Lo scorso 27 maggio l’European Data Protection Supervisor (EDPS) ha comunicato di aver avviato due indagini relative ai trasferimenti di dati personali effettuati da istituzioni, organi e agenzie dell’Unione Europea verso Paesi Terzi.
Trasferimento dati extra UE: indagini EDPS
Le indagini aperte dall’EDPS dimostrano la particolare attenzione che Wojciech Wiewiórowski sta prestando al tema dei trasferimenti di dati personali verso Paesi extra-EU e perseguono lo scopo di verificare la compatibilità con i principi espressi dalla sentenza Schrems II dei contratti stipulati dalle istituzioni europee (EUI) con due dei principali Over The Top (OTT) statunitensi, Amazon Web Service (AWS) e Microsoft.
Cloud, i dati delle PA gestiti da aziende extra-Ue? Ecco i rischi
Nello specifico, la prima indagine condotta dall’EDPS ha per oggetto l’erogazione di servizi cloud alle istituzioni europee da parte di AWS e Microsoft, mentre la seconda attiene all’utilizzo di Microsoft 365 da parte della Commissione Europea.
Per l’Autorità, i trasferimenti di dati personali verso gli USA assumono connotati di particolare criticità quando i dati trasferiti riguardano Istituzioni Europee che agiscono in veste di Titolari del Trattamento e che – una volta esportati in territorio statunitense – risultano essere potenzialmente soggetti ad attività di sorveglianza da parte di agenzie di intelligence straniere.
Le indagini annunciate dal Garante Europeo si collocano nel quadro della strategia, presentata dall’EDPS nell’ottobre 2020, finalizzata allo svolgimento di attività di monitoraggio in relazione ai trasferimenti di dati personali effettuati dalle Istituzioni Europee verso Paesi Terzi.
La strategia dell’EDPS dopo Schrems II
La sentenza Schrems II ha imposto a tutte le organizzazioni, sia pubbliche che private, profonde riflessioni sulle strategie di compliance da adottare e ha significativamente alterato gli equilibri dell’ecosistema digitale a livello globale. Tale decisione ha, pertanto, avuto un inevitabile impatto anche sull’operato delle Pubbliche Amministrazioni che, ancor più a seguito dell’accelerazione del processo di digitalizzazione, ricorrono ormai quotidianamente a soluzioni tecnologiche, come quelle di cloud computing, nello svolgimento delle proprie attività e nell’erogazione dei servizi al cittadino.
Il Garante Europeo, consapevole che il cloud computing rappresenta l’infrastruttura digitale alla base di gran parte dello sviluppo in campo tecnologico e del fatto che a tale infrastruttura fanno frequentemente ricorso anche le Istituzioni Europee, ha ritenuto opportuno delineare un’apposita strategia europea per i trasferimenti di dati personali da parte di enti pubblici, che utilizzasse un approccio basato sul rischio e che fornisse orientamenti in grado di perseguire l’obiettivo della compliance anche in relazione ai trasferimenti verso Paesi Terzi. La sentenza della CGUE ha infatti evidenziato come in tali circostanze – in particolare nel caso di esportazioni di dati verso gli USA – i dati riconducibili ai cittadini europei siano sottoposti a specifici rischi, incluse limitazioni ai diritti e alle libertà fondamentali dei soggetti interessati.
Alla base della strategia dell’EDPS vi sono il principio di accountability e il principio di cooperazione. Il primo impone ai Titolari del Trattamento di garantire, verificare e dimostrare la conformità al GDPR, anche in relazione ai trasferimenti di dati personali verso Paesi extra-EU. Il principio di cooperazione prevede, invece, la collaborazione tra le Data Protection Authority e le diverse Istituzioni Europee.
Nel quadro così delineato, l’EDPS ha richiesto alle Istituzioni Europee di porre in essere una serie di azioni a breve, a medio e a lungo termine.
Le azioni richieste
In primo luogo, le istituzioni europee sono state chiamate dall’EDPS ad individuare (o meglio a mappare) tutti i trasferimenti di dati personali verso Paesi Terzi effettuati sulla base dei contratti in essere e a presentare – al più tardi entro lo scorso 15 novembre – un report che indicasse i rischi specifici emersi per ciascun trasferimento durante tale operazione di “mappatura”.
