Sentenza Schrems II, le big tech fanno finta di niente

Google e le altre Big non sembrano aver compreso che le conseguenze della sentanza Shrems II non possono essere meramente burocratiche. Non basta sostituire nell’informativa il termine Privacy Shield con Clausole Contrattuali Standard. La Corte vuole una valutazione e delle garanzie concrete. Ecco cosa dovrebbe cambiare

Pubblicato il 10 Set 2020

Diego Dimalta

Studio Legale Dimalta e Associati

Privacy-Regulation

Sono passati quasi due mesi dalla pubblicazione della sentenza Schrems II, ma che cosa è cambiato realmente per le Big Tech? Praticamente nulla.

Verrebbe quasi da dire che, sintetizzando, è stato semplicemente sostituito, nelle informative privacy di Google come di altri colossi del digitale il riferimento al Privacy Shield con il riferimento alle Clausole Contrattuali Standard. Ma è davvero così semplice superare i dubbi di legittimità evidenziati dalla Corte di Giustizia dell’Unione Europea?

La risposta è evidentemente negativa, ciononostante non possiamo che prendere atto dello stato di fatto.

Google, ad esempio, ha inviato a numerosi utenti un messaggio in cui si informava che, pur venendo meno il Privacy Shield, il trasferimento dati da UE ad USA poteva ritenersi legittimo in quanto “coperto” dalle SCC.

Le garanzie supplementari oltre le Clausole Contrattuali Standard

La verità però è che le Clausole Contrattuali Standard, secondo quanto affermato dalla Corte, in contesti come quello statunitense non sono (di per sé) sufficienti a garantire la tutela dei diritti degli interessati, rendendosi quindi necessaria l’adozione di “garanzie supplementari” ad hoc, utili al fine di colmare il gap normativo che, ad esempio, in USA consente a talune condizioni l’accesso ai dati da parte dell’autorità.

Ed in effetti, in base all’articolo 46, paragrafo 2, lettera c), del GDPR, incombe sul titolare del trattamento o sul responsabile del trattamento l’obbligo di verificare, caso per caso, e, eventualmente, in collaborazione con il destinatario del trasferimento, che il diritto del paese terzo di destinazione garantisca una protezione adeguata, alla luce del diritto dell’Unione, dei dati personali trasferiti sulla base di clausole tipo di protezione dei dati fornendo, se necessario, garanzie supplementari rispetto a quelle offerte da tali clausole.

Ad oggi, per l’utente, non è possibile sapere se Google abbia effettivamente adottato queste “garanzie supplementari” in quanto, ciò non viene espressamente precisato. Come ci si dovrebbe comportare allora? La domanda è più che pertinente e la risposta non può che essere garantista: in mancanza di certezze sull’esistenza di garanzie supplementari è da ritenere che i trasferimenti fuori dall’UE non siano sicuri.

Google quindi, come anche le altre corporation del web, dovrebbe affrettarsi a comunicare non solo l’adozione delle Clausole Contrattuali Standard, ma anche delle “garanzie ulteriori” adottate per implementare il livello di sicurezza e per bilanciare i diritti degli utenti europei con i poteri delle autorità USA.

Non solo, è altresì auspicabile che Google effettui una rapida revisione di tutta la politica privacy, ad oggi, onestamente, troppo frammentata oltreché in alcuni casi aggiornata al 31 marzo 2020, motivo per cui, partendo da Privacy G Suite e cliccando sul footer alla parola privacy, entriamo in un portale in cui, tra l’altro leggiamo:

“Trasferimenti di dati: gestiamo server in tutto il mondo e le tue informazioni potrebbero essere elaborate su server situati al di fuori del paese in cui vivi. Le leggi in materia di protezione dei dati personali variano da paese a paese e alcune prevedono più protezione di altre. Indipendentemente da dove sono elaborate le tue informazioni, noi applichiamo le stesse protezioni descritte nelle presenti norme. Inoltre, rispettiamo alcuni quadri giuridici relativi al trasferimento dei dati, inclusi l’EU-U.S. Privacy Shield (scudo UE-USA per la privacy) e lo Swiss-U.S. Privacy Shield (scudo Svizzera-USA per la privacy)”.

L’utente medio non può che essere indotto in confusione in quanto, nelle comunicazioni pervenute via mail, legge che Google invia i dati in USA servendosi delle SCC (senza specificare le “garanzie ulteriori”) e poi, sul sito, legge che i trasferimenti sono coperti dal Privacy Shield. È evidente che Google sta ancora aggiornando le sue informative, ma per una simile società, una sentenza come quella citata, non può che mettere in moto una azione di review che si deve concludere in poco tempo e che deve necessariamente partire dai prodotti di punta, G Suite in primis!

I 101 reclami di NOYB

Le criticità qui evidenziate hanno portato NOYB (None of your business – European Center for Digital Rights) a presentare 101 reclami relativamente ad altrettante società europee che continuano ad inviare i dati dei visitatori dei propri siti verso Google e Facebook, nonostante, a detta loro, entrambe ancora oggi non siano in compliance con Schrems II.

In particolare, NOYB ha evidenziato che dall’analisi del codice HTML dei maggiori siti europei, un mese dopo la decisione, molte aziende continuano ad utilizzare Google e Facebook Connect per trasferire dati, senza disporre di una base legale in quanto Google, come visto più sopra, sul proprio sito dichiara ancora di basarsi sul Privacy Shield mentre Facebook continua ad utilizzare le Standard Contractual Clauses, nonostante la Corte di Giustizia abbia indicato che le leggi di sorveglianza americane non sono in grado di garantire la tutela dei diritti di riservatezza previsti dalla normativa europea.

Naturalmente, la mera presentazione di un reclamo non comporta necessariamente ed in automatico la colpevolezza delle citate società, tuttavia il fatto che i medesimi problemi da me sopra evidenziati siano stati notati anche da altri è di certo un indice che qualcosa deve cambiare e lo deve fare in fretta.

In conclusione, a parere di chi scrive, è necessario che Google e le altre Big Tech, capiscano che le conseguenze di Shrems II non possono essere meramente burocratiche. Non è sufficiente, come dicevamo, sostituire nell’informativa il termine Privacy Shield con Clausole Contrattuali Standard. La Corte vuole una valutazione e delle garanzie concrete. Queste big, peraltro, hanno sulle spalle la responsabilità di numerose aziende che, a loro volta, in mancanza di corretto adeguamento della Big di turno, risulteranno non compliant. Urge quindi una presa di coscienza del proprio ruolo e dei reali obiettivi perseguiti dalla Corte.

In mancanza di questa presa di coscienza, gli scenari sono due:

  • l’UE continuerà a sanzionare le Big (ma questo, onestamente, non sembra spaventarle molto);
  • i cittadini e gli imprenditori europei potranno iniziare a fare, anche solo parzialmente, a meno dei servizi di Google, preferendo soluzioni “made in EU” e questo, onestamente, credo che potrebbe essere l’unico vero spauracchio per le Big.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati