Il Gruppo Europeo dei Garanti ha pubblicato il 19 aprile il report del lavoro della cosiddetta “Task Force 101” istituita per coordinare il lavoro dei garanti nazionali sul tema dei trasferimenti di dati in USA dopo la sentenza Schrems II.
Dopo la sentenza cosiddetta “Schrems II” (Sentenza della Corte di Giustizia dell’Unione Europea nella causa C-311/18, risalente al 16 luglio 2020) l’organizzazione che fa capo all’attivista austriaco Max Schrems (NYOB) ha inviato alle autorità garanti europee ben 101 segnalazioni in merito ai trasferimenti di dati verso gli Stati Uniti effettuati da varie aziende e istituzioni (in particolare attraverso Google Analytics e gli strumenti business di Facebook).
In risposta a questa mole di segnalazioni il Gruppo Europeo dei Garanti ha istituito una “task force”, chiamata “Task Force 101” proprio in relazione al numero delle segnalazioni della NYOB, al fine di garantire la cooperazione ed uno scambio di informazioni efficace fra le varie autorità garanti in merito.
Dopo tre anni di lavoro il gruppo di lavoro ha steso e diffuso un report con lo scopo di divulgare quel “minimo comun denominatore” condiviso fra le varie autorità in relazione a come affrontare le segnalazioni NYOB e cosa è lecito e cosa no in relazione ai trasferimenti di dati in USA (con particolare riguardo agli strumenti tecnologici censurati dall’ONG fondata da Schrems).
I punti cardine del report della Task Force 101
La task force inizia elencando alcuni approdi di base costituiti dal fatto che:
- dopo la sentenza Schrems II i trasferimenti di dati fra USA e UE non possono più essere fondati sulla decisione di adeguatezza della Commissione UE del 12 luglio 2016 (fondata sul c.d. “Privacy Shield”);
- dopo la sentenza Schrems II i trasferimenti di dati fra USA e UE possono essere fondati sulle clausole contrattuali standard approvate dalla Commissione UE (che, sul punto, è intervenuta aggiornando le clausole contrattuali standard con atto del 04.06.2021) solo se queste sono accompagnate da misure supplementari le quali devono andare ad incidere, correggendole, sulle carenze del sistema giuridico USA segnalate nella decisione Schrems II (come l’assenza di una tutela giuridica effettiva e la possibilità di accesso generalizzato ai dati per finalità di contrasto al crimine);
- in questo contesto, la crittografia del dato non è sufficiente se le chiavi crittografiche sono in possesso del fornitore statunitense e questo ha un obbligo giuridico di consegnare le chiavi all’autorità USA ove richiesto (la crittografia, quindi, è uno strumento idoneo solo ove le chiavi sono in possesso unicamente della controparte europea);
- in questo contesto, la anonimizzazione del dato non è sufficiente se questa avviene dopo che il dato stesso è stato trasferito in USA (e quindi viene conservato, anche se per pochi secondi, in chiaro nei database USA del fornitore).
- il soggetto che implementa sul proprio sito web uno strumento che comporta il trasferimento di dati in USA va considerato titolare del trattamento mentre il fornitore del servizio che comporta il trasferimento extra-UE va inquadrato come responsabile, salvo una analisi caso per caso da parte delle autorità garanti consenta di accertare un diverso rapporto (e, nel fare ciò, le autorità non sono limitate dalla formalizzazione di un rapporto titolare/responsabile da parte dei soggetti coinvolti nel trattamento).
In forza di questi principi numerose delle segnalazioni NYOB sono state accolte e sono risultate nell’ordine di cessare l’illegittimo trasferimento dei dati sull’asse dell’Atlantico, mentre in alcuni casi il trattamento è stato sospeso prima della decisione e altri casi il procedimento è ad oggi pendente.
Gli effetti del report
Il report della Task Force 101 conferma l’impostazione assunta da molti dei Garanti nazionali e, in particolare, la prospettiva del Garante italiano (in particolare con riguardo all’illiceità dell’utilizzo di Google Analytics nella versione Universal Analytics, censurata nel Provvedimento del 9 giugno 2022 [9782890]).
Allo stesso modo viene però, al contrario, confermata la bontà dell’impostazione adottata dalla CNIL (l’Autorità Garante francese) che riferendosi alla versione successiva del cookie di tracciamento di Google (Google Analytics 4), ha indicato alcuni accorgimenti che ne consentono l’utilizzo in conformità con il GDPR.
In particolare, l’ultima evoluzione dello strumento di Google consente di frapporre al server Google negli Stati Uniti un server proxy proprietario il quale, se localizzato in Europa e correttamente impostato, non consente il trasferimento dei dati identificativi degli utenti in USA ma, al contempo, consente al titolare del sito web europeo di fruire delle potenzialità del servizio offerto dal colosso di Mountain View.
Questa soluzione in particolare va incontro alle osservazioni della Task Force 101 nella misura in cui consente di ottenere una anonimizzazione in sede europea, escludendo quindi il trasferimento di dati personali negli USA e così svuotando di contenuto le problematiche evidenziate dalla NYOB.
Il percorso verso un nuovo Privacy Shield
Nel frattempo, tutte queste problematiche potrebbero essere risolte (non è dato sapere se precariamente e fino ad una sentenza “Schrems III” ovvero invece stabilmente) con un nuovo Privacy Shield, ovvero una decisione di adeguatezza che risolva il problema del trasferimento dei dati negli Stati Uniti a monte, adeguando la tutela offerta ai cittadini UE nel paese a quella garantita in sede comunitaria.
Il problema è che il percorso per il raggiungimento di questo nuovo accordo è fitto di ostacoli, con la Commissione Europea che preme sull’acceleratore ma si trova a fronteggiare delle disponibilità lato USA che vanno sì nella giusta direzione ma non paiono abbastanza per superare davvero le criticità evidenziata dalla Corte di Giustizia nella sentenza Schrems II.
L’EU-US Data Privacy Framework (DPF), che dovrebbe risorgere dalle ceneri del Privacy Shield sembra quindi in bilico fra una approvazione rapida (ma fragile) e un lungo percorso di miglioramento e pressione politica sugli USA, che potrebbe portare ad un accordo più robusto ma complicando i rapporti fra USA e UE ancora per lungo tempo.
Per questa seconda strada sembrano propendere le varie autorità che sono state consultate dalla Commissione Europea, come l’EDPB che ha espresso una serie di riserve sull’accordo che, ove accolte dalla Commissione, imporrebbero una riapertura dei negoziati con gli USA (in parte già tradotti in ordini esecutivi) al fine di migliorare il Data Privacy Framework.
Conclusioni
In questo quadro incerto la soluzione che molti si attendevano sarebbe stata tempestivamente calata dall’alto dalle autorità UE appare lontana e i titolari del trattamento europei devono quindi munirsi di strumenti per superare in autonomia le problematiche generate dalle sentenza Schrems II, minimizzando il trasferimenti dati in USA e presidiandolo, con l’augurio che questo scenario spinga le aziende e istituzioni europee a cercare soluzioni alternative a quelle made in USA e che questa spinta generi o comunque rinvigorire un mercato europeo che offra servizi in competizione efficiente con quelli d’oltreoceano.
