trasferimento dati Ue-Usa

Schrems II, le reazioni di Google, Facebook e lo scontro con l’Europa

I colossi del web fingono di non vedere la reale portata dell’annullamento del Privacy Shield o, al più, cercano di prendere tempo, mentre per la creazione di un cloud europeo ci vorrà tempo. Molte società di medio-piccole potrebbero però incontrare gravi difficoltà in questo periodo di transizione

29 Set 2020
Riccardo Berti

avvocato Centro Studi Processo Telematico

Franco Zumerle

Coordinatore Commissione Informatica Ordine Avvocati Verona


La sentenza Schrems II (sentenza del 16.07.2020 caso C-311/18), lo scorso luglio ha scosso il panorama del trattamento dei dati personali lungo l’asse dell’atlantico, mettendo in discussione il fondamento giuridico su cui moltissime aziende avevano fino ad allora basato il trasferimento dei dati personali di cittadini europei verso gli Stati Uniti.

La pronuncia non si è limitata a porre nel nulla il cosiddetto “Privacy Shield”, adottato dalla Commissione Europea con Decisione UE IP/16/216, ma si è spinta ad evidenziare che la principale alternativa adottata da molte aziende per trasferire i dati in paesi terzi rispetto all’Unione Europea, ovvero l’adozione delle cosiddette “clausole standard”, non è di per sé invalida, ma può diventarlo se le leggi o le pratiche in vigore nel paese terzo interessato non permettano di garantire la necessaria protezione dei dati esclusivamente sulla base delle clausole standard sulla protezione dei dati.

Questa sentenza ci ha lasciato con una serie di gravi interrogativi per gli operatori che trasferiscono dati in paesi terzi rispetto all’Unione e, di fatto, non sappiamo ancora quali soluzioni potranno risolverli nel lungo periodo.

Da un lato c’è un crescente senso di disagio da parte dei cittadini europei nell’”affidare” i propri dati a società statunitensi che consentirebbero (volenti o nolenti) un’intrusione governativa nei dati personali dagli stessi gestiti (e stiamo parlando di un governo che negli anni passati, basta pensare al caso WikiLeaks, ha dimostrato di aver agito con grande leggerezza quando si trattava di dati di soggetti stranieri).

Dall’altro lato, e al contempo, è difficile pensare che i cittadini europei facciano a meno dei servizi con base in USA (o altri stati terzi) da un momento all’altro. Il traffico dati tra UE e USA non ha infatti subìto rallentamenti dopo la sentenza Schrems II e, verosimilmente, non li subirà nemmeno nel prossimo futuro.

Sebbene qualcuno, all’indomani della sentenza Schrems II, avesse visto la sentenza come un’occasione per generare le basi di un cloud europeo e di un insieme di software e piattaforme fondate sull’open source e sul rispetto della privacy, è evidente che un simile passaggio non solo richiede tempo, ma richiede anche che l’Europa investa per recuperare il gap con gli Stati Uniti nel settore, al fine di offrire alternative valide rispetto alle controparti americane.

Almeno per adesso, infatti, la sentenza Schrems II non ha portato a notevoli cambiamenti, se non di forma.

La mossa di Google

Un esempio di questi cambiamenti solo formali è nel comportamento di Google.

Il colosso di Mountain View, dopo la sentenza Schrems II, ha semplicemente comunicato ai propri clienti business (con email inviate all’inizio di agosto) che gli accordi commerciali con i partner venivano modificati unilateralmente al fine di ospitare le clausole contrattuali standard in tema di privacy.

Il problema è che in questo modo Google finge di non vedere il problema, che si pone in questi termini: se un accordo internazionale, ratificato dalla Commissione Europea, non è in grado di proteggere i cittadini UE da indesiderate intrusioni governative nei propri dati, come possono delle clausole contrattuali superare le criticità che il Privacy Shield non è riuscito a scalfire?

