Mantenere i dati all’interno dell’Unione europea è realmente la soluzione “facile” ai complessi problemi aperti dalla sentenza Schrems II? O la libera circolazione dei dati perseguita dal GDPR ci impone una valutazione più attenta e ponderata della portata della decisione?
Di sicuro il “caso” è al centro dell’attenzione di autorità, colossi del web, utenti e operatori, tutti ugualmente preoccupate delle conseguenze di un eventuale blocco totale dei trasferimenti.
Facciamo il punto.
La sentenza Schrems II
Alcuni giorni dopo che il Commissario per la protezione dei dati (DPC) ha inviato a Facebook un ordinanza preliminare per sospendere i trasferimenti di dati negli Stati Uniti basati sulle Clausole contrattuali standard, il social media ha incaricato lo studio legale commerciale Mason Hayes & Curran di Dublino affinché richiedesse, all’Alta Corte irlandese, il riesame giudiziario dell’ingiunzione ricevuta, ritendo la decisione della Commissione irlandese per la protezione dei dati invalida quanto illegale.
Tanto è stato tempestivamente fatto e con successo: il 14 settembre 2020 l’Alta Corte irlandese nella persona giudice Charles Meenan ha infatti sospeso l’indagine del DPC Helen Dixon sui flussi di dati UE-USA peraltro avviata d’ufficio sulla base del compito disposto dell’articolo 46, paragrafo 1, del GDPR e del provvedimento della Corte di giustizia dell’Unione europea che ha stabilito che le aziende come Facebook non possono utilizzare le “Clausole contrattuali standard” – SCC, qualora le stesse si rilevino strumentali alle leggi sulla sorveglianza di massa degli Stati Uniti come la sezione 702 della FISA (Foreign Intelligence Surveillance Act).
La questione tornerà in tribunale a novembre.
Inutile dire che l’insieme delle circostanze sta catturando l’attenzione tanto delle ventisei Autorità europee, quanto dei Big Tech statunitensi, tra cui tra cui Alphabet Inc. (Google), Apple, Microsoft e Twitter, oltre agli oltre 400 milioni di utenti nell’UE delle piattaforme Facebook e Instagram e di almeno 25 milioni di aziende loro clienti. Senza dimenticare i fornitori di 5G.
Tutti certamente impegnati a osservare le reazioni dei Tribunali irlandesi, della Commissione, delle varie Authority europee e a trovare, allo stesso tempo, un modo pratico che possa essere quanto più “rapido ed indolore” con cui fronteggiare sia le preoccupazioni della Corte, sia le “azioni di turbamento” messe in atto nel frattempo dagli attivisti della privacy più volenterosi: Noyb, gruppo fondato da Maximilian Schrems, già ad agosto, ha presentato, sulla base della Sentenza del tribunale dell’UE, ricorsi alle varie Authority dell’UE contro 101 siti web europei, editori, ISP, siti di e-commerce e banche, ma anche università. Alcuni dei nomi più importanti riguardano oltre a Facebook e Google anche Airbnb, Sky Deutschland, Tele2, Takeaway.com e Fastweb.
Preoccupati anche quegli operatori europei che, in quanto partner commerciali e tecnologici nei trattamenti dei dati derivanti dai provider di servizi cloud o i servizi di videoconferenza delle multinazionali americane, risultano direttamente coinvolti negli effetti della sentenza della Corte di Giustizia europea.
Una composizione che però, al contrario, lo stesso commissario alla giustizia Didier Reynders al Parlamento europeo e Andrea Jelinek, il presidente dell’EDPB, prevedono come lunga e complessa.
Non ultimo l’intera questione non pare priva di conseguenze in vista delle elezioni presidenziali statunitensi, già pesantemente oggetto di tensioni transatlantiche e controversie interne come mai prima d’ora. E neppure in chiave Brexit specie tenuto conto delle implicazioni in fatto di sorveglianza derivanti dall’ Investigatory Powers Act 2016 rispetto ad una futura decisione di adeguatezza o SCC.
Una cosa intanto è certa: le conseguenze economiche di un impasse o peggio di un blocco totale dei trasferimenti dei dati tra i due continenti sarebbero enormi con impatti significativi su attività sia piccole che grandi in molti settori.
