Il Privacy Shield resta invalidato, dal 2020, anche se sembra sempre più vicino un nuovo accordo transatlantico tra Usa-Europa compatibile col Gdpr per il trasferimento dati tra Europa e Stati Uniti.
Il 7 ottobre il presidente USA Joe Biden ha emesso un ordine esecutivo in questa direzione, ma ancora la partita non è chiusa.
La conseguenza che abbiamo avuto finora dalla rottura del privacy shield è che tutte le società che risiedono in USA come Apple, Google e Facebook e che trattano i nostri dati, di cittadini europei in base all’accordo appunto del Privacy Shield non potranno più farlo. Diventa illecito.
La sentenza della Corte di Giustizia Ue sul Privacy Shield
È questo l’impatto evidente della sentenza, annunciata nel 2020, della Corte di Giustizia dell’Unione Europea: ha dichiarato invalida la decisione 2016/1250 della Commissione europea sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy (Privacy Shield). Invalida perché non sembra garantire sui dati europei tutele sufficienti, alla luce del Gdpr, nei confronti dei programmi di sorveglianza del Governo Usa (agenzia NSA) svelati da Edward Snowden.
Ha giudicato valida, invece, la decisione 2010/87 relativa alle clausole contrattuali tipo per il trasferimento di dati personali stabiliti in paesi terzi.
L’unica via è quindi ora usare un’altra base giuridica prevista dal Gdpr, diversa dallo Shield, per il trasferimenti dati all’estero e spostare sede e serve in UE.
Shrems, come siamo arrivati a questo punto
Tutto è cominciato nel 2013 quando un cittadino austriaco, Maximillian Schrems, iscritto a Facebook, presentava denuncia all’autorità Irlandese di controllo chiedendo che a Facebook venisse vietato di trasferire i dati dall’Irlanda agli USA, sostenendo che il diritto e le prassi degli Stati Uniti non assicurano una protezione sufficiente contro l’accesso da parte delle pubbliche autorità ai dati trasferiti verso tale paese.
La denuncia veniva inizialmente respinta (siamo ancora nella vigenza della direttiva 95/46/CE) sulla base del rilievo che in precedenza[1] si era stabilito che gli Stati Uniti d’America, offrivano un adeguato livello di protezione.
Nel 2015 però, la Corte di Giustizia (chiamata a pronunciarsi su una questione pregiudiziale) dichiarava invalida questa decisione riaprendo quindi la questione. Schrems, quindi, ripresentava la sua denuncia reiterando le preoccupazioni circa il fatto che gli USA non offrano una protezione sufficiente per i dati trasferiti verso questo paese.
Occorre precisare che la base giuridica che legittimava il trasferimento dei dati, allora, era la decisione 2010/87 ossia le clausole contrattuali tipo e pertanto, veniva presentata una domanda di pronuncia pregiudiziale sulla validità di tali clausole.
Cos’è il Privacy Shield e com’è nato
Nelle more, intanto, veniva emanato il regolamento europeo sulla protezione dei dati (Gdpr) e la commissione adottava la decisione 2016/1250 sull’adeguatezza della protezione offerta dallo scudo UE-USA per la privacy. Il Privacy Shield, appunto.
Alla lettera il privacy shield è lo “scudo per la privacy”, un accordo tra fra UE e USA (fra Commissione Europea e Dipartimento del Commercio degli Stati Uniti) che serve a tutelare la riservatezza dei dati personali dei cittadini europei in caso di trasferimento oltreoceano a scopo commerciale. Si basa un meccanismo di autocertificazione che le società Usa devono seguire per ricevere dati personali dall’Unione europea.
Non era finita qui però: venivano quindi portate innanzi alla Corte di Giustizia entrambe le decisioni, sollevando questioni sulla loro validità.