Sebbene una prima lettura della sentenza Schrems II possa far pensare che questa soluzione sia percorribile (la sentenza infatti invalida il Privacy Shield ma “salva” la decisione di adeguatezza delle clausole standard) è evidente ad un più approfondito esame della pronuncia che le cosiddette clausole contrattuali standard, senza un esame del contesto giuridico in cui queste sono calate e senza l’eventuale introduzione di garanzie supplementari non sono sufficienti. Anche qui però è chiara la difficoltà di individuare garanzie contrattuali che possano avere successo nel risolvere conflitti normativi internazionali, che nemmeno accordi tra stati hanno risolto, fallendo ben due volte (prima con l’accordo “Safe Harbor” e quindi con l’accordo “Privacy Shield Framework”, entrambi invalidati dalla CGUE nelle sentenze Schrems I e Schrems II)!.

A ciò si aggiunge che Google sta ancora aggiornando le proprie privacy policy, con la conseguenza che in molte pagine si trova ancora il riferimento al Privacy Shield (e questo forse è un segnale del fatto che Google non ha messo esattamente in cima alla lista delle priorità la soluzione di questa spinosa questione).

I 101 reclami del NOYB

Di fronte a questa sostanziale indifferenza, il NOYB (None of Your Business) European Center for Digital Rights, ovvero l’associazione senza fini di lucro fondata da Schrems nel 2017, ha presentato in totale 101 ricorsi davanti alle varie autorità garanti dell’UE, lamentando l’utilizzo, da parte di varie società, dei servizi di Google e Facebook, i quali trasferiscono dati all’esterno dell’Unione senza una valida base giuridica.

Lo scopo di questa “espansione” del fronte contenzioso è quello di non far passare inosservato il grave problema giuridico che pone la sentenza Schrems II e, al contempo, quello di superare i tentennamenti e i ritardi dell’Autorità Garante irlandese che finora, a detta del NOYB, ha trattato con troppo riguardo Facebook e le altre società americane con base nel paese.

La reazione dell’EDPB

Di fronte a questo proliferare di ricorsi il Comitato Europeo per la Protezione dei Dati ha creato un’apposita task force che si occuperà di supportare le autorità nazionali nell’esame dei reclami presentati dal NOYB (anche con lo scopo di garantire cooperazione e coordinamento fra le varie autorità interessate).

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

L’EDPB si è inoltre speso a supporto di tutte quelle realtà (specie medio/piccole) che trasferivano dati negli Stati Uniti sulla base del Privacy Shield e che oggi si trovano in difficoltà (anche economica) nel determinare la strategia da adottare.

E’ infatti evidente che la sentenza Schrems II pone delle delicate responsabilità in capo ai titolari/responsabili che trasferiscono dati in USA, specie nell’individuazione delle accennate “garanzie supplementari” per ottenere contrattualmente un’“equivalenza sostanziale” fra il trattamento dati che avviene in UE e quello che avviene nel paese terzo (operazione che sembra equiparabile ad una fatica di Sisifo per i poveri titolari, destinati a scontrarsi con il fatto che gli si chiede di avere successo dove la Commissione UE e il governo americano hanno fallito due volte).

Il Comitato ha quindi adottato delle FAQ ancora lo scorso 23 luglio, a cui si aggiungeranno presto delle raccomandazioni circa l’individuazione e attuazione di misure supplementari calibrate sul singolo paese destinatario nel caso di utilizzo delle clausole standard, il Comitato ha infatti istituito un’ulteriore task force che si occuperà proprio di formulare queste raccomandazioni.

I prossimi passi dell’Autorità Garante irlandese

La DPC (Data Protection Commission) irlandese, dopo la sentenza Schrems II, è l’autorità chiamata a giudicare sul reclamo che il signor Schrems ha presentato ancora sette anni fa, nel 2013, lamentando l’illegittimo trasferimento dei dati personali dei cittadini europei oltre oceano da parte di Facebook.

Il reclamo è stato respinto una volta, per poi esitare nella sentenza Schrems I del 2015, quindi riesaminato, respinto nuovamente visto che nel frattempo era intervenuto il Privacy Shield Framework a “proteggere” l’attività di Facebook, e ora, dopo la sentenza Schrems II, andrà nuovamente esaminato dall’Autorità Garante irlandese.