E Nick Clegg, ex vicepremier britannico ora vicepresidente per gli affari globali e la comunicazione di Facebook nella pagina dedicata del social, non perde occasione di rimarcarlo e ne espone tutte le “ragioni”: “nel peggiore degli scenari una piccola startup in Germania non potrebbe più usare servizi cloud basati negli Stati Uniti. Una società di sviluppo di prodotto in Spagna non potrebbe operare su più mercati. Una piattaforma francese non potrebbe più mantenere un call center in Marocco” (Clegg parla dell’invalidità delle “Standard contractual clauses” che, appunto, non riguardano solo gli Stati Uniti ma ogni paese extraeuropeo). Non solo. “Gli effetti potrebbero toccare altri settori come la salute e l’educazione: scuole, università e ospedali in tutta Europa usano servizi cloud o piattaforme e-mail con base negli Usa”.
Come siamo arrivati fin qui
Per la seconda volta, dallo scandalo di Edward Snowden del 2013, la Corte di giustizia dell’Unione europea è intervenuta in materia di meccanismi di trasferimento dei dati personali tra Ue e Stati Uniti, proseguendo la propria “battaglia” contro l’infrastruttura di sorveglianza tecnologica statunitense in continua espansione e fornendo al contempo la propria interpretazione autentica delle norme di diritto coinvolte di cui tanto le Authority, quanto i Giudici nazionali, dovranno tenere necessariamente conto.
A cinque anni dalla decisione che invalidò il “Safe Harbor” (C-362/14, “Schrems I”), il 16 luglio 2020, la Corte, facendo proprie le conclusioni dell’avvocato generale, ha emesso l’attesa sentenza sulla pronuncia pregiudiziale nel caso noto come Schrems II (C-311/18).
Lo scudo per la privacy UE-USA noto come Privacy Shield – Decisione 2016/1250 è stato dichiarato non valido e, allo stesso, tempo sono state rese specifiche indicazioni riguardo all’ambito di validità delle clausole tipo adottate dalla Commissione UE sui trasferimenti esteri di dati personali, le cosiddette “SCC” (ed esattamente quelle tra titolari e responsabili adottate dalla Commissione con decisione 2010/87/UE e successiva decisione 2016/2297).
In particolare, nei confronti di queste ultime la CGUE ha evidenziato come sebbene le stesse possano legittimamente costituire uno strumento idonea a fondare la validità dei trasferimenti transfrontalieri di dati personali, esse, tuttavia, non godono in via assoluta di una presunzione di liceità laddove non garantiscano, caso per caso, un livello di protezione “sostanzialmente equivalente” a quello offerto nell’Unione. Titolari e responsabili da una parte e le Autorità nazionali per la protezione dei dati dall’altra devono, infatti verificare, ciascuno per la sua parte, che la sostanziale equivalenza sia realmente conseguita con riferimento al regime giuridico di protezione presso il paese di importazione.
Ed è proprio riguardo alla SCC che, se da una parte la Commissione europea e l’EDPB fanno sapere che stanno attualmente lavorando a una revisione delle clausole contrattuali standard, oltre a collaborare con le controparti statunitensi al fine di sviluppare un quadro più forte per il trasferimento dei dati personali, dall’altra il commissario irlandese per la protezione dei dati emette un ordine provvisorio nei confronti di Facebook teso ad interrompere il trasferimento dei dati dei cittadini dell’UE negli Stati Uniti, scatenando le reazioni tanto del social quanto di Maximilian Schrems che vede il proprio giudizio pendente da sette anni dinanzi all’autorità irlandese subire in tal modo un’ennesima, ed a suo dire, intollerabile pausa.
Venti di tempesta anche dalla Svizzera
Ma non è tutto: in Svizzera, il Commissario federale per la protezione dei dati e l’informazione FDPIC, sulla scorta di quanto sostenuto dalla sentenza della CGUE e dall’EDPB, ha recentemente annunciato che, stando alla sua ultima valutazione annuale dello scudo per la privacy Svizzera-USA, lo stesso non garantisce un livello adeguato di protezione per quanto riguarda i trasferimenti di dati dalla Svizzera agli Stati Uniti. Il documento di valutazione è piuttosto esplicito e lascia intendere un seguito piuttosto imminente.
