Lo svolgersi della questione trasferimento dati estero, post Schrems II è da seguire con molta attenzione. E non solo dai diretti interessati delle norme. L’esito infatti sarà anche cartina tornasole di una raggiunta o non raggiunta maturità dell’Unione europea nel grande scacchiere internazionale e nel confronto con le big tech.
Questione complicatissimo e dall’esito, appunto, ancora non chiaro.
Trasferimento dati all’estero, facciamo il punto
Il GDPR, coerente in questo con la Direttiva 95/46, ha un Capo intero, il Capo V dedicato a disciplinare il trasferimento dei dati all’estero.
Il principio generale del trasferimento legittimo dei dati è quello di “assicurare che il livello di protezione delle persone fisiche garantito dal presente regolamento non sia pregiudicato” (art.44 ultima parte).
Recentemente la Corte di giustizia nella causa c-311/18 nota come Schrems II ha specificato ulteriormente questo principio affermando che l protezione dei dati personali garantita nell’Area Economica Europea (EEA) deve accompagnare i dati ovunque essi vadano. E ha aggiunto a maggior chiarimento che il trasferimento di dati non può avere come conseguenza quella di diminuire o cancellare la protezione assicurata nell’Area Economia Europea. Infine ha ancora precisato che la protezione dei dati assicurata all’estero non deve essere identica a quella garantita all’interno della EEA ma sostanzialmente equivalente.
Sulla base di questo principio ha dichiarato la illegittimità del riconoscimento di equivalenza dichiarato dalla Commissione Europea con la decisione nota come Schrems 2, ma ha ribadito che, poiché lo scopo del GDPR è quello di garantire la libera circolazione dei dati nell’Unione e anche a livello globale, i soggetti che intendono trasferire i dati fuori dall’EEA verso gli USA o altre zone del globo possono farlo a condizione che si servano di adeguate standard clauses o di strumenti di trasferimento (transfer tools) che assicurino in via contrattuale un livello di protezione sostanzialmente equivalente.
La Corte di Giustizia UE carica di responsabilità
La posizione della Corte è tanto chiara quanto carica di responsabilità nei confronti di chi trasferisca dati all’estero e di chi li riceva quanto delle Autorità che siano chiamate a valutare se gli accorgimenti adottati dati soggetti trasferenti e da quelli riceventi assicurino un livello di sicurezza adeguato, tendo conto della legislazione in vigore nel territorio in cui i dati sono trasferiti.
Contestualmente ha riaffermato la possibilità per i titolari del trasferimento dei dati di avvalersi degli altri strumenti previsti dal GDPR quali appunto le standard contractual clauses o misure adeguate a assicurare un livello di tutela compatibile con quello garantito dal GDPR.
Non vi è dubbio dunque che la decisione della Corte di giustizia non ha dichiarato illegittimo qualunque trasferimento di dati extra UE verso territori che non beneficino della dichiarazione di adeguatezza rilasciata dalla Commissione UE ai sensi dell’art. 45 del GDPR ma è chiaro che allo stesso tempo la pronuncia della Corte ha posto a carico dei titolari del trasferimento, siano essi trasferenti o riceventi, la responsabilità di garantire che i dati mantengano una adeguata tutela anche a seguito del trasferimento stesso e che di questo, come del trasferimento in atto, debbano essere adeguatamente informati gli interessati ai dati trasferiti.
Ove questi requisiti non siano rispettati il trasferimento è da considerarsi illegittimo proprio perché non assicurare che la tutela “viaggi” insieme ai dati trasferiti e sia l’interessato che altri soggetti legittimati possono a tal fine presentare ricorso alla Autorità garante competente affinché essa accerti l’eventuale violazione del GDPR e commini una sanzione adeguata.
E’ evidente che questo meccanismo, in parte dovuto al dettato normativo del GDPR e in pare all’interpretazione che di esso ha dato la Corte di giustizia comporta in concreto difficoltà di applicazione assai notevoli giacché la valutazione del livello di sicurezza assicurato in seguito la trasferimento è totalmente rimessa i soggetti trasferenti e riceventi i quali devono a tal fine svolgere una adeguata DPIA, oltre che inserire nel proprio registro dei trattamenti quelli relativi ai trasferimenti svolti.
Il giudizio ultimo sulla legittimità della decisione assunta dai trasferenti e dai riceventi dei dati è poi dell’Autorità garante competente, che potrà anche essere sentita in via preventiva ma che in ogni caso, se destinataria di eventuali ricorsi, deciderà in via successiva.