L’associazione di Schrems è preoccupata che dietro questi tempi particolarmente diluiti ci sia la volontà della DPC di trattare con riguardo Facebook e quindi dopo la sentenza ha subito chiesto all’autorità di precisare i prossimi step che intende intraprendere per dirimere definitivamente la questione.

La DPC, in risposta a queste serrate richieste, ha precisato (secondo quanto riporta il sito della NOYB) che aprirà una seconda procedura con riguardo al trasferimento dati da parte di Facebook basato sulle clausole standard, mentre nel frattempo sospenderà l’esame del primo reclamo presentato da Schrems nel 2013.

La notizia non è stata accolta con favore dal NOYB, che ritiene invece la “questione” delle clausole standard possa ben rientrare nell’esame del reclamo principale e non necessita di questa scissione con conseguente sospensione del primo reclamo, scissione che secondo la NOYB potrebbe creare ulteriori dilazioni. Per questo motivo la NOYB ha annunciato che intende agire direttamente contro la DPC censurandone i tentennamenti.

Le mosse di Facebook

Facebook, dal canto suo, ha delineato una nuova strategia che potrebbe (se la DPC proseguirà nelle sue modalità operative) portare il social network a guadagnare qualche altro anno di sicurezza.

Il colosso di Menlo Park non si è infatti limitato a riformulare le proprie condizioni per includere le clausole contrattuali standard di cui alla decisione 2010/87, come annunciato il 19 agosto scorso, ma ha individuato un’ulteriore base giuridica per il trasferimento dei dati oltreoceano.

Come indicato da molti operatori, alcuni spiragli per il trasferimento transfrontaliero di dati, non intaccati dalla sentenza Schrems II, sono quelli contenuti nell’art. 49 GDPR, che tra le varie ipotesi consente il trasferimento di dati all’esterno dell’Unione ove questo sia necessario all’esecuzione di un contratto concluso tra l’interessato e il titolare del trattamento ovvero all’esecuzione di misure precontrattuali adottate su istanza dell’interessato.

Facebook ha quindi introdotto nelle proprie policy un’ulteriore base giuridica che, pur claudicante (anzi, più claudicante delle altre essendo evidente che non vi è necessità in senso oggettivo di trasferire i dati degli utenti Facebook basati in UE negli Stati Uniti) potrebbe comportare un lungo esame da parte della DPC e successivamente giudiziale.

Salvo la DPC reagisca anticipando le mosse di Facebook ed includendo nella sua analisi le basi giuridiche di cui all’art. 49 GDPR, questa strategia potrebbe in effetti far guadagnare tempo alla società americana, che nel frattempo conta su una soluzione politica della questione.

Nel contempo Facebook ha accolto con preoccupazione la decisione della DPC di aprire una procedura relativa alla legittimità del trasferimento effettuato sulla base delle clausole standard, con cui evidentemente riteneva di aver risolto i suoi problemi.

Uno dei legali di Facebook in Irlanda, Yvonne Cunnane, ha infatti affermato (in un affidavit depositato il 10 settembre scorso presso la High Court di Dublino relativo ad un procedimento che vede coinvolte Facebook Ireland e la DPC) che in queste condizioni (definite “discriminatorie”) non è chiaro come Facebook potrà continuare a fornire i servizi dei suoi social in Europa.

Sebbene in seguito la dichiarazione sia stata ridimensionata da fonti interne di Facebook, è evidente la “minaccia” che questa comporta: il trasferimento dei dati in USA permette a Facebook di crescere, se non è possibile che ciò accada Facebook (e coloro che si trovano nella sua situazione) dovrà ridurre gli investimenti sul mercato europeo con conseguenze economiche dirette e perdita di posti di lavoro.

Riepilogando, Facebook a questo punto sembra aver adottato una strategia tripartita.

