Lo scorso 4 giugno la Commissione ha pubblicato la versione definitiva delle nuove clausole contrattuali standard (SCC, Standard contractual clauses), strumenti normativi il cui obiettivo è quello di garantire che i dati personali trasferiti godano di un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’Unione e il cui meccanismo di funzionamento era stato compromesso dalla sentenza Schrems II.
Vediamo, dunque, il nuovo approccio e le criticità.
Le nuove clausole SCC, Standard contractual clauses
Le nuove clausole contrattuali standard – che devono essere ancora approvate dalla Commissione e, inoltre, prevedono un periodo cuscinetto di 18 mesi dall’approvazione prima di divenire efficaci per consentire alle aziende di adeguarsi – innanzitutto portano con loro un generale adeguamento (anche terminologico) all’entrata in vigore del GDPR, così da rendere più in linea con la normativa vigente in tema di protezione dei dati personali.
Trasferimento dati extra-Ue, Scorza (Garante Privacy): “Abbiamo un problema, anzi tre”
Oltre a queste innovazioni di forma, la Commissione ha di fatto interiorizzato nelle nuove clausole il concetto di garanzie ulteriori proposto dall’EDPB, rendendo quindi questo strumento molto più complesso da utilizzare per gli operativi (ma, auspicabilmente, più efficace).
Il nuovo approccio di cui alle nuove SCC si caratterizza inoltre per la sua modularità. Per far fronte ai vari possibili diversi scenari di trasferimento i titolari potranno scegliere in autonomia quali “moduli” azionare e quali invece non implementare nei propri contratti. Questo meccanismo è particolarmente utile per gestire catene di trasferimento molto complesse (anche tecnologicamente).
Inoltre, le clausole prevedono precisi obblighi di indennizzo nel caso di danni verificatesi per la violazione delle clausole o comunque per il verificarsi di violazioni dei dati personali “esportati”.
A livello giurisdizionale, le nuove clausole da un lato impongono al soggetto che trasferisce i dati extra-UE di sottoporsi alla giurisdizione dello stato membro di provenienza del dato, rispettandone le decisioni, dall’altro lato impongono alle parti una verifica circa il fatto che le leggi del paese terzo non interferiscano con il rispetto delle clausole.
Ai sensi dell’art. 14 delle nuove clausole contrattuali infatti le parti sono tenute a garantire “di non avere motivo di ritenere che le leggi e le prassi in vigore nel paese terzo di destinazione dei dati applicabili al trattamento dei dati personali da parte dell’importatore, compresi eventuali obblighi di divulgazione di dati personali o misure di autorizzazione all’accesso da parte delle autorità pubbliche, impediscano l’importatore di dati dall’adempimento dei suoi obblighi ai sensi delle presenti Clausole.”
La verifica comprende l’accertamento che le leggi e le prassi del paese terzo rispettino “l’essenza dei diritti e delle libertà fondamentali” e non eccedano quanto è necessario e proporzionato in una società democratica per salvaguardare gli obiettivi ammessi dal GDPR (sicurezza nazionale, difesa, indagini penali, etc.).
La verifica, inoltre, non si limita al momento della genesi del contratto, ma deve essere effettuata per tutta la durata del rapporto, con onere di notifica da parte dell’importatore del dato se questo si rende conto di essere soggetto di una nuova normativa che potrebbe alterare la valutazione già effettuata in senso negativo.
Le clausole, in caso questa essenziale valutazione non dia esito positivo, non individuano una via d’uscita precisa, con la conseguenza che in tutti i casi in cui la normativa di un paese terzo non consente di ritenere il livello di tutela “sostanzialmente equivalente” a quello comunitario, le vie d’uscita non sono molte.
Secondo l’art. 14 delle clausole, infatti, all’importatore del dato nel caso in cui individui delle problematiche nella normativa del paese destinatario dei dati, spetta individuare misure appropriate (la decisione fa l’esempio, molto generico, di “misure tecniche o organizzative per garantire la sicurezza e la riservatezza”) per far fronte alla situazione. Peccato che sia ben difficile immaginare una soluzione (non illegale nel paese di destinazione) che possa aggirare una simile problematica, difficile peraltro da superare negli USA dove una sentenza della Corte di Giustizia UE ha già acclarato come il livello di tutela nel paese non sia “sostanzialmente equivalente” a quello europeo.