Le ricadute sulla leading authority di protezione dati
E’ ovvio che questa impostazione comporta implicitamente il riconoscimento di un rilevante potere per l’Autorità garante di volta in volta interessata.
Proprio perché la legittimità o la illegittimità dei trasferimenti è tutta legata a valutazioni da fare in concreto rispetto ai singoli trasferimenti, alla tipologia dei dati trasferiti e alla valutazione dell’ordinamento giuridico del territorio nel quel i dati stessi sono trasferiti è ben possibile che in concreto possano verificarsi “zone grigie” soprattutto con riguardo alla legislazione vigente sul territorio di ricezione dei dati e sulla modalità con le quali essa è applicata. Il meccanismo posto in essere dalla Corte con la sua pronuncia crea oggettivamente una possibile zona grigia che spetterà poi alla Autorità di volta in volta competenti chiarire.
A prima vista questa impostazione appare di forte rafforzamento del ruolo delle Autorità e spinge a considerare essenziale anche il rafforzamento dei loro organici da parte degli Stati nazionali. Non vi è dubbio, infatti, che la decisione della Corte di giustizia si inserisce di fatto nella strategia che la UE sta seguendo da alcuni anni di contrasto alla prevalenza delle OTT nella fornitura di servizi di archiviazione e trattamento di dati provenienti da ogni parte del mondo sia perché il loro trasferimento è necessario agli utenti dei servizi offerti dalle OTT sia perché alle loro piattaforme si accede in misura crescente, soprattutto dal territorio della UE, anche per utilizzare i servizi offerti in cloud.
Da questo punto di vista si potrebbe pensare che di fatto vi sia stato una sorta di coordinamento tra gli indirizzi seguiti dalla Commissione UE e finalizzati a promuovere il cloud europeo e a contenere i servizi digitali offerti dalle grandi piattaforme internazionali e la decisione Schrems II, il cui primo effetto è stato certamente quello di contenere l’emorragia di dati che da anni si verificava dal territorio della UE verso l’area USA o comunque extra UE.
Ovviamente tuttavia l’indirizzo seguito dalla Corte di giustizia presenta un rischio evidente: quello di condurre a una frammentazione dell’unità di applicazione del GDPR sul territorio della EEA proprio come conseguenza del ruolo assegnato alle Autorità, alle quali spetta in ultima analisi giudicare la legittimità in concreto dei trasferimenti operati.
Il meccanismo leading authority
Va detto tuttavia che questo rischio è parzialmente limitato dal meccanismo della Leading Authority previsto dall’art.56 del GDPR e che si applica ovviamente anche rispetto ai trattamenti consistenti in trasferimenti di dati all’estero.
Per contro va anche detto che proprio questa impostazione ha messo in tensione di fatto il meccanismo stesso della leading authority, come dimostra il ruolo crescente assunto dalla Autorità irlandese in ragione del noto fenomeno che ha visto negli anni il concentrarsi in Irlanda della sede in UE di molte OTT. Non solo: quanto qui detto spiega anche perché sempre più spesso la Autorità irlandese guadagni l’attenzione delle cronache e, soprattutto, le critiche delle altre Autorità nazionali grazie alle sanzioni, giudicate raramente davvero adeguate, imposte alle OTT in ragione appunto dei trasferimenti di dati dal territorio EEA al territorio USA connesso alle forniture dei servizi da loro assicurati.
Va tenuto presente infatti che proprio il meccanismo della leading authority finisce per concentrare nella Autorità irlandese il compito di combattere un fenomeno, quello del trasferimento di dati all’estero senza adeguate condizioni di sicurezza, sul quale in questo momento stanno indagando numerose Autorità nazionali in ragione dei ricorsi ricevuti. Autorità che sanno assai bene che comunque non è nelle loro competenze comminare sanzioni se non ai soggetti nazionali che i avvalgono di servizi cloud offerti dagli OTT senza adeguate garanzie, ma sanno bene anche che queste sanzioni, se non accompagnate dall’intervento coerente della leading authority, possono provocare rilevanti asimmetrie competitive. Tuttavia molte Autorità nazionali, compresa quella italiana, sembrano voler continuare sulla strada intrapresa nei confronti degli tenti di questi servizi, il che meriterebbe una adeguata discussione anche sul piano nazionale mentre è certamente utile che concorrano egualmente all’accertamento dei fenomeni anche per poter premere in misura giustificata sulla Autorità capofila.