I report così elaborati dovevano inoltre contenere informazioni relative alle eventuali esportazioni di dati personali che non fossero basate su uno degli strumenti di trasferimento previsti dal GDPR, oltre a dettagli relativi ai trasferimenti effettuati sulla base di deroghe ex. Art. 50 Regolamento (UE) 2018/1725 e a quelli effettuati verso società USA soggette al Foreign Intelligence Surveillance Act (FISA) 702. Tale normativa consentirebbe, infatti, alle autorità governative statunitensi di avere accesso ai dati personali oggetto di trasferimento, permettendo alle agenzie USA di esercitare una sproporzionata attività di sorveglianza ed esponendo i soggetti interessati a rischi e limitazioni dei diritti e delle libertà individuali. A questo proposito è importante ricordare che sono soggetti alla normativa U.S. FISA 702 tutti gli internet service provider (ISP) che risultino essere fornitori di servizi di comunicazione elettronica ai sensi dell’Electronic Communication Privacy Act (ECPA).
In tale contesto, l’EDPS ha anche incoraggiato le Istituzioni Europee ad evitare di porre in essere qualsiasi nuova attività di trattamento che comporti trasferimenti di dati personali verso Paesi Terzi e a non stipulare nuovi contratti con provider che effettuino trasferimenti di dati personali extra-UE nell’ambito di qualsiasi attività di trattamento.
Successivamente a tale operazione di mappatura, l’EDPS ha indicato – come attività da compiere a medio termine – la necessità per le Istituzioni Europee di portare a termine un case-by-case “Transfer Impact Assessment” (TIA) che permetta ai Titolari del Trattamento di effettuare una valutazione in merito al livello di protezione offerto dalla legislazione del Paese Terzo verso cui i dati sono trasferiti, così da rilevare se tale normativa sia in grado di garantire un livello di protezione sostanzialmente equivalente a quello offerto dalla normativa europea.
In relazione alle azioni da compiere nel lungo termine, l’EDPS ha dichiarato il suo impegno nel continuare a collaborare con l’European Data Protection Board per la definizione di raccomandazioni e linee guida che offrano a Titolari e Responsabili del trattamento strumenti utili alla compliance.
Nel mirino dell’EDPS le relazioni contrattuali tra EUI e Cloud Service Provider USA
Le indagini recentemente avviate dall’EDPS nei confronti di Amazon e Microsoft hanno fatto seguito alle valutazioni svolte dall’Autorità sui report presentati dalle Istituzioni Europee in relazione ai trasferimenti di dati personali da loro effettuati verso Paesi Terzi. Tali report hanno evidenziato come un elevato numero di trasferimenti verso Paesi extra-EU avvenga nell’ambito di relazioni contrattuali tra Istituzioni Europee e Cloud Service Provider basati negli USA che agiscono in veste di Responsabili (o Sub Responsabili) del Trattamento.
Wojciech Wiewiórowski ha dichiarato che, proprio a seguito delle analisi svolte sui report in relazione ai trasferimenti di dati personali effettuati dalle istituzioni Europee verso Paesi extra EU, è stato rilevato come alcune specifiche tipologie di contratti risultassero essere meritevoli di ulteriori approfondimenti.
L’Autorità ha aggiunto di essere consapevole del fatto che tali contratti siano stati sottoscritti in data anteriore alla pubblicazione della sentenza Schrems II e che, successivamente, sia Amazon che Microsoft abbiano annunciato di aver intenzione di implementare nuove misure di sicurezza volte a garantire la conformità ai principi espressi nella sentenza. In ogni caso, a parere dell’EDPS, le misure annunciate potrebbero non essere sufficienti a garantire adeguata tutela ai dati dei cittadini europei oggetto di trasferimento e, pertanto, ha ritenuto opportuno effettuare ulteriori specifiche indagini.
L’avvio di queste indagini condotte dall’EDPS nei confronti di due dei principali OTT (che vanno a sommarsi ai numerosi accertamenti svolti recentemente dalle DPA Europee nei confronti delle Big Tech statunitensi) mostra la volontà dell’Europa di garantire effettiva tutela ai diritti, alle libertà fondamentali dei cittadini europei e all’operato delle sue istituzioni.
