Un’inchiesta del Wall Street Journal fa luce sul mercato dei dati personali negli Stati Uniti e sul modo poco trasparente in cui questi dati finiscono per essere acquisiti dalle agenzie federali e utilizzati all’interno dei programmi di sorveglianza governativi.
Ciò che sembra emergere è un mondo opaco, fatto di cessioni di database da parte di società che raccolgono dati di navigazione sul web di utenti, spesso inconsapevoli, che finiscono per essere monitorati non solo da chi vuol proporre loro pubblicità personalizzata sul web, ma anche dalle agenzie governative che, al di là di un mandato giudiziario, possono monitorare gli spostamenti di miliardi di individui.
Il caso Mobilewalla
Mobilewalla è una delle società coinvolte dall’inchiesta, il cui core business è la vendita di spazi pubblicitari online. Per consentire agli inserzionisti di arrivare al consumatore in target, raccoglie dati di navigazione e di geolocalizzazione. Il materiale promozionale dell’azienda, secondo la ricostruzione del Wall Street Journal, proclama di essere in possesso dei dati personali di 1,6 miliardi di dispositivi, raccolti in oltre 35 paesi.
Dall’inchiesta, inoltre, emerge che nei dataset ceduti non vi non siano dati anagrafici degli interessati, ma viene assegnato all’interessato un identificativo alfanumerico che evita la circolazione di informazioni relative alla persona fisica. Ai fini dell’advertising è infatti sufficiente raggiungere il dispositivo che si connette e sapere quali sono le preferenze di chi lo utilizza, non è necessario conoscere i dati anagrafici dell’utente. Tuttavia, se il dataset viene acquisito da una società legata alle agenzie di intelligence, risalire all’identità reale dell’individuo diventa un’operazione abbastanza semplice: basta confrontare il luogo in cui il telefono si trova per lunghi periodi (ad esempio durante le ore notturne) e confrontarlo con una serie di dati di traffico, come gli acquisti online, per arrivare a collegare il dispositivo alla persona fisica che lo utilizza. Ciò in assenza di un mandato da parte di un organo giurisdizionale o amministrativo e di una disciplina in materia di data protection che consenta all’interessato di mantenere il controllo dei propri dati e di conoscere a chi vengono ceduti i propri dati e per quali finalità.
I timori sull’adeguatezza del sistema statunitense
Quanto emerge dall’inchiesta risveglia le preoccupazioni che erano state espresse dalla Corte di Giustizia Europea nella cosiddetta sentenza Schrems che, il 16 giugno 2020, aveva invalidato il Privacy Shield come strumento di trasferimento dei dati personali tra Unione Europea e gli Stati Uniti d’America (sentenza CJEU nel caso C-113/18).
Alla base della decisione vi era il timore che i dati personali dei cittadini europei venissero ceduti alle agenzie governative nell’ambito dei programmi di sorveglianza di massa e che, pertanto, non godessero della protezione che il Regolamento UE n. 2016/679 (GDPR) offriva alle persone fisiche stabilite all’interno dell’Unione Europea.
In particolare, la Corte evidenziava che la normativa statunitense autorizzava le agenzie federali, sulla base della sezione 702 del Foreign Intelligence Surveillance Act (FISA) e dell’Executive Order numero 12333, a richiedere alle imprese statunitensi l’accesso ai dati in loro possesso, anche se relativi a soggetti estranei alla giurisdizione americana e senza adeguati rimedi per gli interessati in caso di accesso illegittimo.
L’inchiesta sembrerebbe far emergere un modo di accesso ai dati completamente al di fuori del controllo di legalità del procedimento amministrativo previsto dalla sezione FISA702 e dell’E.O. 12333, lasciando alle agenzie la possibilità di comprare interi dataset e monitorare miliardi di dispositivi di soggetti ignari di tale controllo, per finalità del tutto incompatibili con quelle di marketing profilato.
Tale eventualità, tutt’altro che remota visto il numero di dati dichiaratamente trattati da una delle aziende coinvolte dall’inchiesta, ha delle ricadute su coloro che esportano dati al di fuori dell’Unione Europea proprio alla luce dei principi espressi dalla Corte di Giustizia.
L’impatto della sentenza Schrems sui trasferimenti di dati
Infatti, la Corte di Giustizia, nell’invalidare il Privacy Shield, ha ricostruito la regolamentazione dei trasferimenti partendo proprio dall’art. 44 GDPR che prevede l’obbligo per il titolare del trattamento di garantire che il livello di protezione delle persone fisiche offerto dal regolamento non sia pregiudicato dal trasferimento.
Venuta meno la decisione di adeguatezza della Commissione Europea che considerava il trasferimento fondato sul Privacy Shield come adeguato agli standard di protezione offerti dal GDPR, si è reso necessario ricorrere ad altri meccanismi giuridici su cui fondare i trasferimenti di dati e, in particolare, si è assistito al ricorso alle Standard Contractual Clauses, la cui validità è stata confermata dalla Corte di Giustizia.
Tuttavia, la decisione richiama l’art. 46 GDPR che pone come condizione per il trasferimento la circostanza che il soggetto extra-UE abbia fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi. Ne è derivato l’obbligo per i titolari di verificare l’adeguatezza delle garanzie offerte ed eventualmente individuare delle misure supplementari che integrassero, su base contrattuale, il livello di protezione che l’ordinamento del paese di destinazione dei dati non è in grado di offrire.