Le raccomandazioni EDPB su trasferimento dati
Un altro aspetto che in questa intricata vicenda va tenuto presente è che le Autorità di protezione dati dei Paesi EEA hanno da tempo approvato in sede di EDPB Raccomandazioni dedicate a definire istruzioni adeguate rivolte a chi trasferisca dati fuori dallo spazio EEA per essere compliant con le indicazioni della Corte di giustizia e con le norme del GDPR che queste richiamano.
Particolare attenzione merita la “Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data” Version 2.0, adottata il 18 giugno 2021 e che, per quanto si sa anche tendo conto dei programmi di lavoro dello EDPB, potrebbe essere ulteriormente integrata da nuove istruzioni nei prossimi mesi.
Lo scopo essenziale di questa Raccomandazione è di indicare ai titolari dei trasferimenti una serie di azioni da porre in essere per verificare in modo adeguato la sussistenza di misure adeguate e per integrare i propri registi di trattamento e le proprie DPIA comprendendo anche quelle relative ai trasferimenti di dati all’estero.
La Raccomandazione individua sei serie di verifiche da fare sulle potenziali forme idi informazione e alcuni esempi di misure integrative che possono essere messe in campo proprio per assicurare una adeguata tutela dei dati.
In parte sono indicazioni rilevanti anche perché di portata generale e che possono esser utilizzate anche rispetto alla DPIA in generale o ad altri trattamenti di dati che un titolare debba porre in essere. In parte invece restano inevitabilmente generiche metodologiche proprio perché lo EDPB non ritiene di potersi sostituire ai titolari nelle valutazioni da fare e nella individuazione delle misure da adottare. Se infatti avesse adottate raccomandazioni più (o troppo) vincolanti avrebbe inciso eccessivamente sulla autonoma responsabilità dei titolari che, come sappiamo, costituisce un pilastro fondamentale del GDPR e che anche la Corte di giustizia ha voluto sottolineare.
Ovvio, di conseguenza, che anche queste linee guida o tools lascino un ampio margine di autonomia ai titolari dei trattamenti e quindi anche alle Autorità di protezione dati nel giudicare le valutazioni di volta in volta fatte e la efficacia delle misure integrative adottate.
Scorrendo velocemente questa Raccomandazione si constata che per le Autorità garanti la prima tappa che il titolare dei trasferimenti deve fare e della quale deve conservare traccia da esibire in caso di richiesta è “avere piena consapevolezza dei propri trasferimenti”.
Questo comporta la necessità di “mappare” tutti i trasferimenti di dati vero Paesi terzi che il titolare ponga in essere. In questa attività di mappatura dei trasferimenti il titolare deve anche verificare l’adeguatezza dei trasferimenti posti in essere e che essi siano limitati allo stretto necessario rispetto alle finalità perseguite.
Il secondo livello è verificare se la base del trattamento che ponete in essere è o no ricompresa tra quelle previste dal titolo V del GDPR. Se tra le basi vi è una dichiarazione di adeguatezza della Commissione rispetto al Pase destinatario del trasferimento il titolare deve verificare anche la durata della decisione. Ove non vi sia alcuna decisione di adeguatezza o questa abbia una durata inadeguata il titolare deve verificare se può basare il trasferimento su una delle basi indicate nell’art. 46 del GDPR. Lo EDPB precisa infatti che il ricorso alle deroghe previste nell’art.49 può avvenire solo in casi limitati e sempre che ne sussistano le condizioni. Come dice la Raccomandazione, infatti, le deroghe non possono esser utilizzate in maniera tale da diventare esse stesse non più deroghe a una regola ma la regola stessa. Per questo il ricorso alle deroghe previste dall’art. 49 deve essere ristretto a situazioni specifiche che ne giustifichino l’uso.
Il terzo livello di controllo deve verificare se vi sono elementi nella legislazione e nelle pratiche seguite nel Paese di destinazione che possono incidere sulla effettività delle misure di salvaguardia. Nell’ambito di questo controllo, da fare ovviamente prima di operare il trasferimento, il titolare deve verificare se la legislazione di salvaguardia esistente nel Paese terzo è o no effettivamente applicata; se in quel Paese si adottano modalità di attuazione incompatibili con la tutela o se in quel Paese la stessa legislazione è carente; se il trasferimento o l’importatore dei dati possono cadere nel mirino di una legislazione problematica rispetto alla tutela dei dati. Ove ricorrano queste situazioni l’esportatore può decidere di sospendere il trasferimento o di prprre all’importatore l’adozione di garanzie contrattuali ulteriori.
