti legittimi di dati extra UE anche in assenza di decisioni di adeguatezza ex art. 45, paragrafo 3 o di garanzie adeguate ex art. 46 GDPR.

Tra le condizioni che giustificano deroghe vi è anche, e qui merita di sottolinearlo con forza, la possibilità che il trasferimento avvenga in base al consenso esplicito dell’interessato a condizione che esso sia stato “informato dei possibili rischi di siffatti trasferimenti”.

L’effetto della decisione Ue sull’attività delle Autorità nazionali

A seguito della decisione della Corte di giustizia è iniziato un incredibile “balletto” di linee guida fornite dalla Commissione insieme alla approvazione di nuove standard clauses, di pronunciamenti dello EDPB e di istruttorie aperte da quasi tutte le Autorità nazionali di protezione dei dati personali su segnalazione di specifici interessati contro i trasferimenti di loro dati all’estero posti in atto da fornitori di servizi on line con sede in UE che si avvalgono di responsabili dei trattamenti residenti in territori extra UE o comunque trasferiscono dati in loro possesso all’estero affinché siano trattati in tutto o in parte da soggetti residenti fuori UE per fornire poi servizi ai titolari operanti nella Ue.

In poco tempo questo tema, come ben si comprende estremamente delicato e dalle conseguenze imprevedibili, ha dato luogo a pronunciamenti tra Commissione, EDPB, EDPS non facilmente armonizzabili tra loro dei quali è già stata data notizia su Agendadigitale.eu, anche grazie ai contributi di Anna Cataleta.

Più preoccupante però è l’effetto che la decisione UE ha rispetto all’attività delle Autorità di protezione dei dati personali.

Come ben sappiamo, infatti, uno dei punti più rilevanti del GDPR è l’attenzione data a garantire strumenti efficaci di coerenza tra l’operato delle diverse Autorità, anche al fine di assicurare che il GDPR non solo abbia vigore su tutto il territorio della UE ma anche che sia applicato secondo modalità coerenti e unificanti.

Il meccanismo della leading authority

Non a caso, in questo senso, una delle innovazioni maggiori del GDPR è il meccanismo della Leading Authority di cui all’art.56 del GDPR: meccanismo che però non trova applicazione rispetto all’eventuale violazione attuata da un titolare specifico rispetto ai trasferimenti di dati all’estero posti in essere nell’ambito dell’avvilimento, quale responsabile del trattamento, di un fornitore di servizi operante fuori del territorio UE.

Di qui la preoccupazione delle Autorità di protezione dati che la tematica che si è aperta dopo la pronuncia della Corte sul caso Schrems II possa far traballare tutto l’impianto del GDPR e metterne a dura prova i pilastri fondamentali.

Si tratta di una tematica aperta ed estremamente delicata che vede impegnate tutte le Autorità di protezione dati UE e che ha già condotto a diverse pronunce dello EDPB e dello stesso EDPS senza sciogliere però in via decisiva i nodi di fondo.

Il tema è dunque necessariamente quello di riesaminare a fondo i termini della questione.

Le norme derogatorie

Sembra utile a questo fine riprendere le fila del problema e tornare su alcuni punti della stessa decisione della Corte.

Infatti, se è vero che la Corte richiama tanto le standard clauses quanto le eventuali Linee guida della Commissione come strumenti che possono aiutare a garantire l’uniformità di applicazione delle norme europee ai trasferimenti di dati all’estero in assenza di specifiche e valide dichiarazioni di adeguatezza da parte della Commissione, è vero anche che la Corte stessa fa riferimento esplicito anche all’ipotesi di applicare ai trasferimenti di dati all’estero nell’ambito di trattamenti operati all’interno della UE e nell’interesse di residenti in UE le norme derogatorie di cui all’art. 49 del GDPR.

Il punto è però che le Autorità nazionali, anche sulla spinta di una lettura molto formalistica del GDPR e della decisione della Corte, hanno già sottolineato più volte che tali norme, proprio per il fatto di essere definite all’art. 49 come derogatorie, non possono diventare esse stesse la “regola prevalente”.

Di qui la convinzione che pare diffusa tra le Autorità e soprattutto tra le strutture tecniche delle Autorità e i loro rappresentanti nell’ambito dell’EDPB che le norme derogatorie e il ricorso ad esse debba e possa essere solo “eccezionale” e non possa quindi in alcun modo fornire la base giuridica ordinaria per legittimare il trasferimento di dati all’estero e il quadro normativo su cui parametrare i singoli trasferimenti.

Verrebbe meno dunque la possibilità, che invece pare essere ben presente alla Corte di giustizia, di fondare i trattamenti di trasferimento di dati all’estero, anche in mancanza di una esplicita dichiarazione di adeguatezza su due pilastri fondamentali:

  • il primo, messo bene in rilievo, e comunque imposto, anche dalla decisione della Corte, consistente in una adeguata valutazione di impatto sui rischi che i trattamenti possono far correre agli interessati e su un impegno assunto in modo bilaterale e coordinato dai titolari dei trattamenti residenti in UE e i responsabili ai quali i dati sono trasferiti per i servizi di loro competenza, operanti fuori UE;
  • il secondo, meno sottolineato dalla Corte ma in qualche modo centrale nel quadro delle norme derogatorie di cui all’art. 49, il consenso fornito dagli stessi interessati sulla base di una informativa adeguata e completa circa i trattamenti operati, i trasferimenti che tali trattamenti comportano e i rischi che possono far correre agli interessati. In questo caso, infatti, il consenso esplicitamente fornito al trasferimento di dati all’estero nell’ambito dei trattamenti di loro interesse potrebbe concretizzare la clausola derogatoria espressamente prevista dall’art. 49 paragrafo 1 lettera a) e costituire dunque una base di legittimità fondata certo su norme derogatorie ma pienamente compatibile col GDPR perché da questo Regolamento espressamente previsto.

