La saga delle sentenze Schrems rappresenta una delle vicende più interessanti ed importanti nel contesto della protezione dei dati personali. Ha evidenziato le sfide e le complessità giuridiche del trasferimento di dati personali tra Unione Europea e Stati Uniti, sottolineando le difficoltà nel trovare soluzioni durature a questa tematica con gli strumenti forniti dal GDPR.
Tuttavia, per gli esperti del settore, l’importanza dei meccanismi di garanzia stabiliti dal Capo V del GDPR e le relative ripercussioni sui diritti e le libertà fondamentali degli individui sono ben chiare. Indubbio che questa sentenza ha avuto effetti molto forti sull’intero ecosistema della privacy, fino a minarne la sua reputazione e credibilità agli occhi dei cittadini e del mondo.
In questo contesto, il foresight emerge come uno strumento capace di traghettare il campo giuridico verso una maggiore proattività, consentendo una comprensione e una gestione più efficaci delle problematiche emergenti. Indagando il caso Schrems alla luce del foresight, è possibile evidenziare come un’accurata previsione avrebbe potuto mitigare gli effetti negativi provocati dallo stesso alle imprese europee, valorizzando il quadro normativo esistente e rafforzando la fiducia nella protezione dei dati nei confronti dei cittadini.
La saga Schrems: un esempio di mancanza di (pre)visione
In breve, l’inizio del nuovo millennio portò alla luce il cd. “Safe Harbor”, la decisione di adeguatezza, emessa ai sensi dell’articolo 45 GDPR, con cui la Commissione europea decretò gli Stati Uniti d’America quale “porto sicuro” (prendendo in prestito terminologie giuridiche da altri settori del diritto) in riferimento al trasferimento internazionale di dati personali.
Tale decisione, anche a causa delle rilevazioni di Snowden in tema di sorveglianza di massa delle comunicazioni da parte degli USA, fu portata all’attenzione della Corte di Giustizia dell’Unione Europea da parte di Max Schrems, avvocato austriaco e fondatore della ONG “noyb” (“none of your business”). Il Giudice Europeo, nel 2015, decise di invalidare il Safe Harbor in quanto gli USA non potevano essere considerati un Paese terzo con livelli di protezione dei dati personali e dei diritti fondamentali adeguati alle misure di garanzie poste in essere dalla normativa europea. Questo, principalmente, in considerazione, tra l’altro, della possibilità per le Autorità americane di accedere alle informazioni dei cittadini Europei in carenza di salvaguardie sufficienti per questi ultimi (sentenza cd. “Schrems I”).
Nel 2016 – appena un anno dopo – la Commissione emanò una nuova decisione di adeguatezza, il Privacy Shield. Anche quest’ultimo fu “sfidato” da Schrems sino ad arrivare, ancora una volta, al massimo Giudice Europeo. Il 16 luglio 2020, la Corte di Giustizia dell’Unione Europea, sempre per mancanza di garanzie adeguate, tra cui la presenza di atti e ordini esecutivi nell’ordinamento statunitense di una tale invasività per cui non sarebbe stato garantito un livello di protezione sostanzialmente equivalente rispetto al GDPR, decise di invalidare anche il Privacy Shield (cd. “Schrems II”).
L’impatto sulle imprese
A seguito di Schrems II, in un generale periodo di crisi a causa della pandemia prima e boom inflazionistico poi, le imprese europee si sono trovate in una situazione di forte instabilità. Di conseguenza, si sono rivolte, in cerca di aiuto, agli esperti del settore per trovare soluzioni sicure dal punto di vista legale che permettessero, allo stesso tempo, il prosieguo del business, in un panorama in cui anche le standard contractual clauses – altro possibile strumento per il trasferimento di dati extra UE – seppur formalmente valide erano state decisamente impattate dalla già citata sentenza.
Ed è proprio Schrems II che ha scoperchiato, una volta per tutte, la mancanza di quell’approccio anticipatorio menzionato poc’anzi.
Prima di affrontare la neonata decisione di adeguatezza emanata lo scorso luglio, è importante soffermarsi sul fatto che da un’analisi di quanto accaduto prima del 16 luglio 2020, Schrems II era verosimilmente prevedibile. In questo contesto di perenne indecisione e precarietà, gli esperti del settore, avvezzi ad un approccio “reattivo” e non “anticipante”, si sono concentrati sulla pagliuzza, anziché sulla trave.