In tal caso, all’esportatore di dati non resta che il diritto di recedere dal contratto.
Questa evoluzione rende quindi le SCC uno strumento molto più complesso da utilizzare rispetto a quanto accadeva in precedenza, imponendo una valutazione iniziale e lungo tutta la vigenza delle clausole della sostanziale equivalenza di tutela fornita nel paese terzo.
Perché le nuove SCC
Dal 16 luglio scorso, il flusso di dati personali, che ogni giorno attraversa l’Atlantico e riporta negli Stati Uniti i dati dei clienti europei dei colossi tech USA, viaggia su basi giuridiche estremamente instabili.
Con la sentenza Schrems II (resa dalla Corte di Giustizia UE nel caso C-311/18) è venuto a mancare il “Privacy Shield”, il malfermo “scudo” che avrebbe dovuto mettere al riparo da contestazioni i trasferimenti di dati fra l’Unione Europea e gli Stati Uniti.
Caduto il Privacy Shield (decisione di adeguatezza della Commissione Europea specifica per il trasferimento dati UE-USA) gli operatori si sono rivolti all’altro “pilastro” che consente il trasferimento legittimo dei dati personali verso i paesi terzi, ovvero le Clausole Contrattuali Standard (SCC) approvate con Decisione 2010/87/EU.
L’unico problema è che la sentenza Schrems II, pur non avendo invalidato la decisione relativa alle Clausole Contrattuali Standard, ne ha fondamentalmente minato il meccanismo di funzionamento, affermando però che, se le stesse sono astrattamente idonee a garantire un adeguato livello di tutela, non possono comunque legittimare da sole il trasferimento di dati in paesi terzi, dovendo essere subordinate ad una valutazione in concreto del contesto in cui saranno calate.
Sulla base della pronuncia, l’EDPB ha fornito indicazioni circa le “garanzie ulteriori” che i titolari devono adottare, oltre alle clausole standard, quando il trasferimento non è sorretto da una decisione di adeguatezza e le clausole contrattuali standard non offrono garanzie sufficienti.
Le nuove SCC sono quindi sicuramente un’innovazione di rilievo nel panorama dei trasferimenti di dati verso paesi terzi e comportano una significativa “responsabilizzazione” per i soggetti che intendono trasferire i dati utilizzando questo strumento.
Il nodo evidenziato dalla sentenza Schrems II ha infatti consentito una seria rivisitazione delle clausole standard che sicuramente avrà un impatto positivo anche con riferimento al trasferimento dei dati in paesi terzi diversi dagli Stati Uniti.
Il problema è che la natura negoziale di questo strumento non consente di fornire una reale soluzione alle possibili ingerenze statali nell’accesso ai dati dei cittadini europei al di fuori dell’Unione, ingerenze che sarebbe possibile contenere solamente con un accordo fra stati sovrani.
Il trasferimento dati negli Usa
Il caso del trasferimento dati in USA, dove la decisione di adeguatezza adottata dalla Commissione è stata posta nel nulla dalla Corte di Giustizia UE per specifici problemi derivanti da possibili ingerenze da parte delle autorità statunitensi con riguardo ai dati dei cittadini europei, richiede senz’altro l’adozione di queste garanzie ulteriori.
Peraltro, vista la natura del possibile rischio (consistente ad esempio nella possibile applicazione del “Clarifying Lawful Overseas Use of Data (CLOUD) Act” del 2018 in relazione a dati di cittadini UE) è ben difficile pensare che delle compagnie private possano mitigare, con un semplice contratto fra privati, un rischio di ingerenza che nemmeno due stati sovrani sono riusciti a risolvere dopo un complesso negoziato fra plenipotenziari.
E infatti i maggiori colossi del web statunitense non hanno saputo individuare soluzioni adeguate a “integrare” le clausole standard in maniera efficiente, con molte compagnie che nemmeno ci hanno provato ed alcune (come Microsoft) che sono riuscite solamente a proporre una sorta di “assicurazione” ai clienti business europei, assicurazione tesa al rimborso dei danni causati da eventuali accessi indebiti da parte del governo USA ai dati di cittadini europei affidati al colosso di Redmond, si tratta però di una soluzione che evidentemente non garantisce un livello sostanzialmente equivalente di tutela fra UE e Stati Uniti ma anzi, riconoscendo di non poterlo fornire, si offre in anticipo di risarcire i clienti.