Né si potrebbe dire che in questo caso la deroga non sia compatibile con le indicazioni della Corte di giustizia perché l’informativa da dare agli interessati sarebbe connessa strettamente all’analisi di impatto sui rischi dei trasferimenti che titolare e responsabile devono realizzare di comune accordo. Un accordo che devono anche in qualche modo sottoscrivere nell’ambito del loro rapporto contrattuale, al fine di poterne dar conto nei rispettivi registri dei trattamenti che esplicitamente la Corte di giustizia vuole siano estesi anche ai trasferimenti di dati extra UE o in direzione dell’UE.

Il richiamo alle regole derogatorie, fatto anche dalla Corte di giustizia europea, è la sola via solida da praticare non solo per rendere compatibili i trasferimenti dati extra UE col GDPR dopo la sentenza Schrems II di luglio 2020 anche in assenza di dichiarazioni di adeguatezza. Non solo: essa è la sola via disponibile per rendere la soluzione coerente con lo spirito generale del Regolamento europeo.

Merita di sottolineare inoltre che questa via consente agli interessati un controllo permanente perché, come sappiamo, il consenso può sempre essere revocato: il che, di fronte a sviluppi tecnologici e industriali ai quali la realtà attuale ci sta abituando (si pensi ai casi Google, TikTok e in generale ai provvedimenti delle Autorità a tutela della concorrenza rispetto a trattamenti illegittimi di dati) e che certamente potrebbero già oggi far scattare da parte degli interessati la decisione di revocare il consenso eventualmente già dato.

I prossimi, necessari, passaggi

È opportuno arrestare qui il ragionamento svolto. È ovvio, infatti, che la decisione della Corte di giustizia ha aperto orizzonti nuovi, da tempo presenti agli studiosi ma che mai si erano finora posti con tanta rilevanza.

I valori in gioco sono molti, tra i quali prioritari sono certamente quello di trovare il modo di mantenere forte l’uniformità di applicazione su tutto il territorio UE della regolazione GDPR e garantire che i trasferimenti di dati all’estero, ancora necessari per non poco tempo in attesa che la UE si doti di strumenti industriali e operativi in grado di sostituire il ruolo tuttora svolto dalle OTT, non minino alle fondamenta il valore della normativa UE, tanto più necessaria man mano che la economia digitale si sviluppa.

In questo senso le Autorità sono chiamate a svolgere finalmente quel ruolo di armonizzazione dei loro comportamenti che è nella trama stessa del GDPR e che non può essere sempre e solo affidato al meccanismo della Leading Authority.

L’auspicio è dunque che EDPB ed EDPS, continuando nella collaborazione già sviluppata e chiamando ad una piena assunzione di responsabilità le Autorità di protezione dati, dettino linee guida rivolte non tanto a titolari, interessati e responsabili o alla Commissione e agli organi UE ma alle Autorità in quanto tali.

Non vi è dubbio, infatti, che tra i temi non ancora scavati a fondo del GDPR vi è il ruolo che le Autorità, proprio anche grazie ai meccanismi di coerenza, sono chiamate svolgere in concreto, e in modo costantemente adeguato, per garantire una forte attività unificante nell’applicazione del GDPR.

L’occasione fornita dagli orientamenti della Corte di giustizia sui trasferimenti dei dati intra ed extra UE e, allo stesso tempo, sul ruolo delle regole derogatorie, per un verso, e delle Autorità, per l’altro, è dunque una sfida importantissima da non perdere per dare al GDPR tutto lo spessore che merita e che è alla base stessa della sua adozione.

Il principio di accountability

Merita infine sottolineare come la decisione della Corte di giustizia, nel dichiarare la necessità di una specifica valutazione di impatto congiunta tra titolare e responsabile in ordine ai rischi che il trasferimento di dati extra UE può far correre all’interessato richiama esplicitamente il principio di accountability come base fondamentale del GDPR rispetto alle valutazioni di impatto e fonda proprio sul rispetto di questo principio (al quale lega la valutazione di impatto condivisa tra titolare e responsabile) la tutela concreta degli interessati.

Una lettura delle clausole derogatorie che si incentrasse sul consenso dell’interessato adeguatamente informato relativamente al trasferimento sarebbe dunque del tutto coerente perché, appunto, poggerebbe sull’altro grande pilastro del GDPR, quello di garantire sempre all’interessato il pieno controllo sui trattamenti dei dati che lo riguardano e sulla possibilità di consentire o impedire tale trattamento.

Inoltre, essa garantirebbe anche una tutela coerente con i principi generali del GDPR e per di più eviterebbe spazi applicativi troppo diversificati a seconda delle Autorità nazionali coinvolte.

Conclusioni

Resterebbe ovviamente aperto il tema delle sanzioni da comminare: altro punto dolente questo in un sistema che rimette ogni valutazione alle singole Autorità nazionali ma, allo stesso tempo, mira esplicitamente a garantire una applicazione omogenea della normativa su tutto il territorio UE. Anche su questo terreno e per questi motivi dunque sarebbe necessaria una applicazione efficace dei meccanismi di coerenza grazie all’adozione di linee guida condivise dalle Autorità nazionali, dallo EDPB e dallo EDPS.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 4