Un terremoto normativo quest’anno ha rivoluzionato i rapporti tra Unione Europea e USA, nell’ambito della data protection. Infatti, il 16 luglio la Corte di Giustizia UE ha invalidato il Privacy Shield, normativa su cui migliaia di aziende basavano il trasferimento dei dati verso Paesi extra europei. La sentenza inoltre stabilisce che le clausole contrattuali standard restino valide, regole cui ora fanno riferimento società come Facebook: a questo proposito, il Garante irlandese ha aperto un’indagine per valutarne l’appropriatezza. Approfondiamo cos’è successo e qual è la situazione, per creare consapevolezza sulla gestione e destinazione dei propri dati forniti al social network di Menlo Park ma anche sugli impatti economici di queste decisioni legislative.
Cosa dice la sentenza della Corte di giustizia europea
Il privacy shield consiste in un’autocertificazione che le società statunitensi dal primo agosto 2016 dovevano sottoscrivere in caso ricevessero dati trasferiti dall’Unione Europea. Un documento in cui, insomma, assicuravano di adottare le giuste misure a tutela degli interessati. Se non lo facevano, il rischio era di incappare in sanzioni. Inizialmente, questo strumento era stato considerato come sufficientemente sicuro nella gestione del trasferimento dei dati dall’UE agli USA e quindi introdotto come un adempimento da rispettare. Tuttavia, quest’anno la Corte di giustizia ha invalidato quella decisione, ritenendo che il diritto interno statunitense non offra adeguate garanzie in materia di data protection, soprattutto relativamente alla possibilità di accesso ai dati trasferiti dall’Europa per sicurezza nazionale.
Nell’ambito della stessa sentenza, la Corte di giustizia europea ha però ritenuto valide le cosiddette SCC, cioè le clausole contrattuali di protezione dei dati. Come spiegato dall’EDPB – European Data Protection Board e dal Garante della privacy italiano, questo perché la natura delle clausole è fornire vincoli contrattuali cui devono attenersi i Paesi verso cui i dati europei vengono trasferiti. Va precisato però che la Corte ha sancito che questa natura vincolante sia subordinata a strumenti di protezione che offrano un livello di tutela come quello del GDPR, il regolamento europeo sulla data protection. Se non risultasse possibile rispettare tali criterio, o se le clausole non venissero rispettate, si può vietare il trasferimento dei dati dagli stati comunitari a Paesi extra UE.
Gli impatti per le società
Secondo Luca Bolognini, presidente dell’Istituto italiano privacy, la sentenza Schrems II “ invalida il Privacy Shield ma lascia in piedi lo strumento delle clausole contrattuali standard, che sono, peraltro, le garanzie più frequentemente adottate tra i titolari del trattamento che intendono esportare lecitamente dati personali fuori dalla UE, in Paesi privi di decisione di adeguatezza da parte della Commissione Europea”. Tuttavia, precisa Bolognini “sarà necessario d’ora innanzi verificare che, alla stipula di tali clausole standard, si accompagnino anche ulteriori valutazioni in ordine alla tipologia e sicurezza dei dati e alla salvaguardia dei diritti degli interessati in ogni caso concreto e specifico: per esempio, si dovranno scegliere fornitori extra-europei che consentano l’utilizzo di tecniche di cifratura end-to-end dei dati, e che quindi escludano la possibilità di essere bersaglio di programmi di sorveglianza pubblica massiva da parte di Governi stranieri”. Non mancano fronti considerati critici: “Quello che, purtroppo, colpisce negativamente – nella lettura dell’attuale legislazione UE (Trattati e GDPR in primis) e quindi nel ragionamento della Corte di Giustizia – è un certo “strabismo” nell’applicazione dei criteri in materia di politiche di sicurezza nazionale: i trattamenti di dati personali per scopi di sicurezza nazionale, se operati dagli Stati UE, non vedono applicarsi le salvaguardie del GDPR, mentre l’Europa pretende di imporre l’applicazione dell’intero GDPR ai trattamenti di sicurezza nazionale operati da Stati extra-UE. Due pesi e due misure in ottica eurocentrica”.
Inoltre, secondo Bolognini la Corte “ha formulato una decisione eccessivamente “chiusa” nel perimetro privacy e data protection, quando avrebbe ben potuto operare un bilanciamento tra questi diritti fondamentali e altri diritti e libertà fondamentali – scolpiti anch’essi nella Carta di Nizza – anche in ossequio al principio di proporzionalità di cui all’articolo 5 del Trattato sull’Unione Europea”. Per esempio, “non riconoscere la legittimità sistematica dei trasferimenti all’estero di dati, ove necessari per l’esecuzione di contratto di cui è parte l’interessato per servizi resi da un provider che si doti di mezzi collocati fuori dal territorio della UE. In questo caso, la libertà d’impresa, la trasparenza e comprensibilità delle condizioni e la consapevole scelta degli utenti interessati avrebbero potuto legittimare, in ottica di bilanciamento, quella particolare deroga al divieto di export dei dati. È auspicabile che le Autorità nazionali e il Comitato Europeo per la protezione dei dati operino bilanciamenti ragionevoli e proporzionati nelle loro decisioni, per evitare la disattivazione – in Europa – di moltissimi servizi essenziali per enti pubblici e imprese o che abilitano gli utenti all’esercizio di altri diritti e altre libertà fondamentali, come l’informazione e l’espressione”, conclude Bolognini.
Il caso di Facebook
Un caso concreto per spiegare le conseguenze della decisione della Corte di giustizia europea, è quello di Facebook. L’IDPC, cioè l’autorità garante irlandese per la protezione dei dati, ha aperto un’indagine relativa al trasferimento dei dati dall’Unione Europea agli USA operato dall’azienda californiana. Si sostiene infatti che le clausole contrattuali per la data protection non possano essere applicate in questi casi, per il venir meno delle condizioni di garanzia cui come abbiam detto sono soggette le SCC. A partire da luglio, Facebook ha messo in atto una serie di interventi a tutela dei dati, per adeguarsi all’invalidamento del Privacy Shield e dunque poter sfruttare le clausole contrattuali.
Al momento, si sta valutando la situazione. Facebook potrebbe ricevere l’ordine di sospendere il trasferimento di dati dall’UE verso gli USA, con importanti ricadute economiche. Una decisione in questo senso potrebbe inoltre avere ripercussioni su altre aziende, anche le più piccole, in particolare nel settore IT, che dovrebbero rivedere le impostazioni delle proprie attività.