Il piano B di Zuckerberg
Nel frattempo il social media pensa al proprio piano B: la base giuridica dei propri trattamenti se non può validamente ancorarsi ad una Decisione di adeguatezza o alle SCC, potrebbe ben fondarsi su una presunta “necessità” di trasferimento dei dati ai sensi dell’articolo 49 (1) (b) del GDPR. Un “test di necessità” dunque che, basandosi sulla ritenuta esistenza di un legame stretto, diretto e obiettivo fra gli interessati e le finalità del contratto con l’operatore statunitense, sarebbe in grado di eludere la sfera di azione della “ingiunzione” delle autorità irlandesi.
C’è chi è cautamente ottimista e favorevole all’azione intrapresa dall’Autorità irlandese
Per molti esperti intanto l’ingiunzione preliminare del Garante irlandese rappresenta un passaggio importante e significativo, che fungendo da corollario della sentenza sul caso Maximilian Schrems e Facebook Ireland dello scorso luglio, con la quale la Corte di giustizia ha invalidato il Privacy Shield, si pone in linea con il percorso intrapreso dall’Europa verso il consolidamento del nuovo approccio regolatorio orientato alla costruzione di un ecosistema economico e produttivo digitale basato sull’uso dei dati: lo “spazio unico europeo dei dati”
Un tragitto perseguito – sebbene tra vari cali di attenzione – dall’Europa da diversi anni e “sancito” a chiare lettere nelle due Comunicazioni rispettivamente del 2014, “Thowards a thriving data-driven economy” e del 2015 “A Digital Single Market for Europe” presentata il 6 maggio 2015 dall’allora Presidente Junker e, confermato, nella Comunicazione “Una strategia europea per i dati” presentata dalla Commissione presieduta da Ursula von der Lyen e pubblicata il 19 febbraio 2020.
Non tutti però sono altrettanto convinti che tanto possa costituire un passo realmente ragguardevole verso la nuova definizione dei rapporti in materia di protezione dei dati tra UE e Usa e verso il consolidamento dell’obiettivo rappresentato dall’European Digital Single Market.
Non tutti pensano che ciò possa avvenire attraverso le autorità garanti europee specie se, uti singuli, come Helen Dixon.
Tra i più critici sicuramente Maximilian Schrems che disapprovando a più riprese (tra cui una lettera indirizzata al DPC stesso) l’operato del Garante irlandese specie per aver inopportunamente avviato una seconda procedura definita non necessaria e futile (sospendendo la pertinente procedura di appello in corso dal 2015), poiché limitata esclusivamente sull’uso legittimo da parte di Facebook delle SCC, annuncia senza mezzi termini nella pagina web della sua organizzazione Noyb l’intenzione di impugnare esso stesso la decisione assunta da Helen Dixon:
“It does not come as a surprise that the DPC has again failed to run a proper procedure and was stopped by the Irish courts for now. At the same time it is not clear if Facebook will ultimately succeed with this case. Today Facebook was only granted to file a case and have the investigation by the DPC paused for the next days and maybe weeks”.
“The DPC uses a very shady trick to in practice remove the concerned data subjects from its cases. As the DPC has first called this case ‘frivolous’ and then failed in its assessment of the SCCs – claiming that they would be illegal. We have zero trust in the DPC being able to get this case done without an external complainant representing the users.”
“Certamente, vorremmo che l’autorità irlandese per la protezione dei dati iniziasse finalmente a lavorare dopo sette anni e cinque decisioni giudiziarie, che hanno confermato la nostra posizione. Purtroppo, abbiamo l’impressione che l’approccio del DPC sia solo molto timido ancora una volta risolve solo una parte del problema. “
“Il DPC è noto per aver preso decisioni procedurali sbagliate. Finora hanno perso quasi tutti i casi e hanno persino convinto avversari come Facebook e me a concordare sul fatto che le loro procedure sono discutibili, anche se per motivi diversi. Il caso attuale non ha visto un decisione formale del DPC in sette anni, nonostante cinque sentenze di diversi tribunali in arrivo” conclude Schrems.