Il punto: il GDPR si applica ad un trasferimento di dati personali effettuato a fini commerciali da un operatore economico stabilito in uno Stato membro verso un operatore economico stabilito in un Paese terzo anche se, durante o dopo detto trasferimento, tali dati possono essere soggetti a trattamento a fini di sicurezza pubblica, di difesa e di sicurezza dello Stato ad opera delle autorità del Paese terzo considerato.
Si tratta quindi di comprendere se le clausole contrattuali tipo e il US-EU privacy shield, pur consentendo il trattamento dei dati da parte delle autorità del paese terzo, offrano garanzie adeguate; il che si traduce nel fatto che gli interessati, i cui dati siano stati trasferiti in paesi terzi, debbano godere di un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’Unione da detto regolamento attinenti a garanzie adeguate, diritti opponibili e mezzi di ricorso effettivi.
La sentenza della Corte
La Corte ha esaminato la prima decisione (2010/87 sulle clausole contrattuali tipo) ed ha riscontrato che questa, pur basandosi su statuizioni contrattuali che, come tali, non sono in grado di vincolare gli Stati al loro rispetto, contiene meccanismi efficaci che consentono, in pratica, di garantire che sia rispettato il livello di protezione richiesto dal diritto dell’Unione e che i trasferimenti di dati personali, fondati su tali clausole, siano sospesi o vietati in caso di violazione di tali clausole o di impossibilità di rispettarle.
Il meccanismo è semplice quanto efficace: preliminarmente c’è l’obbligo che incombe su entrambe le parti (esportatore e destinatario) di verificare, preliminarmente, che tale livello di protezione sia rispettato nel Paese terzo considerato, successivamente, il destinatario dei dati deve informare l’esportatore della sua eventuale impossibilità di conformarsi alle clausole tipo di protezione, con l’onere, in tal caso, per il fornitore di sospendere il trasferimento di dati e/o di risolvere il contratto concluso con il destinatario.
La seconda decisione (2016/1250 sull’ adeguatezza della protezione offerta dallo scudo UE-USA) invece, sancisce il primato delle esigenze attinenti alla sicurezza nazionale, all’interesse pubblico e al rispetto della normativa statunitense, rendendo così possibili ingerenze nei diritti fondamentali delle persone i cui dati sono trasferiti verso tale Paese terzo.
Secondo la Corte, le limitazioni della protezione dei dati personali che risultano dalla normativa interna degli Stati Uniti non sono inquadrate in modo da rispondere a requisiti sostanzialmente equivalenti a quelli richiesti, nel diritto dell’Unione, dal principio di proporzionalità e stretta necessità.
Inoltre, quanto al requisito della tutela giurisdizionale, la Corte ritiene che il meccanismo di mediazione previsto da tale decisione non fornisce a tali persone un mezzo di ricorso dinanzi ad un organo che offra garanzie sostanzialmente equivalenti a quelle richieste nel diritto dell’Unione, tali da assicurare tanto l’indipendenza del Mediatore previsto da tale meccanismo quanto l’esistenza di norme che consentano al suddetto Mediatore di adottare decisioni vincolanti nei confronti dei servizi di intelligence statunitensi. Per tutte queste ragioni la Corte dichiara invalida la decisione 2016/1250.
Addio privacy shield, quali conseguenze per le società
L’intero capo V del regolamento europeo per la protezione dei dati personali tratta dei “trasferimenti di dati verso paesi terzi o organizzazioni internazionali” sancendo i principi e le regole cui le società che intendano esportare i dati devono attenersi.
In particolare, si stabilisce che i dati possano essere trasferiti sulla base di:
– una decisione di adeguatezza (come il privacy shield)
– Trasferimento soggetto a garanzie adeguate (clausole standard tra cui quelle contrattuali)
– Norme vincolanti d’impresa
Oppure, in assenza di ciò, attraverso altri strumenti[2].
L’impatto di questa decisione è forte.
Tutte le società che risiedono in USA e che consentono il trasferimento sulla base della loro adesione al privacy shield, da oggi smettono (in teoria) di essere compliant e quindi, a meno che non facciano immediatamente ricorso ad un’altra base giuridica di cui al titolo V, non potranno più trattare i dati personali degli utenti dei loro clienti.