Le ricadute dell’inchiesta sui Titolari del trattamento europei
All’indomani della pubblicazione della sentenza Schrems, dunque, coloro che effettuavano trasferimenti di dati verso gli Stati Uniti sulla base del Privacy Shield si sono trovati nella necessità di verificare l’adeguatezza del trasferimento e di individuare le misure supplementari.
L’European Data Protection Board (EDPB) ha tentato di offrire ai Titolari del trattamento delle raccomandazioni su quelle che potevano essere considerate misure supplementari idonee a garantire la sicurezza del trasferimento e individuando dei parametri per valutare l’adeguatezza del paese destinatario del trasferimento sulla base delle argomentazioni svolte dalla Corte di Giustizia dell’Unione Europea.
Il Transfer Impact Assessment (TIA), o valutazione dell’impatto del trasferimento, è diventato un’esigenza imprescindibile per molti titolari del trattamento europei al fine di dimostrare, secondo il principio di accountability, la valutazione sulla sicurezza del trasferimento.
Infine, l’approvazione delle nuove condizioni contrattuali standard da parte della Commissione Europea il 4 giugno 2021 ha segnato ancora una volta l’esigenza per i titolari del trattamento di verificare la conformità dei trasferimenti.
Non solo trasferimenti all’estero
Tuttavia, l’inchiesta del Wall Street Journal pone la luce anche su un altro aspetto che merita attenzione da parte dei titolari del trattamento, che è rappresentato dalla cessione dei dati a terzi per finalità di marketing, anche all’interno dello Spazio Economico Europeo.
La cessione del dato a terzi, infatti, è stato sotto la lente d’ingrandimento dell’Autorità Garante per la protezione dei dati personali nei recenti provvedimenti contro il cosiddetto “telemarketing selvaggio”.
In tali provvedimenti, il Garante ha ribadito alcuni principi generali in materia di cessione del dato a terzi per finalità di marketing che valgono anche tra società appartenenti allo stesso gruppo e nel caso in cui siano oggetto di cessione dei dati personali pseudonimizzati.
I principi vigenti sono i seguenti:
- La cessione del dato a terzi per finalità di marketing proprie del terzo deve essere indicata nell’informativa resa all’interessato dal titolare che raccoglie il dato (il cedente);
- La base giuridica per la cessione a terzi per finalità di marketing è il consenso espresso dell’interessato, distinto dal consenso generalmente prestato per le attività di marketing proprie dell’interessato;
- L’acquirente del data set dovrà, quindi verificare la legittimità della raccolta del dato verificando le condizioni di liceità del trattamento (resa dell’informativa e acquisizione del consenso alla cessione);
- Una volta ricevuto il data set, al primo contatto con gli interessati, il nuovo Titolare dovrà rendere una propria informativa ex art. 14 GDPR.
- Laddove siano previste finalità ulteriori a quella di marketing proprio, il terzo dovrà acquisire autonomamente i consensi necessari al trattamento (ad esempio per un trattamento di geolocalizzazione);
L’obiettivo del legislatore è quello di garantire all’interessato il controllo sui propri dati, di sapere chi li sta trattando e per quali finalità (quindi escludendo la raccolta a sua insaputa di dati per finalità di sorveglianza di massa). L’interessato deve essere in grado di prestare o rifiutare il consenso liberamente e di essere edotto se i propri dati verranno ceduti a terzi.
La centralità del consenso
Nell’ambito digitale, la centralità del consenso e della consapevolezza dell’interessato si ricava dalle norme in materia di comunicazioni elettroniche, ed è un aspetto più volte enfatizzato dalle nuove linee guida del Garante in materia di cookie e tracciatori informatici, soprattutto nei casi in cui si utilizzino software di terze parti che comunicano dati non anonimizzati a terzi.
Ne deriva che è fondamentale garantire la correttezza del trattamento sia per i dati raccolti – verificando le informative, le basi giuridiche e la corretta gestione dei consensi – sia nell’ambito dell’eventuale acquisizione di data-set da terzi per evitare di trattare illecitamente il dato.
Tali operazioni, laddove coinvolgano player extra UE, andranno analizzate anche alla luce dei principi della sentenza Schrems, al fine di evitare che un eventuale trasferimento sia prodromico a un trattamento illegittimo.
La mancata valutazione dell’adeguatezza del trasferimento potrebbe rendere il trasferimento in violazione dell’art. 45 GDPR e pertanto rientrare nelle ipotesi previste dall’art. 83 par. 5 lett. c) GDPR, la cui infrazione prevede l’irrogazione di una sanzione fino a 20 milioni di euro o il 4% del fatturato annuo globale, analogamente alla violazione dei principi del trattamento, delle condizioni di liceità e del mancato rispetto dei diritti degli interessati.
Conclusioni
L’inchiesta del Wall Street Journal suggerisce agli operatori anche l’opportunità di procedere all’esecuzione di audit periodici al fine di verificare successivamente all’esportazione quali siano le condizioni del trattamento di dati ed evitare che dati personali, magari erroneamente considerati anonimi, siano oggetto di cessione incontrollata.