Dal primo gennaio in California è in vigore il California Consumer Privacy Act. Un passo avanti nella gestione dei dati personali negli Usa che, sulla scia del GDPR europeo, determinerà nuove sfide per le aziende tecnologiche che si concentrano nello Stato governato da Gavin Newsom. Ma l’Europa come si pone rispetto a questo passaggio? Ecco un’analisi delle varie tendenze in campo e delle conseguenze che potranno verificarsi per la giurisprudenza americana e il business dei dati.
Una decisione dell’Europa sull’adeguatezza della California potrebbe consentire alle organizzazioni con sede in California di trasferire dati dall’UE senza la necessità di essere certificati Privacy Shield o utilizzare altre garanzie appropriate (come le clausole contrattuali standard o le regole aziendali vincolanti).
La Commissione europea a fine gennaio del 2019 ha riconosciuto il regime di protezione dei dati del Giappone adeguato ai sensi del Regolamento generale europeo sulla protezione dei dati (GDPR). È la prima decisione di adeguatezza da quando il GDPR è entrato in vigore e probabilmente è anche il precedente da cui prenderà il via una road map per altri paesi o territori in cerca di approvazione da parte dell’UE.
Privacy, la strada intrapresa dagli Usa
La California è tra questi? Negli Stati Uniti, molte aziende si trovano attualmente in una fase piuttosto intensa guidata dal processo verso la conformità alle normative sulla privacy: adeguamento ai requisiti stabiliti dal Regolamento generale sulla protezione dei dati dell’Unione europea (GDPR) ma anche all’introduzione del California Consumer Privacy Act (CCPA).
Dopo mesi di attività di lobbying, scrutinio e dibattito, il California Consumer Privacy Act CCPA, emanato il 28 luglio 2018 (e modellato sul GDPR, imponendo nuovi requisiti di protezione dei dati a determinate società e garantendo nuovi diritti ai residenti in California) è infatti entrato in vigore il primo gennaio 2020 e con esso anche i nuovi diritti relativi all’accesso, alla cancellazione e alla condivisione dei dati personali raccolti dalle aziende.
Il procuratore generale della California non ha tuttavia ancora promulgato i regolamenti necessari per l’attuazione del CCPA e, inoltre, sono previsti fino a sei mesi dopo l’entrata in vigore della normativa per la sua effettiva applicazione. Tale termine viene visto con una certa attenzione dalle aziende che nel frattempo si chiedono se l’efficacia del medesimo atto di legge possa essere considerata retroattiva sino alla data della sua entrata in vigore o se diversamente, le azioni di non conformità ricadenti nel termine “di grazia” possano considerarsi escluse dagli imperativi del provvedimento.
Di fatto qualunque analisi approfondita sul provvedimento dovrà attendere la seconda parte dell’anno quando nella più grande economia degli USA, il CCPA si applicherà ad una percentuale rilevante di grandi imprese variamente dislocate.
L’effetto GDPR sugli altri Paesi
Anche altri Stati, sulla scia dello Stato californiano hanno deciso di dirigersi verso la costituzione dei propri statuti sulla privacy; mentre le grandi aziende tecnologiche “si sono schierate” in vario modo a favore di forme di regolamentazione federale della privacy, preoccupate della prospettiva di dover rispettare 50 (+!) regolamentazioni.
La tendenza a proteggere la privacy dei propri residenti è già stata colta da Nevada, Maine, Columbia, Porto Rico e, ultimi in ordine di tempo, New York e Massachusetts e, nel suo insieme, è certo che cambierà il modo in cui le organizzazioni raccoglieranno, utilizzeranno e proteggeranno i dati personali, creando nel contempo sfide ed opportunità significative, indipendentemente dalle loro dimensioni e dai confini fisici delle rispettive ubicazioni territoriali.
Il momento appare dunque propizio per riflettere su una questione di una certa rilevanza: la California potrebbe ambire ad avere un proprio accordo sulla protezione della privacy separato dal resto degli Stati Uniti? La Commissione europea prenderebbe in seria considerazione una tale richiesta?
Un tale quesito ha caratterizzato anche la discussione al Parlamento Europeo in occasione della Terza revisione annuale dell’Accordo Privacy Shield.
Pro e contro l’ok della Ue alla California
“We have to keep in mind that the Privacy Shield does not function in a vacuum but is part of a broader context of the evolving privacy landscape in the U.S.” così introduce la discussione Bruno Gencarelli, Capo dell’unità internazionale per i flussi di dati e la protezione presso la Commissione europea (è stato responsabile del lavoro della Commissione nel settore della privacy negli anni decisivi della riforma legislativa e dei negoziati UE-USA).