Si è assistito ad una totale confusione nella quale le imprese europee hanno dovuto navigare a vista prendendo decisioni impattanti sul proprio modello di business nella più totale incertezza giuridica: a titolo esemplificativo, ma allo stesso tempo emblematico, il caso Google Analytics (“GA”)
A seguito del relativo provvedimento del Garante italiano[1], infatti, senza pretesa di entravi nel merito, è evidente che le aziende si sono divise tra quelle che hanno preso la decisione di cessare l’utilizzo di GA e quelle che, invece, hanno deciso di mantenerlo attivo assumendosene i rischi. Un’incertezza figlia della mancanza di un esercizio di previsione, in un senso o nell’altro. Un’incertezza, inoltre, che ha impattato le imprese europee anche in termini di concorrenza, sia interna (all’UE) che esterna.
In questo mare magnum di provvedimenti, indiscrezioni, comunicati stampa e sofferte decisioni aziendali, nel luglio scorso – da un giorno all’altro – le stesse imprese che hanno deciso di “spegnere” GA si sono ritrovate nella condizione di poterlo nuovamente “accendere” a seguito del nuovo Data Privacy Framework (DPF)[2].
Il nuovo DPF
Non è questa la sede per soffermarsi sugli aspetti tecnico-giuridici del DPF in ottica di una possibile nuova sentenza della Corte di Giustizia dell’UE. Basti affermare, per ora, che Max Schrems ha annunciato battaglia anche in questo caso[3] e altri hanno già seguito il suo esempio[4], anche se – è bene evidenziarlo – sono presenti opinioni contrastanti che mettono in risalto i grandi passi in avanti mossi con il DPF[5].
Si può, invece, sottolineare che, seppur sia passato pochissimo tempo dalla nuova decisione della Commissione, poco o nulla sembra cambiato con riferimento al modus operandi nel mondo privacy: si sta, ancora, reagendo all’evento, senza preoccuparsi di quanto avverrà, anticipandolo.
Paradossalmente, proprio questo dovrebbe essere il momento in cui le parti in gioco dovrebbero fermarsi e costruire un approccio proattivo verso soluzioni sicure, credibili e durature, non durante l’assenza di una decisione di adeguatezza in cui non v’è altro che fretta e preminenza di ragionamenti opportunistici.
L’importanza della previsione
Il caso Schrems, nel suo insieme, altro non è, quindi, che un esempio nel quale l’intero settore dei professionisti della data protection necessitano di previsione, di foresight. L’unica certezza dell’ultimo decennio è rappresentata dalla mancanza di esercizi di previsione di quelli che avrebbero potuto essere gli scenari futuri non tanto a valle – ossia dopo Schrems II – quanto a monte, ossia ben prima di Schrems I e delle rivelazioni di Snowden.
Il foresight è proprio quella disciplina che, a monte, avrebbe permesso di prevedere l’arrivo dello “tsunami” Schrems, data la situazione esistente in cui la quasi totalità dei dati dei cittadini dell’Unione si trovava localizzata già negli Stati Uniti. In tal modo, ad esempio, le aziende europee avrebbero potuto valutare se munirsi di una serie di servizi locali analoghi a quelli statunitensi (tutt’ora) utilizzati. Invece, non essendovi stato alcun esercizio di (pre)visione, molte aziende si sono trovate spiazzate. Infatti, un conto è prevedere l’arrivo di un problema e adeguarsi di conseguenza; un altro, evidentemente, è dover reagire quando è troppo tardi.
In questo senso, calato nel mondo data protection, un esercizio di foresight può essere un formidabile esercizio di data protection by design, da intraprendere prima dell’inizio del trattamento e che può fornire un fondamentale ausilio per corroborare il principio di accountability.
Conclusione
La mancanza di previsione ha comportato una serie di azioni che hanno generato reazioni e conseguenze considerevoli. La privacy è un transatlantico, non una piccola imbarcazione. Non si può pensare che una manovra possa essere invertita nel giro di pochi metri oppure una frenata possa arrestare la nave in tempi rapidi. Ogni azione ha conseguenze nel lungo termine.
Al riguardo, sarà proprio Regis Chatellier – manager di foresight del laboratorio di innovazione (LINC) del CNIL – a raccontarci come dare forma a questo tipo di nuove competenze. L’appuntamento è alla Milano Digital Week venerdì 6 ottobre, dalle 14 alle 18. A seguire, una tavola rotonda di specialisti dal settore pubblico, privato ed accademico approfondirà ulteriormente le intersezioni tra foresight e privacy.