Da un lato, forse contando sui tentennamenti della DPC irlandese, Facebook ha strutturato una strategia attendista, che gli potrebbe consentire di evitare una pronuncia completamente negativa (affastellando basi giuridiche “di riserva” per continuare a trasferire dati fino a quando l’ultimo baluardo non verrà abbattuto) per un lungo periodo di tempo (con la speranza che nel frattempo si trovi una soluzione condivisa a livello istituzionale).

Da un altro lato Facebook sta approcciando (sebbene saltuariamente) una strategia più aggressiva, con minacce di abbandonare il mercato UE, anche se finora sembrano molto poco credibili, sarebbe infatti più efficiente in termini economici per Menlo Park creare una “sede staccata” europea dove centralizzare il trattamento dati piuttosto di una scelta così radicale di abbandonare ben 410 milioni di utenti!

Non c’è però da dimenticare che se questi calcoli possono essere fatti per Facebook, per molte altre aziende, comunque affette dalla sentenza Schrems II, le cose stanno diversamente e un abbandono del mercato UE non è da escludere in caso di “caduta” delle clausole contrattuali standard.

Infine Facebook sta cercando di allargare il fronte del conflitto, coinvolgendo nella problematica tutti gli altri soggetti che trasferiscono dati in USA (Google, Microsoft, Amazon in primis), così di conseguenza potrà aprire un fronte politico (sebbene Facebook non goda di eccessive simpatie presso il Congresso, è evidente che l’allargamento del problema a tutte le società in effetti interessate dalla pronuncia potrebbe toccare interessi economici americani, a cui è evidente che la politica statunitense sarà ben più sensibile).

A quel punto non è dato sapere se la reazione statunitense si concentrerà, come è accaduto finora, sulla revisione degli accordi internazionali al fine di garantire maggiori diritti ai cittadini europei con dati trattati negli USA, permettendo così la nascita di un terzo “Privacy Shield”, ovvero se si trasformerà in ritorsione.

Conclusioni

Alla luce di questa intricata situazione è evidente che è difficile indovinare cosa potrà accadere.

Dal punto di vista giuridico Facebook e tutte le altre aziende che trasferiscono dati in USA, sono poste di fronte ad una sfida impossibile, ovvero far meglio, con un contratto, di quanto non siano riusciti a fare la Commissione Europea e il governo americano lavorando assieme per lungo tempo.

Nessuna delle altre basi giuridiche indicate dal GDPR (salvo il “consenso informato” di cui all’art. 49 co. 1 lett. a) del GDPR, che prevede la possibilità di trasferire dati in paesi “rischiosi” se la parte, informata dei rischi, accetta) appare sufficiente per giustificare i trasferimenti di dati oggi in essere, ma resta da capire quanto tempo ci vorrà perché un’autorità o un giudice lo affermi, calando nel caso concreto i principi della sentenza Schrems II.

Altro aspetto interessante è comprendere cosa accadrà nel frattempo.

La problematica potrebbe essere infatti smorzata dall’EDPB, che offrendo raccomandazioni (che dovrebbero essere rilasciate a breve) troppo permissive potrebbe riassorbire in parte il problema (o per meglio dire nascondere), oppure potrebbe essere superata da un nuovo accordo (questa volta si spera risolutivo fra UE e USA), soluzione però condizionata dalla disponibilità degli Stati Uniti a cedere il passo su alcune normative particolarmente intrusive.

Ove questo non accadesse (o non accadesse in fretta) e nel caso in cui le Autorità iniziassero ad irrogare sanzioni (in difetto di un elemento di disincentivo economico, come è accaduto finora, il problema è stato sostanzialmente ignorato), potrebbe invece cambiare il mercato, avverando le prospettive di chi auspica un hub di servizi web basati in Europa (o la delocalizzazione dei servizi USA con minor scambio di dati con la madrepatria).

Il problema, da non sottovalutare, è però il destino di molte società di medie o piccole dimensioni che potrebbero incontrare gravi difficoltà non potendo contare sulla convenienza e/o efficienza delle soluzioni USA, problematica che impone di fornire quantomeno un sostegno sia giuridico che economico a queste aziende nella delicata fase di transizione (se mai avverrà).

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

@RIPRODUZIONE RISERVATA

Articolo 1 di 4