dopo schrems II

Trasferimenti dati extra-Ue: cosa c’è che non va nell’approccio Ue e gli interventi necessari

L’esercizio astrattista della giurisprudenza Ue sul trasferimento dati all’estero sta generando uno snaturamento del principio di responsabilizzazione. Cittadini, imprenditori, professionisti sono chiamati ad analisi degne della migliore intelligence in una selva di problemi interpretativi e applicativi. Come uscirne?

29 Giu 2022
Luca Bolognini

avvocato e Presidente dell’Istituto Italiano per la Privacy e la Valorizzazione dei dati

Schrems-II-blog

C’è qualcosa di non condivisibile ed eccessivamente astratto, nell’orientamento adottato dalla Corte di Giustizia UE con la sentenza Schrems II (C-311/18) e nelle interpretazioni autentiche degli articoli 44-49 del GDPR rilasciate dalle autorità competenti, in Europa, negli ultimi due anni, in materia di divieti di trasferimento di dati personali all’estero.

Ultime puntate, recenti, a piena conferma di questa distorsione, le prime decisioni dell’Autorità austriaca e della francese CNIL su Google Analytics.

Codici di condotta per i trasferimenti dati extra Ue: le novità delle linee guida EDPB

Qualche luce sembra provenire, invece, dalle FAQ della Commissione Europea del 25 maggio 2022, sulle Clausole Contrattuali Standard (SCC) approvate il 4 giugno 2021, ma il rischio è che la fiammella luminosa si spenga presto, soffiata via da altri provvedimenti o soffocata da interpretazioni avverse.

Le decisioni delle autorità Ue su Google Analytics

Le autorità di controllo di Vienna e Parigi, nelle loro decisioni su Google Analytics d’inizio 2022, hanno sostanzialmente rigettato la validità di un approccio basato sul rischio, nella valutazione di fattibilità legale di un trasferimento di dati, concludendo nel senso dell’irrilevanza delle variabili oggettive legate alle specifiche circostanze di un trasferimento di dati all’estero (esempio, la natura e la quantità dei dati, le finalità dei trattamenti previsti, ecc.).

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza

Detta in altre parole: che si trasferiscano 2 dati personali comuni oppure 2 milioni di dati sensibili, la disciplina imposta dalla lettura della sentenza Schrems II non cambia, e i limiti si applicano comunque, dipendendo tutto dalla adeguatezza normativa del Paese di destinazione e dal fatto, se il Paese è inadeguato, di potere o non potere, tout court, impedirgli di accedere ai dati esportati in chiaro.

È stupefacente, ad avviso di chi scrive, che si voglia vedere negli articoli da 44 a 49 del GDPR un intervallo – un grand canyon interpretativo – avulso da tutto il restante testo del Regolamento generale, permeato com’è di risk-based approach e di ragionevole responsabilizzazione (accountability); ben diversamente da quanto avveniva con la Direttiva 95/46/CE, la quale, paradossalmente, custodiva un approccio basato sul rischio nel “compianto” paragrafo 2 del suo articolo 25, proprio in materia di export dei dati. Insomma, oggi la valutazione di rischio contestuale è la pasta stessa della ciambella del GDPR, ma gli articoli da 44 a 49 ne sono il buco in mezzo.

Il barlume di luce rappresentato dalla Clausola 14

Una traccia di luce è reperibile nella risposta 40 delle nuove FAQ della Commissione Europea relative alle Clausole Contrattuali Standard (SCC): la Clausola 14 richiede alle parti – esportatore e importatore – di valutare, prima di concludere le SCC, se le leggi e le pratiche del Paese terzo di destinazione possano impedire all’importatore il rispetto delle Clausole stesse (e quindi, per effetto-domino, dei livelli di tutela dei diritti garantiti in UE). Nell’effettuare questa “Valutazione d’Impatto del Trasferimento” (Transfer Impact Assessment, TIA), le parti dovrebbero tenere conto, in particolare, delle “circostanze specifiche del trasferimento” – questo il barlume di luce in ottica risk-based – oltre che delle leggi e delle pratiche pertinenti in quel contesto.

Il problema è proprio che, in realtà, anche per l’interpretazione autentica delle SCC, sarà la valutazione dell’ordinamento del Paese terzo a farla da padrona: quest’ultima dovrà includere le limitazioni e le garanzie applicabili nello Stato estero, al fine di determinare se le leggi e le pratiche non eccedano quanto necessario e proporzionato in una società democratica per salvaguardare uno degli obiettivi elencati nell’articolo 23, paragrafo 1, del GDPR (es. sicurezza nazionale).

In caso di valutazione negativa, le parti potranno trasferire i dati sulla base delle SCC solo se metteranno in atto ulteriori misure (le cosiddette “supplementary measures”), come ad esempio la crittografia end-to-end, che garantiscano il rispetto delle Clausole e dei diritti, e diano certezza dell’impossibilità, per gli Stati stranieri, di accedere ai dati esportati in chiaro. Lo stesso criterio si applica se l’esportatore di dati viene successivamente a conoscenza che l’importatore di dati non è più in grado di fare rispettare le SCC, anche a seguito di una modifica delle leggi del Paese terzo. L’esportatore sarà tenuto a sospendere il trasferimento se ritiene che non possano essere garantite adeguate salvaguardie, o se così prescritto dall’autorità di controllo competente.

