C’è qualcosa di non condivisibile ed eccessivamente astratto, nell’orientamento adottato dalla Corte di Giustizia UE con la sentenza Schrems II (C-311/18) e nelle interpretazioni autentiche degli articoli 44-49 del GDPR rilasciate dalle autorità competenti, in Europa, negli ultimi due anni, in materia di divieti di trasferimento di dati personali all’estero.
Ultime puntate, recenti, a piena conferma di questa distorsione, le prime decisioni dell’Autorità austriaca e della francese CNIL su Google Analytics.
Codici di condotta per i trasferimenti dati extra Ue: le novità delle linee guida EDPB
Qualche luce sembra provenire, invece, dalle FAQ della Commissione Europea del 25 maggio 2022, sulle Clausole Contrattuali Standard (SCC) approvate il 4 giugno 2021, ma il rischio è che la fiammella luminosa si spenga presto, soffiata via da altri provvedimenti o soffocata da interpretazioni avverse.
Le decisioni delle autorità Ue su Google Analytics
Le autorità di controllo di Vienna e Parigi, nelle loro decisioni su Google Analytics d’inizio 2022, hanno sostanzialmente rigettato la validità di un approccio basato sul rischio, nella valutazione di fattibilità legale di un trasferimento di dati, concludendo nel senso dell’irrilevanza delle variabili oggettive legate alle specifiche circostanze di un trasferimento di dati all’estero (esempio, la natura e la quantità dei dati, le finalità dei trattamenti previsti, ecc.).
Detta in altre parole: che si trasferiscano 2 dati personali comuni oppure 2 milioni di dati sensibili, la disciplina imposta dalla lettura della sentenza Schrems II non cambia, e i limiti si applicano comunque, dipendendo tutto dalla adeguatezza normativa del Paese di destinazione e dal fatto, se il Paese è inadeguato, di potere o non potere, tout court, impedirgli di accedere ai dati esportati in chiaro.
È stupefacente, ad avviso di chi scrive, che si voglia vedere negli articoli da 44 a 49 del GDPR un intervallo – un grand canyon interpretativo – avulso da tutto il restante testo del Regolamento generale, permeato com’è di risk-based approach e di ragionevole responsabilizzazione (accountability); ben diversamente da quanto avveniva con la Direttiva 95/46/CE, la quale, paradossalmente, custodiva un approccio basato sul rischio nel “compianto” paragrafo 2 del suo articolo 25, proprio in materia di export dei dati. Insomma, oggi la valutazione di rischio contestuale è la pasta stessa della ciambella del GDPR, ma gli articoli da 44 a 49 ne sono il buco in mezzo.
Il barlume di luce rappresentato dalla Clausola 14
Una traccia di luce è reperibile nella risposta 40 delle nuove FAQ della Commissione Europea relative alle Clausole Contrattuali Standard (SCC): la Clausola 14 richiede alle parti – esportatore e importatore – di valutare, prima di concludere le SCC, se le leggi e le pratiche del Paese terzo di destinazione possano impedire all’importatore il rispetto delle Clausole stesse (e quindi, per effetto-domino, dei livelli di tutela dei diritti garantiti in UE). Nell’effettuare questa “Valutazione d’Impatto del Trasferimento” (Transfer Impact Assessment, TIA), le parti dovrebbero tenere conto, in particolare, delle “circostanze specifiche del trasferimento” – questo il barlume di luce in ottica risk-based – oltre che delle leggi e delle pratiche pertinenti in quel contesto.
Il problema è proprio che, in realtà, anche per l’interpretazione autentica delle SCC, sarà la valutazione dell’ordinamento del Paese terzo a farla da padrona: quest’ultima dovrà includere le limitazioni e le garanzie applicabili nello Stato estero, al fine di determinare se le leggi e le pratiche non eccedano quanto necessario e proporzionato in una società democratica per salvaguardare uno degli obiettivi elencati nell’articolo 23, paragrafo 1, del GDPR (es. sicurezza nazionale).
In caso di valutazione negativa, le parti potranno trasferire i dati sulla base delle SCC solo se metteranno in atto ulteriori misure (le cosiddette “supplementary measures”), come ad esempio la crittografia end-to-end, che garantiscano il rispetto delle Clausole e dei diritti, e diano certezza dell’impossibilità, per gli Stati stranieri, di accedere ai dati esportati in chiaro. Lo stesso criterio si applica se l’esportatore di dati viene successivamente a conoscenza che l’importatore di dati non è più in grado di fare rispettare le SCC, anche a seguito di una modifica delle leggi del Paese terzo. L’esportatore sarà tenuto a sospendere il trasferimento se ritiene che non possano essere garantite adeguate salvaguardie, o se così prescritto dall’autorità di controllo competente.