Titubante Michael Veale, docente in Diritto e regolamentazione digitale presso la Facoltà di giurisprudenza della UCL e noto esperto di tematiche inerenti alle tecnologie digitali emergenti, Internet e diritto dei dati, che già a luglio aveva manifestato con diversi tweet i suoi dubbi circa il ruolo che avrebbe dovuto rivestire l’Autorità irlandese e in generale i singoli Garanti.
Anche l’Avv. Rocco Panetta fondatore e managing partner di P&A oltre che Country Leader per l’Italia di IAPP, evidenzia alcune perplessità relativamente al fatto per cui “un’autorità nazionale da sola possa adottare un provvedimento di sistema a valle di una pronuncia della Corte di giustizia che non inficia un accordo bilaterale tra due Paesi, ma di tutta l’Unione europea” e auspica una posizione più incisiva e coordinata da parte dell’EDPB e della Commissione.
Con ciò ponendosi in linea con quanto già preannunciato ad inizio settembre dallo stesso Parlamento Europeo relativamente alle successive azioni coordinate dal Commissario per la giustizia, Didier Reynders per il tramite della Commissione per le libertà civili, la giustizia e gli affari interni “LIBE”. Iniziative che coinvolgono direttamente anche il comitato europeo per la protezione dei dati “EDPB” quanto all’analisi degli strumenti alternativi di trasferimento dei dati. Proprio il Comitato europeo per la protezione dei dati ha già annunciato di aver formato due nuove task force (la prima task force è stata istituita su iniziativa congiunta di Germania e Francia) dedicate a preparare raccomandazioni per assistere i titolari del trattamento e gli incaricati del trattamento con il loro dovere di identificare ed attuare misure supplementari appropriate per garantire una protezione adeguata durante il trasferimento di dati a paesi terzi e ad elaborare e rispondere in modo uniforme a una serie di reclami specifici ricevuti dalle DPA, a seguito della sentenza Schrems II.
Il ruolo cruciale dei Titolari del trattamento, delle Autorità nazionali e della Commissione UE
Il fatto che la priorità degli Stati Uniti attribuita alla “sorveglianza digitale” da parte dell’Agenzia per la sicurezza nazionale Usa (l’Nsa) e l’ampiezza dei poteri di acquisizione dei dati che ne deriva – già enfatizzate con lo scandalo Datagate dalle note rivelazioni del 2013 dell’informatore della NSA, Edward Snowden, oltre che ben delineate nelle basi giuridiche costituite in particolare dalla sezione 702 della FISA (Foreign Intelligence Surveillance Act), dall’Ordine esecutivo 12333 (conosciuto agli addetti ai lavori come twelve triple three) risalente al 1981, durante la presidenza di Ronald Reagan, Cloud Act e Direttiva sulla politica presidenziale PPD28 – si scontrino con i diritti fondamentali europei stabiliti nella Carta dell’UE, nella Convenzione europea dei diritti dell’uomo e in parti specifiche della legislazione paneuropea, come il regolamento generale sulla protezione dei dati, non è una novità.
E certamente, sebbene il caso Schrems II coinvolga direttamente Facebook, le implicazioni che ad esso conseguono sono ben più ampie investendo significativamente le modalità di elaborazione dei dati su larga scala dei dati dei cittadini dell’UE qualora gli stessi siano “esternalizzati” agli USA.
Senza dubbio, specie perdurando l’assenza di una decisione di adeguatezza da parte della Commissione, le Autorità di protezione dei dati dei singoli Stati europei (anche tramite il sistema della Leading Authority) e per molti aspetti anche l’EDPB alla luce del meccanismo di coerenza, sono chiamati ad assumere una funzione cruciale di assoluto primo piano, portando la loro azione ad un livello superiore quanto all’applicazione delle normative interessate, intervenendo tempestivamente ed efficacemente qualora sospettino che i trasferimenti di dati personali stiano fluendo verso luoghi sostanzialmente non sicuri ed evitando potenziali opinioni divergenti a vantaggio di una visione uniforme e armonizzata.
E un ruolo altrettanto delicato compete al titolare e al responsabile dei trattamenti, entrambi attori in prima linea in chiave di compliance con le normative in vigore e le garanzie che ad esse afferiscono: la Corte ha chiaramente affermato che le “SCC sono meri strumenti contrattuali e che le società dovranno integrare quelle con garanzie aggiuntive se desiderano fare affidamento sulle SCC in futuro”. Garanzie che peraltro potrebbero sempre non rivelarsi sufficienti o adeguatamente ponderate.