Pensiamo a Google, Facebook, Apple (quelle californiane, però, non le società europee); ad un Mailchimp; ad ActiveCampaign; FaceApp; Magento ed alla quantità inimmaginabile di dati che conserva; in totale sono 5378 le società che si affidano a questo “scudo” per garantire un livello di protezione dei dati (in)adeguato[3].
Adesso dovranno fare compliance Gdpr e spostare sede e serve in UE.
Amazon, invece, per citare un altro esempio, si affida alle clausole contrattuali e sarebbe salva.
Resta solo da aspettare e vedere quello che succederà, tenendo presente che: “Il rinvio pregiudiziale consente ai giudici degli Stati membri, nell’ambito di una controversia della quale sono investiti, di interpellare la Corte in merito all’interpretazione del diritto dell’Unione o alla validità di un atto dell’Unione. La Corte non risolve la controversia nazionale. Spetta al giudice nazionale risolvere la causa conformemente alla decisione della Corte. Tale decisione vincola egualmente gli altri giudici nazionali ai quali venga sottoposto un problema simile”.
E siamo certi che, nelle more dei giudizi, questi colossi si adegueranno per non perdere milioni di introiti.
Il primo caso italiano: Caffeina Media, il Garante Privacy e Google analytics
E’ seguita una fase di incertezza normativa con diversi provvedimenti di autorità privacy, tali per cui più volte si è addirittura temuto che Meta-Facebook potesse uscire dall’Europa.
A giugno Il Garante italiano ha anche intimato a Caffeina Media a trovare alternative a Google Analytics, appunto perché il trattamento dati fatto con Analytics non poteva più essere coperti giuridicamente dal privacy shield. Problemi simili in altri casi anche con Google Fonts, molto usate tra l’altro dalle PA.
Trasferimento transfrontaliero dei dati personali: come tutelarsi dopo il caso Caffeina Media
Tuttavia la rottura del privacy shield è affare non di poco conto, con ricadute geopolitiche per i rapporti Usa-Europa. In questa situazione nessuna autorità se l’è sentita di prendere posizioni forti e determinate.
Verso un nuovo accordo Usa-Europa: Trans-Atlantic Data Privacy Framework
Del resto stanno procedendo i colloqui ad alto livello per un nuovo accordo per il trasferimento dati facilitato, Usa-Europa, che possa in teoria soddisfare i principio dell’UE: il Trans-Atlantic Data Privacy Framework.
Il 7 ottobre il Presidente Biden ha firmato un decreto esecutivo sul rafforzamento delle salvaguardie per le attività di intelligence degli Stati Uniti. Definisce le misure che gli Stati Uniti adotteranno per attuare gli impegni assunti nell’ambito del Quadro sulla privacy dei dati tra Unione europea e Stati Uniti (DPF) annunciato dal Presidente Biden e dalla Presidente della Commissione europea von der Leyen nel marzo del 2022.
L’ordine esecutivo Biden
“Questi passi forniranno alla Commissione europea una base per adottare una nuova determinazione di adeguatezza, che ripristinerà un meccanismo di trasferimento dei dati importante, accessibile e conveniente ai sensi del diritto dell’UE. Inoltre, fornirà una maggiore certezza giuridica alle aziende che utilizzano le clausole contrattuali standard e le norme vincolanti d’impresa per trasferire i dati personali dell’UE negli Stati Uniti”, si legge.
In sintesi, l’ordine esecutivo rafforza le salvaguardie della privacy e delle libertà civili riguardo le attività di intelligence degli Stati Uniti e crea un meccanismo indipendente e vincolante che ci consentirà di chiedere un risarcimento se riteniamo che i nostri dati personali siano stati raccolti attraverso l’intelligence Usa in violazione della legge.