Per rendere ancora più evidente la distanza tra l’approccio europeo e quello statunitense è importante ricordare che il 23 maggio 2018 il Congresso degli USA, al fine di redimere la controversia sorta con Microsoft Irlanda che si era opposta ad alcune richieste di accesso da parte di agenzie di intelligence, approvò il Clarifying Lawful Overseas Use of Data (CLOUD) Act che aggiornava il quadro giuridico relativo all’accesso ai dati processati dai provider di servizi di telecomunicazione. Con l’approvazione di tale normativa, la giurisdizione USA risulta esser estesa a tutti i Cloud Service Provider statunitensi consentendo alle autorità governative di acquisire i dati trattati dalle società che erogano servizi di cloud computing ovunque nel mondo, indipendentemente quindi dal luogo in cui sono localizzati i server.
Pertanto, mentre l’Europa con l’approvazione del GDPR e la definizione della sua portata extra territoriale aveva l’obiettivo di garantire la tutela dei diritti delle persone fisiche anche oltre i confini dell’Unione, gli Stati Uniti, con l’approvazione del Cloud Act avevano l’ambizione di esercitare la propria egemonia di controllo anche su informazioni processate fuori dal loro territorio ma tramite operatori soggetti alla giurisdizione statunitense. Il Cloud Act, inoltre, va oltre lo scope del GDPR, trovando applicazione anche ai dati relativi alle persone giuridiche o ai dati anonimizzati che, benché non riconducibili a persone fisiche identificate o identificabili, possono essere portatori di un intrinseco valore strategico.
Conclusioni
Le indagini avviate dall’EDPS nei confronti di Amazon e Microsoft si aggiungono alle numerose prese di posizione delle Autorità Europee nei confronti degli Internet Service Provider per la definizione di un modello europeo di cloud computing che sia in grado di offrire ai cittadini europei maggiori garanzie di tutela e li sottragga dal pericolo di una potenziale sorveglianza.
In questo contesto si colloca anche la proposta di schema di certificazione per i Cloud Service Provider presentata dall’European Union Agency for Cybersecurity (ENISA). Nel dicembre 2020 l’ENISA ha infatti risposto all’appello della Commissione Europea presentendo il primo schema di certificazione per i Cloud Service Provider volto a rafforzare la fiducia dei consumatori nella società digitale, a supportare le imprese europee che si occupano di innovazione e a rendere l’Europa maggiormente competitiva sul mercato globale. L’adozione di uno schema europeo di certificazione per i Cloud Service Provider potrebbe infatti non solo rafforzare il mercato interno dei servizi digitali ma offrire una valida alternativa – tutta europea – ai servizi erogati dagli OTT statunitensi a vantaggio degli utilizzatori finali.
Il 20 maggio 2021 l’European Data Protection Board ha approvato il primo codice di condotta transnazionale per i Cloud Provider ai sensi degli artt. 40 e 41 del GDPR e che si rivolge a tutte le tipologie di servizi cloud (SaaS, PaaS, IaaS). Nonostante l’adesione a tale codice di condotta non rappresenti condizione di liceità per il trasferimento di dati personali verso un Paese Terzo, l’adozione di un codice di condotta europeo persegue l’obiettivo di aiutare gli utilizzatori dei servizi cloud ad identificare quelli che offrono le maggiori garanzie di sicurezza e di promuovere la compliance all’interno di uno specifico settore.
La finalità comune di queste iniziative made in EU è quella di gettare la base per la creazione di un modello europeo, proponendo soluzioni alternative ai servizi erogato dagli OTT. In attesa che questo possa realizzarsi e che nuove alternative siano proposte sul mercato europeo, è di fondamentale importanza che tutte le autorità competenti, in primis le Data Protection Authority, continuino definire strategie che consentano di vigilare sull’operato delle Big Tech in modo da arginare i rischi di un controllo indiscriminato, tutelare l’operato delle Istituzioni Europee e assicurare adeguata protezione ai diritti e alle libertà fondamentali dei cittadini europei.