In questa situazione si è quindi venuta a creare una notevole difficoltà sia per le aziende statunitensi che operano in Europa, sia per quelle europee che fondano il loro business sull’utilizzo di servizi con base in USA (come la società tedesca recentemente sanzionata per aver utilizzato Mailchimp dall’autorità garante bavarese, in quanto il servizio di direct email marketing fonda il trasferimento dei dati alla casa madre in USA sulla base delle clausole contrattuali standard senza prevedere garanzie ulteriori).
In questo contesto di profonda incertezza l’Unione da un lato ha lavorato per cercare di ottenere un nuovo “Privacy Shield” con l’amministrazione USA, ma dall’altro ha lavorato per aggiornate le SCC, fondate su una decisione vecchia più di dieci anni.
La ricerca di un nuovo Privacy Shield
Non va dimenticato che questi strumenti normativi si inseriscono in complesso quadro politico, con la Commissione Europea che ha sempre dimostrato un favor verso la libera trasferibilità dei dati UE-USA, mentre la Corte di Giustizia Europea ha dimostrato un atteggiamento più rigido (in linea con la normativa).
È quindi evidente che il governo statunitense e quello comunitario stiano lavorando per cercare di ottenere un nuovo accordo che sostituisca in pianta stabile il Privacy Shield, eliminando quelle fragilità che ne hanno causato l’annullamento giudiziale.
Data l’importanza economica del trasferimento dati fra l’Unione e gli Stati Uniti, e il cambio di amministrazione a Washington che ha rasserenato i rapporti fra le due sponde dell’Atlantico, le parti hanno già iniziato a lavorare per far risorgere un nuovo accordo dalle ceneri del Privacy Shield, accordo di cui l’amministrazione Biden vorrebbe discutere anche nel prossimo summit fra Unione Europea e USA previsto per il 15 giugno.
La riuscita dell’accordo passa però dalla necessaria rinuncia del governo USA all’applicazione di alcune normative particolarmente incisive in tema di accesso ai dati (quando queste potrebbero coinvolgere dati di cittadini UE) e dal rafforzamento dei rimedi accessibili ai cittadini europei per opporsi a simili ingerenze.
Oltre a ciò, sarà necessario disinnescare il sospetto che gli USA non vogliano giocare secondo le regole, tenendo aperta la possibilità di fare un uso strumentale della loro normativa per accedere a dati rilevanti degli alleati europei.
La temperie sociale e politica che aveva portato alla caduta del Safe Harbour (il predecessore del Privacy Shield, annullato nel 2015 dalla Corte di Giustizia UE) e al generale sospetto verso le ingerenze USA nei confronti della privacy degli europei affonda le radici nello scandalo Datagate iniziato con le rivelazioni di Edward Snowden nel 2013.
Conclusioni
Ormai quel periodo sembra distante nel tempo e la fiducia fra le due sponde dell’Atlantico sembra ricostruita, anche se molto di recente alcune notizie riportate dalla stampa danese (secondo le quali l’intelligence del paese avrebbe aiutato l’NSA a spiare i leader europei) hanno riportato con forza alla mente questi ricordi.
Una simile reminiscenza non è detto che spinga i leader europei alla fermezza anche nella negoziazione della nuova decisione di adeguatezza (questi fatti ci ricordano che gli Stati Uniti non hanno giocato secondo le regole), ma piuttosto potrebbe spingerli a ritardare ancora il raggiungimento di un accordo, investendo nel frattempo in soluzioni europee di infrastruttura tecnologica, l’unico strumento che consentirebbe realmente di metterli al riparo da illecite ingerenze USA (o di altre nazioni).
In quest’ottica, l’appesantimento delle clausole contrattuali standard, che, come è sempre più evidente, non possono costituire un “rifugio sicuro” per le compagnie USA (e per le compagnie UE che devono scegliere fra servizi USA e servizi UE), appare una mossa perfettamente in linea con questa strategia.