L’ordine richiede tra l’altro che le attività di intelligence siano condotte solo per perseguire obiettivi definiti di sicurezza nazionale, tengano conto della privacy e delle libertà civili di tutte le persone, a prescindere dalla nazionalità o dal Paese di residenza, e siano condotte solo quando necessario per portare avanti una priorità di intelligence convalidata e solo nella misura e con modalità proporzionate a tale priorità.
Impone quindi requisiti di trattamento per le informazioni personali raccolte attraverso le attività di intelligence ed estende le responsabilità dei funzionari legali, di supervisione e di conformità per garantire che vengano intraprese azioni appropriate per rimediare agli episodi di non conformità.
Il meccanismo a più livelli funzionerebbe così.
- Nell’ambito del primo livello, il funzionario per la protezione delle libertà civili presso l’Ufficio del direttore dell’intelligence nazionale (CLPO) condurrà un’indagine iniziale sui reclami ricevuti per determinare se le salvaguardie rafforzate dall’ordine esecutivo o altre leggi statunitensi applicabili sono state violate e, in caso affermativo, per determinare il rimedio appropriato.
- Come secondo livello di revisione, l’ordine autorizza e indirizza il Procuratore generale a istituire un Tribunale per la revisione della protezione dei dati (DPRC) per fornire una revisione indipendente e vincolante delle decisioni del CLPO, su richiesta dell’individuo o di un elemento della Comunità di intelligence. I giudici del DPRC saranno nominati al di fuori del governo degli Stati Uniti, avranno un’esperienza rilevante nel campo della privacy dei dati e della sicurezza nazionale, esamineranno i casi in modo indipendente e godranno della protezione contro la rimozione. Le decisioni del DPRC in merito all’esistenza di una violazione della legge statunitense applicabile e, in caso affermativo, alle misure correttive da adottare, saranno vincolanti. Per migliorare ulteriormente l’esame del DPRC, l’ordine prevede che il DPRC selezioni un avvocato speciale per ogni caso, che difenderà l’interesse del denunciante nella questione e garantirà che il DPRC sia ben informato sulle questioni e sulla legge in merito alla questione. Il Procuratore generale ha emanato oggi un regolamento di accompagnamento per l’istituzione del DPRC.
Ora spetterà alla Commissione europea analizzare l’ordine e valutare se dà abbastanza garanzie per siglare un nuovo accordo con cui garantire giuridicamente un trasferimento dati a condizioni facilitate.
Articolo uscito nel 2020 con la sentenza della Corte e aggiornato successivamente
NOTE
[1] decisione 520/2000
[2] a) l’interessato abbia esplicitamente acconsentito al trasferimento proposto, dopo essere stato informato dei possibili rischi di siffatti trasferimenti per l’interessato, dovuti alla mancanza di una decisione di adeguatezza e di garanzie adeguate;
- b) il trasferimento sia necessario all’esecuzione di un contratto concluso tra l’interessato e il titolare del trattamento ovvero all’esecuzione di misure precontrattuali adottate su istanza dell’interessato;
- c) il trasferimento sia necessario per la conclusione o l’esecuzione di un contratto stipulato tra il titolare del trattamento e un’altra persona fisica o giuridica a favore dell’interessato;
- d) il trasferimento sia necessario per importanti motivi di interesse pubblico;
- e) il trasferimento sia necessario per accertare, esercitare o difendere un diritto in sede giudiziaria;
- f) il trasferimento sia necessario per tutelare gli interessi vitali dell’interessato o di altre persone, qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
- g) il trasferimento sia effettuato a partire da un registro che, a norma del diritto dell’Unione o degli Stati membri, mira a fornire informazioni al pubblico e può esser consultato tanto dal pubblico in generale quanto da chiunque sia in grado di dimostrare un legittimo interesse, solo a condizione che sussistano i requisiti per la consultazione previsti dal diritto dell’Unione o degli Stati membri.
[3] È possibile effettuare una verifica tramite: https://www.privacyshield.gov/participant_search#