Lo snaturamento del principio di responsabilizzazione

L’esercizio astrattista della giurisprudenza europea, e ciò che ne sta conseguendo in termini di enforcement, ci conduce innanzi allo snaturamento massimalista del principio di responsabilizzazione: a chi dovrebbe spettare la valutazione di adeguatezza dei Paesi esteri, in termini ordinamentali? A leggere il GDPR, almeno questo compito lo dovremmo lasciare alla Commissione Europea; purtroppo, però, l’art. 45 sembra funzionare solo in senso additivo-positivo: se la Commissione non si esprime, il Paese straniero rimane in un’area grigia di dubbio. Sarà adeguato? Non lo sarà? Ed ecco la responsabilizzazione estremizzata, snaturata: la valutazione dell’idoneità costituzionale e legislativa dello Stato di destinazione viene rimessa a ciascun esportatore (titolare o responsabile del trattamento) e ai suoi consulenti.

Mille sfumature di TIA

In questi mesi, ho letto tutto e il contrario di tutto: miriadi di pareri e TIA, in cui decine di Paesi venivano giudicati dall’uno adeguati e dall’altro inadeguati, e viceversa, e con mille sfumature. Si chiede a cittadini, imprenditori, professionisti, funzionari pubblici, attivisti del Terzo Settore di operare analisi strategiche e geopolitiche degne della migliore intelligence globale.

Una danza capricciosa e snervante di opinioni legal-tecniche, ciascuna in prospettiva soggettiva, sovraccaricata e preoccupata da oneri valutativi su questioni assai più grandi di titolari e responsabili e avvocati e informatici. Ma come: su questioni di tale portata internazionale, da riservarsi logicamente, razionalmente direi, a un vaglio centralizzato e istituzionale, si strumentalizza il principio di responsabilizzazione fino a mettere sulle piccole spalle di ogni esportatore il peso di queste valutazioni?

Il risultato è prodigioso: combina insieme iniquità e falsa applicazione del diritto, sfondamento del principio di proporzionalità, frammentazione, anzi polverizzazione degli orientamenti sull’(in)adeguatezza. A leggere le venture, vaghe ed eventuali limitazioni all’esportazione di dati non personali all’estero, previste nelle pieghe di Data Act e Data Governance Act, vengono i brividi, guardando all’esperienza attuale con il GDPR e i dati personali.

Il nuovo accordo per il trasferimento di dati UE-USA

Risolverà qualcosa il nuovo accordo per il trasferimento di dati UE-USA, annunciato il 25 marzo 2022 dai Presidenti Von der Leyen e Biden? La sensazione, stando ai pochi contenuti disponibili, è che esso servirà principalmente a comprare qualche anno di tempo negli scambi tra Europa e Stati Uniti, e che andremo avanti così, di sentenza in sentenza, di accordo in invalidazione, d’invalidazione in accordo (tra dieci anni, avremo la sentenza Schrems V?). Inoltre, quale che sia la robustezza di questo nuovo patto transatlantico, esso non risolverà il problema dei trasferimenti verso il resto del mondo. I problemi interpretativi e applicativi, tristemente distorsivi, che ho brevemente elencato sopra, rimarranno.

Un appiglio – cioè un rimedio residuale, quasi una consolazione parziale – potrebbe derivare da una prossima revisione, meno restrittiva, delle casistiche di deroga previste dall’articolo 49 del GDPR, o almeno dal ripensamento della loro interpretazione autentica (adottata dal Comitato Europeo per la Protezione dei Dati con le Linee Guida 2/2018). Per esempio, si potrebbe scolpire un’ulteriore ipotesi, direttamente nell’art. 49, a definire i contorni di un risk-assessment che contempli le condizioni obiettive del trasferimento, la natura dei dati e tutti gli elementi che potrebbero fare la differenza, pur in presenza di una destinazione giuridicamente pericolosa. Ancora, in una riedizione delle Linee Guida 2/2018 (o anche solo in un provvedimento di un’Autorità Garante illuminata), si potrebbe ragionevolmente riconoscere che l’occasionalità di un trasferimento in deroga, necessario all’esecuzione di un servizio contrattualizzato dall’interessato (art. 49.1.b) GDPR), vada misurata sull’interessato specifico in quel dato contesto, e non sulla sistematicità del mestiere svolto dal titolare o dal responsabile del trattamento. Oggi, se affidiamo al corriere un pacchetto da spedire in Russia o chiediamo al tour operator di prenotarci un hotel in Cina, essi ci devono chiedere un consenso esplicito, libero, specifico e informato per ciascun trasferimento? Suvvia, non è realistico, non è gestibile (il consenso va annotato ed è revocabile), non è tutelante né desiderabile neppure per l’interessato.

Conclusioni

In assenza d’interventi, l’alternativa, temo, non potrà che essere una proliferazione di TIA, valutazioni d’impatto e pareri, caotici e creativi quanto basta (ma tanto, c’è l’accountability) ad assicurarci sul fatto che Russia e Cina siano Paesi sostanzialmente equivalenti all’Unione Europea, nel rispetto dei diritti e delle libertà fondamentali. E poi un valzer di sentenze, sanzioni, prescrizioni, punizioni a colpire chi non ha fatto l’impossibile-insostenibile per essere conforme.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Analisi
PA
Salute digitale
News
Fondi
Formazione
Ecologia
Digital Economy
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 4