Lo snaturamento del principio di responsabilizzazione
L’esercizio astrattista della giurisprudenza europea, e ciò che ne sta conseguendo in termini di enforcement, ci conduce innanzi allo snaturamento massimalista del principio di responsabilizzazione: a chi dovrebbe spettare la valutazione di adeguatezza dei Paesi esteri, in termini ordinamentali? A leggere il GDPR, almeno questo compito lo dovremmo lasciare alla Commissione Europea; purtroppo, però, l’art. 45 sembra funzionare solo in senso additivo-positivo: se la Commissione non si esprime, il Paese straniero rimane in un’area grigia di dubbio. Sarà adeguato? Non lo sarà? Ed ecco la responsabilizzazione estremizzata, snaturata: la valutazione dell’idoneità costituzionale e legislativa dello Stato di destinazione viene rimessa a ciascun esportatore (titolare o responsabile del trattamento) e ai suoi consulenti.
Mille sfumature di TIA
In questi mesi, ho letto tutto e il contrario di tutto: miriadi di pareri e TIA, in cui decine di Paesi venivano giudicati dall’uno adeguati e dall’altro inadeguati, e viceversa, e con mille sfumature. Si chiede a cittadini, imprenditori, professionisti, funzionari pubblici, attivisti del Terzo Settore di operare analisi strategiche e geopolitiche degne della migliore intelligence globale.
Una danza capricciosa e snervante di opinioni legal-tecniche, ciascuna in prospettiva soggettiva, sovraccaricata e preoccupata da oneri valutativi su questioni assai più grandi di titolari e responsabili e avvocati e informatici. Ma come: su questioni di tale portata internazionale, da riservarsi logicamente, razionalmente direi, a un vaglio centralizzato e istituzionale, si strumentalizza il principio di responsabilizzazione fino a mettere sulle piccole spalle di ogni esportatore il peso di queste valutazioni?
Il risultato è prodigioso: combina insieme iniquità e falsa applicazione del diritto, sfondamento del principio di proporzionalità, frammentazione, anzi polverizzazione degli orientamenti sull’(in)adeguatezza. A leggere le venture, vaghe ed eventuali limitazioni all’esportazione di dati non personali all’estero, previste nelle pieghe di Data Act e Data Governance Act, vengono i brividi, guardando all’esperienza attuale con il GDPR e i dati personali.
Il nuovo accordo per il trasferimento di dati UE-USA
Risolverà qualcosa il nuovo accordo per il trasferimento di dati UE-USA, annunciato il 25 marzo 2022 dai Presidenti Von der Leyen e Biden? La sensazione, stando ai pochi contenuti disponibili, è che esso servirà principalmente a comprare qualche anno di tempo negli scambi tra Europa e Stati Uniti, e che andremo avanti così, di sentenza in sentenza, di accordo in invalidazione, d’invalidazione in accordo (tra dieci anni, avremo la sentenza Schrems V?). Inoltre, quale che sia la robustezza di questo nuovo patto transatlantico, esso non risolverà il problema dei trasferimenti verso il resto del mondo. I problemi interpretativi e applicativi, tristemente distorsivi, che ho brevemente elencato sopra, rimarranno.
Un appiglio – cioè un rimedio residuale, quasi una consolazione parziale – potrebbe derivare da una prossima revisione, meno restrittiva, delle casistiche di deroga previste dall’articolo 49 del GDPR, o almeno dal ripensamento della loro interpretazione autentica (adottata dal Comitato Europeo per la Protezione dei Dati con le Linee Guida 2/2018). Per esempio, si potrebbe scolpire un’ulteriore ipotesi, direttamente nell’art. 49, a definire i contorni di un risk-assessment che contempli le condizioni obiettive del trasferimento, la natura dei dati e tutti gli elementi che potrebbero fare la differenza, pur in presenza di una destinazione giuridicamente pericolosa. Ancora, in una riedizione delle Linee Guida 2/2018 (o anche solo in un provvedimento di un’Autorità Garante illuminata), si potrebbe ragionevolmente riconoscere che l’occasionalità di un trasferimento in deroga, necessario all’esecuzione di un servizio contrattualizzato dall’interessato (art. 49.1.b) GDPR), vada misurata sull’interessato specifico in quel dato contesto, e non sulla sistematicità del mestiere svolto dal titolare o dal responsabile del trattamento. Oggi, se affidiamo al corriere un pacchetto da spedire in Russia o chiediamo al tour operator di prenotarci un hotel in Cina, essi ci devono chiedere un consenso esplicito, libero, specifico e informato per ciascun trasferimento? Suvvia, non è realistico, non è gestibile (il consenso va annotato ed è revocabile), non è tutelante né desiderabile neppure per l’interessato.
Conclusioni
In assenza d’interventi, l’alternativa, temo, non potrà che essere una proliferazione di TIA, valutazioni d’impatto e pareri, caotici e creativi quanto basta (ma tanto, c’è l’accountability) ad assicurarci sul fatto che Russia e Cina siano Paesi sostanzialmente equivalenti all’Unione Europea, nel rispetto dei diritti e delle libertà fondamentali. E poi un valzer di sentenze, sanzioni, prescrizioni, punizioni a colpire chi non ha fatto l’impossibile-insostenibile per essere conforme.