Naturalmente tutti questi accertamenti devono essere condotti con le adeguate garanzie e con la necessaria diligenza e la Autorità di controllo competente può chiederne la prova o la dimostrazione.
Il quarto livello di verifica comporta l’eventuale accertamento delle misure che possono rendersi necessarie per raggiungere il livello di tutela richiesto dal GDPR. In ordine alle misure eventualmente adottabili o da valutare la Raccomandazione dello EDPB contiene un apposito allegato, l’Annesso 2; che a sua volta indica una lista non esaustiva di esempi di misure supplementari. Queste misure possono essere efficaci in un Paese ma non in un altro. Se il titolare verifica la loro inadeguatezza deve sospendere il trasferimento. Anche di questa verifica va tenuta idonea documentazione.
Un quinto livello di verifica riguarda il caso in cui l’adozione di misure supplementari possa richiedere specifiche formalità, legate anche alle bsi dei trattamenti Le raccomandazioni contenute nell’Annesso specificano anche questa formalità.
In ogni caso il titolare può sentire la Autorità competente prima di decidere.
Il sesto e ultimo livello di controllo riguarda la necessità di rivalutare a intervalli regolari il livello di protezione assicurato ai dati trasferiti e il monitoraggio del loro perdurare nel tempo. Infatti, ricorda lo EDPB, il principio di accountability richiede una vigilanza costante sul livello di protezione.
Le Autorità di controllo a loro volta devono monitorare la applicazione del GDPR e valutare le misure adottate dagli esportatori per garantire un livello sostanzialmente adeguato di protezione.
Infine lo EDPB annuncia che intende continuare a sviluppare le Linee guida adottate e svolger un ruolo di coordinamento delle Autorità all’interno dello stesso EDPB per garantire una effettiva applicazione del GDPR e delle raccomandazioni adottate.
In conclusione
Il quadro così ricostruito mostra la notevole complessità del sistema posto in essere dallo EDPB per offrire tanto ai titolari quanto alle stesse Autorità di controllo linee guida adeguate a rendere possibile di continuare il trasferimento di dati all’estero ma adottando misure e garanzie adeguate a rendere effettivo il principio che i dati devono circolare insieme alle misure che ne assicurano la tutela.
Non vi è dubbio tuttavia che il sistema che deriva dal “combinato disposto” tra la decisione della Corte di giustizia Schrems II e le Raccomandazioni dello EDPB delinea un quadro regolatorio estremamente complesso da attuare e inevitabilmente a forte rischio di differenze anche rilevanti di applicazione.
In sostanza non si può tacere la convinzione che la vicenda aperta dalla decisione della Corte di giustizia sia tutt’altro che conclusa. Al contrario appare evidente che per trovare un assetto stabile appare inevitabile un futuro nuovo intervento regolatorio della UE. Tuttavia preliminare è che la UE decida se continuare o no nella “guerra” intrapresa con le piattaforme USA e in generale con gli OTT e con i fornitori di servizi digitali strategici messi a disposizione di operatori UE da territori extra UE senza adeguate garanzie sulla stabilità delle forniture dei servizi stessi e sulla tutela delle modalità con le quali tali servizi sono forniti e i dati raccolti sono conservati, cancellati, utilizzati.
Da questo punto di vista non si può tacere che più di una perplessità sulle scelte future della UE in questo campo è legata al ritardo col quale il Consiglio e il Parlamento stanno affrontando l’esame delle numerose proposte regolatorie presentate alla Commissione ormai da più di un anno. Il riferimento è ovviamente al Digital package presentato ormai circa un anno fa e anche, e soprattutto, alla Direttiva e-privacy la cui definitiva approvazione continua a essere rinviata di semestre in semestre.
A Bruxelles si mostra sicurezza nel ritenere che terminata la Presidenza slovena e avviata quella francese nel primo semestre del 2022 si potranno dare le condizioni di una Pressione sufficientemente forte a garantire impulso e decisionalità su questi punti.
Quello che è certo è che anche la vicenda qui ricostruita mostra la debolezza della architettura istituzionale dell’Unione e dei suoi processi decisionali.
Una debolezza che nella digital age rischia di costare molto all’Unione e alla sua legittima pretesa di essere considerate di agire come global player nella competizione digitale.