Ed è a questo punto che l’eurodeputato Patrick Breyer, esponente del Partito Pirata tedesco ed europeo, noto per il suo atteggiamento critico nei confronti dell’attuale accordo UE/USA, confermato dallo stesso anche in occasione dei recenti sviluppi del caso SchremsII (potenzialmente incidenti per ovvie ragioni in ambito Privacy Shield), non si è lasciato sfuggire l’occasione di approfondire l’affermazione introduttiva di Bruno Gencarelli e, dopo aver premesso come le aziende tecnologiche più importanti si trovino proprio nella Silicon Valley californiana, ha innescato un vivo dibattito sulla possibilità o meno che l’UE potesse stipulare un accordo di adeguatezza ex art 45 GDPR con uno stato degli Stati Uniti, qualora l’accordo sul trasferimento dei dati di Privacy Shield tra l’UE e gli Stati Uniti dovesse essere invalidato.
Gencarelli ha risposto alle pressioni di Breyer in maniera piuttosto chiara confermando che il GDPR non esclude a priori una tale circostanza ma che anzi sono contenute in esso specifiche disposizioni in tal senso.
“The GDPR provides expressly for the possibility to recognize as adequate a territory at sub-federal level, because when we developed the GDPR, we actually anticipated that in some federal systems, certain parts of that system, certain entities, certain states, are competent to decide. So the Californian process is ongoing, as we know, but in principle, the answer is yes, of course”.
Cosa c’è dietro le decisioni di “adeguatezza”
Le decisioni di adeguatezza non sono nuove. La Direttiva sulla protezione dei dati del 1995 , già contemplava meccanismi di trasferimento di flussi di dati dall’UE verso paesi terzi le cui leggi interne erano ritenute adeguate. E il GDPR ha ereditato da questa non solo il quadro regolatorio specifico in materia di trasferimenti ma anche le precedenti decisioni di adeguatezza. Le determinazioni prese ai sensi della direttiva antecedente rimangono infatti valide ai sensi del nuovo regime fino a quando non verranno modificate sostituite o abrogate da un’altra decisione della Commissione adottata a seguito della valutazione periodica.
Il principio generale enunciato nell’art 44 e ss. del GDPR, con il duplice scopo di:
- disciplinare le “trasmissioni” di dati all’estero al fine di garantire agli interessati il medesimo livello di protezione oltre lo spazio fisico dell’UE,
- evitare atteggiamenti diversivi e strumentali dei Titolari altrimenti in condizione di eludere le disposizioni del Regolamento Europeo semplicemente “spostando” i dati in territorio extra UE,
ha chiaramente inteso operare nel contesto delle disposizioni sui trasferimenti una sorta di “sticky regulation” (ovvero una regolamentazione “attaccata” ai dati) della circolazione dei dati, e degli spostamenti anche temporanei, dei dati personali al di fuori dell’Unione Europea. L’art 45.1 GDPR, perseguendo la stessa logica, stabilisce espressamente che le decisioni di adeguatezza valutate ed eventualmente assunte o invece revocate dalla Commissione non debbano necessariamente riguardare il paese terzo nella sua interezza bensì possano riferirsi anche solo ad un “territorio o uno o più settori specifici all’interno di un paese terzo”.
E quindi una decisione sull’adeguatezza della California, teoricamente ammissibile, potrebbe consentire alle organizzazioni con sede in California di trasferire dati dall’UE senza la necessità di essere certificati Privacy Shield o utilizzare altre garanzie appropriate (come clausole contrattuali standard o regole aziendali vincolanti).
I criteri adottati dalla Commissione Ue
Per rispondere è richiesta una prima analisi di base della normativa e dello stato dell’arte.
L’art 45.2 GDPR non contiene specifici requisiti ai quali la Commissione europea deve riferirsi nel concedere una determinazione dell’adeguatezza ma prevede un elenco di criteri che devono essere valutati dalla Commissione nell’assunzione delle pertinenti determinazioni ed interpretati in chiave di “equivalenza sostanziale” del livello di protezione rispetto alle garanzie e tutele dei diritti infra UE.
Questi includono:
- La considerazione dello stato di diritto ed il rispetto dei diritti umani e delle libertà fondamentali.