Non facile senza dubbio. Le perplessità sono forti.
Oltre a quelle già menzionate degli esperti si evidenziano anche le complessità legate agli effetti pratici ed indiretti della sentenza: dalla considerazione delle modalità di circolazione dei dati basate sul carattere “necessario” dei trasferimenti specie ex. Art 49 (1) (b) e (c) del GDPR, alle Binding Corporate Rules – BCR, fino alla conseguente mole di lavoro che, molto probabilmente, investirà le autorità nazionali di protezione dei dati (già visibilmente in affanno) e le organizzazioni.
Non ultimo, il ruolo culminante della Commissione, senza dubbio alcuno, particolarmente fine quanto insidioso, sia relativamente all’individuazione dei parametri di un nuovo accordo con gli Stati Uniti che non si riveli meramente formale a scapito della sostanza e dell’effettività delle garanzie di sicurezza dei trattamenti, sia nei futuri negoziati con gli stati terzi, tra cui in primis il Regno Unito, e a seguire Russia e Cina, Corea del Sud, India, Brasile e Canada.
E non è da escludere neppure un interesse diretto da parte di quei territori, all’interno del paese terzo, con regimi di protezione dei dati avanzati, come la California stessa, teoricamente in condizione di richiedere l’apertura di negoziati con la Commissione volti all’ottenimento di una decisione di adeguatezza ex articolo 45 del GDPR.
E non dimentichiamo che il contenzioso pendente presso la Corte di Giustizia dal 2016 riguardante La Quadrature du Net e a. / Commissione (Causa T-738/16) sarà inevitabilmente condizionato dalla pronuncia del Tribunale europeo.
Sovranità digitale e localizzazione dei dati: la quadratura del cerchio
Il giorno dopo la decisione della CGUE, partecipando ad un evento organizzato da IAPP – International Association of Privacy Professionals, Schrems ha voluto sottolineare quella che secondo lui sarà la soluzione immediata alle complicazioni derivanti dalla pronuncia: mantenere i dati nell’Unione Europea.
È veramente così? La localizzazione dei dati è realmente la soluzione ai problemi aperti dalla sentenza Schrems II?
È solamente una sfida tecnica e tecnologica demandata ad ingegneri intelligenti e titolari oculati pronti a rivolgersi ai più promettenti server europei?
In realtà è piuttosto immediato intuire come la pressione, per quanto soft, verso la localizzazione dei dati, sebbene prefiguri una risposta pratica immediata, allo stato attuale, non farà che favorire iniziative isolate a sé stanti e di matrice nazionale, incrementando il ritardo accumulato verso il completamento del quadro regolatorio a sostegno del Digital Single Market e del Cloud Europeo oltre che causare ulteriori problemi legati al lock in nazionale dei dati. Per non parlare dei risvolti potenzialmente dannosi verso il piano Ue per l’intelligenza artificiale e non solo.
Tanto, non si rivelerà neppure una panacea per la sorveglianza che motiva la Corte di giustizia in Schrems II e neppure per la salvaguardia dei diritti fondamentali quali criteri di valutazione cruciali quando si valutano le leggi dei paesi terzi.
Mi domando piuttosto se sia stata condotta un’analisi approfondita ed esaminabile che, da una panoramica della legislazione sulla sorveglianza degli Stati membri europei, giunga a concludere che sussistono tra gli stessi parametri di sorveglianza nettamente più protettivi rispetto ad altri paesi importatori extra europei.
La strada aperta dalla sentenza della CGUE è tutt’altro che semplice, ma il percorso verso uno spazio comune europeo dei dati e un’economia competitiva, al quale sono chiamate in primis le nostre Istituzioni europee, è piuttosto obbligato e l’unico in grado di scongiurare il rischio di rimanere intrappolati nel braccio di ferro Cina-Usa, mentre all’orizzonte si profilano già nuovi competitor.
Vergognosa è la scelta dell’indugio, ma ancora più vergognosa quella della fretta e dell’inadeguatezza.