- L’analisi e l’attuazione dell’afferente legislazione generale e settoriale e della legislazione specifica sulla protezione dei dati sia nel settore pubblico che in quello privato, comprese le norme per il trasferimento successivo dei dati personali verso un altro paese terzo o un’altra organizzazione internazionale.
Sul punto la California è molto attiva ed un elenco completo di tutte le leggi sulla protezione dei dati è disponibile sul sito web del Dipartimento di Giustizia dello Stato della California ne evidenzia la portata.
- L’esame della giurisprudenza relativa ai diritti fondamentali e della presenza o meno di ricorsi giudiziari e amministrativi effettivi ed azionabili. Al momento appare prematura ogni analisi riconducibile all’affettiva tutela apportata in California con il CCPA, tenuto anche conto del termine di comporto di sei mesi previsti. Le valutazioni dovranno posticiparsi alla seconda metà dell’anno.
- L’esame dell’esistenza di altri accordi internazionali del paese terzo, in particolare in relazione alla protezione dei dati: Privacy Shield ad esempio ma anche Convenzione 108 come da Consid.105.
- La valutazione circa la presenza e l’effettivo funzionamento di una o più autorità di controllo indipendenti nel paese terzo o a cui è soggetta l’organizzazione internazionale, in grado di attuare anche meccanismi di cooperazione internazionale per la protezione dei dati personali.
Questo è uno degli aspetti più critici al momento. In California, una specifica California Privacy Protection Agency è tuttora assente sebbene non appaia tuttavia remota la sua costituzione, essendo la questione oggetto di recenti discussioni e rinnovati disegni di legge (dopo lo stallo del febbraio 2018).
Entrando nel dettaglio, il processo verso la decisione di adeguatezza si articola in quattro fasi:
- Presentazione della proposta della Commissione europea nel quadro dei criteri espressi dall’art 45.2 e delle Linee Guida pertinenti
- Parere dell’European Data Protection Board
- Approvazione da parte dei rappresentanti dei paesi dell’UE
- Adozione della decisione da parte della Commissione europea
Finora la Commissione europea ha riconosciuto Andorra, Argentina, Canada (solo organizzazioni commerciali), Isole Faroe, Guernsey, Israele, Isola di Man, Giappone (prima decisione post GDPR – da gennaio 2019 i dati dall’Europa potrebbero essere trasmessi in Giappone senza requisiti aggiuntivi), Jersey, Nuova Zelanda, Svizzera, Uruguay e Stati Uniti d’America (limitatamente alle organizzazioni aderenti al Privacy Shield) come Paesi terzi a protezione sostanzialmente equivalente e dunque adeguata.
Differenze chiave fra GDPR e CCPA
Malgrado evidenti somiglianze, sono ad oggi ravvisabili diverse divergenze su questioni chiave tra CCPA e GDPR, che incidono in varia misura, sebbene nulla appaia assolutamente ostativa, nell’ottica del meccanismo di adeguatezza ai sensi dell’art 45 GDPR.
Analisi delle principali divergenze:
- Il CCPA si applica agli enti a scopo di lucro che rispondono a specifici requisti dimensionali e finanziari tali da soddisfare la definizione legale di “business”;
- il GDPR si estende invece ad un insieme molto più ampio di soggetti che comprende organizzazioni pubbliche e private a scopo di lucro e senza scopo di lucro. Pertanto, se la California dovesse ottenere una decisione di adeguatezza, questa sarebbe probabilmente simile alla decisione canadese, ovvero parziale, avendo una portata limitata solo alle “organizzazioni commerciali” regolate dalla Canadian Personal Information Protection and Electronic Documents Act.
- Il nucleo dei diritti riconosciuti agli interessati diverge tra le due legislazioni. Il CCPA non fornisce agli individui uno specifico diritto di correggere informazioni personali inesatte e il diritto all’eliminazione è limitato alle informazioni che l’azienda ha ottenuto dal consumatore. Al contrario, il GDPR consente alle persone di richiedere che le informazioni personali siano corrette o cancellate anche se non sono state raccolte direttamente dall’individuo, salvo limitate eccezioni. Mentre il GDPR fornisce all’interessato il diritto di rinunciare al trattamento dei dati con diversi mezzi e tra questi la revoca del consenso, il CCPA limita il diritto di opporsi al trattamento limitatamente alle informazioni “vendute” a terzi.
- il GDPR prevede specifiche basi giuridiche per l’elaborazione dei dati. Tra queste il consenso reso in forma non equivocabile, informato, libero e specifico. Il CCPA, al contrario, non menziona esplicitamente il consenso o altre basi legali di trattamento relegandole implicitamente nell’alveo del dovere di informazione che compete ai titolari del trattamento.
Il CCPA si concentra prevalentemente solo sull’enumerazione dei diritti del consumatore e dei doveri dell’azienda. Il principio di finalità viene considerato invece in maniera piuttosto similare tra i due corpi normativi.
Niente authority per la California
Come emerso, la maggiore distanza tra le due legislazioni consiste nella mancanza di un’autorità di controllo indipendente. Il CCPA conferma in capo all’Ufficio del procuratore generale della California (CAG) una certa autorità di regolamentazione e di esecuzione compresa la capacità di gestire contenziosi in caso di non conformità e comminazione delle conseguenti sanzioni (il mancato rispetto del CCPA può comportare ammende per le imprese nella somma di 7500 dollari per violazione e di 750 dollari per utente interessato, in qualità di risarcimento per i danni civili).
Il procuratore generale della California, ruolo attualmente ricoperto da Xavier Becerra, ha il compito di assicurare che “le leggi dello stato, compreso il CCPA, siano applicate in modo uniforme e adeguato” e svolge le responsabilità della sua funzione attraverso il Dipartimento di Giustizia della California. Dispone anche di un’unità di applicazione e protezione della privacy: unità che, sebbene con risorse piuttosto limitate, esiste sin dal 2012, dopo che l’Ufficio indipendente per la protezione della privacy è stato sciolto a causa dei tagli di bilancio e il suo direttore trasferito all’unità privacy CAG.
Tutto ciò non pare però ancora rispondente ai criteri previsti dal GDPR. Il Procuratore non ha infatti la connotazione riconosciuta ad autorità di controllo indipendente ed i suoi poteri sono piuttosto limitati. Tuttavia, la mancanza di un’autorità indipendente per la protezione dei dati potrebbe non essere fatale.
Ciò per diversi motivi: come già anticipato la California ha infatti già iniziato le discussioni su una nuova Legge recentemente proposta e nota come California Privacy Rights Act (CPRA) che, ponendosi a corredo del provvedimento cardine rappresentato dal CCPA, tra le sue previsioni include l’istituzione di una nuova Agenzia per la protezione della privacy della California, che sarebbe responsabile dell’applicazione e attuazione delle leggi sulla privacy dei consumatori e dell’imposizione di ammende amministrative. Va da sé che la progressione di una tale misura sarà senza dubbio uno degli sviluppi importanti da osservare nel prossimo anno.
Adeguatezza: il precedente argentino
Inoltre, quando l’Argentina si è trovata in condizioni similari nel 2003, (poiché l’Autorità di vigilanza argentina, ospitata presso il Ministero della giustizia, destava dubbi e perplessità in Europa circa il connotato di indipendenza richiesto), la Commissione europea ha approvato comunque la decisione di adeguatezza riservandosi di monitorare l’evolversi dei fatti nel prosieguo. E di fatto l’Argentina alla fine ha modificato la struttura della sua autorità di vigilanza nel 2016 per rispondere alle preoccupazioni iniziali sull’indipendenza.
Pertanto, la California potrebbe sostenere che il CAG ha comunque un’applicazione e una supervisione procedurali sufficienti e che possono giustificare un primo avvicinamento funzionale agli obiettivi del GDPR, e quindi negoziare con l’UE il modo migliore per sviluppare ed accelerare l’introduzione di un’agenzia indipendente. L’attenzione riversata sul CPRA ne rafforzerebbe gli apprezzabili intenti.
I vantaggi di una decisione di adeguatezza
Ferme le deroghe previste dall’art 49 GDPR, e malgrado il percorso appaia allo stato ancora abbastanza visionario, i vantaggi di una decisione di adeguatezza europea per le società californiane sarebbero di tutta evidenza:
- Le vicende legate alle sorti piuttosto claudicanti del Privacy Shield (applicabile dal 01 agosto 2016) e l’ingerenza degli immanenti controlli della FTC verrebbero fortemente attenuati se non eliminati.
- Gli oneri ed i rischi legali e finanziari collegati alle clausole contrattuali standard in corso sarebbero parimenti azzerati.
- Le imprese in California avrebbero un percorso preferenziale di tutto rispetto per operare sin da subito trasferimenti di dati dal SEE rispetto al resto delle aziende statunitensi. Un vantaggio destinato ad accrescere nelle incertezze dell’attuale contesto di legittimazione della circolazione dei dati personali tra UE e USA.
- I costi rilevanti della conformità sostenuti dalle organizzazioni per l’adeguamento al CCPA e al GDPR verrebbero sottratti all’alea di rischio legata alla possibile invalidazione, anche giudiziale (vedi caso Schrems I – sentenza CGUE 6 ottobre del 2015 e Schrems II ) dell’attuale Accordo o dei meccanismi di trasferimento alternativi quali le clausole contrattuali standard o norme vincolanti d’impresa, rimanendo la decisione di adeguatezza non influenzabile dalle rispettive vicende.
- I trasferimenti di dati personali potrebbero avere luogo senza “ulteriori autorizzazioni (consid 103)”.
Ai ritmi di oggi chi non sa guardare al futuro non sa nemmeno affrontare il presente e certamente la strada della decisione di adeguatezza è una possibilità per la California come per l’UE che vale la pena esplorare.
Ammessa la concreta possibilità di una decisione di adeguatezza UE/California, in seguito, in sede di successiva ri-valutazione attuata mediante la procedura dell’art 93.2 GDPR, la California sarebbe come ogni paese terzo o organizzazione internazionale sottoposta al riesame del suo status almeno ogni quattro anni da attuarsi sulla base “degli sviluppi rilevanti nel paese terzo o organizzazione internazionale”. Ciò se da una parte comporta per la California un preciso dovere di presidio e monitoraggio dell’attuazione del sistema di protezione dei dati, dall’altra non esclude che l’esito negativo del riesame possa evitare la revoca della decisione potendo bensì limitarsi alla modifica o sospensione temporanea ferme le dovute consultazioni e salvo casi di estrema urgenza.
L’ostacolo delle restrizioni federali
Vi sono tuttavia altre problematiche di non poco conto che vanno considerate e riguardano le restrizioni a livello federale che potrebbero ostacolare il raggiungimento di questo obiettivo: la Costituzione degli Stati Uniti impedisce ai singoli Stati la possibilità di disciplinare la protezione dei dati in modo globale. Trattandosi di un’area regolata a livello federale, una legge generale sulla protezione dei dati della California potrebbe quindi essere ritenuta incostituzionale o addirittura invalidata poiché in contrasto con normative federali pre-esistenti. Non a caso, nel 2005, la Corte Federale d’Appello del 9 ° Circuito dichiarò che il Financial Information Privacy Act (CalFIPA) della California, che limitava la condivisione di informazioni personali da parte di istituti finanziari, era impedito dal Federal Fair Credit Reporting Act: una successiva sentenza del 2009 ristabilì l’efficacia di alcune parti della legge in questione, ma solo limitatamente alle restrizioni non già coperte dalla legge federale.
L’alternativa se così fosse consisterà, per la California come per altri paesi terzi, nel perseguimento non tanto del meccanismo delle clausole contrattuali standard quanto di quello relativo alle norme vincolanti d’impresa (BCR Binding Corporate Rules) nei confronti delle quali EDPB ed Autorità nazionali sembrerebbero aver trovato una linea comune di implementazione secondo i dettami del GDPR.
Benché onerosi e complessi i BCR sono diventati sempre più interessanti per quelle aziende impegnate nei trasferimenti transfrontalieri di dati personali dal SEE, specie a causa delle continue sfide legali poste alla validità delle clausole contrattuali standard.
I benefici del libero flusso di dati
Un aspetto di primo piano riguarda invece il ruolo degli accordi commerciali attualmente conclusi o al vaglio dell’UE in tutto il mondo poiché coinvolgendo direttamente il trasferimento dei dati personali al loro interno, sono in grado di assumere un’importanza strategica ed una leva di sviluppo cruciale e certo meritano la nostra migliore attenzione possibile.
L’importante determinazione del 23 gennaio 2019 con la quale la Commissione Europea ha adottato la Decisione di adeguatezza relativa al Giappone, integrando l’accordo di partenariato economico UE-Giappone, ha consentito alle realtà economiche di entrambi i Paesi di trarre vantaggi dal libero flusso di dati in quello che viene considerato il più grande spazio al mondo di circolazione sicura dei dati personali, stabilendo contemporaneamente anche il fatto per cui, nell’era digitale, la promozione di standard elevati di protezione dei dati personali e l’agevolazione del commercio internazionale devono e possono andare di pari passo.
Qui un’utile panoramica degli accordi commerciali in corso (aggiornata a novembre scorso) che può fungere da ulteriore stimolo di riflessione nel contesto attuale delle relazioni internazionali economiche e politiche.
