Agli inizi di ottobre 2020 l’autorità francese per la protezione dei dati (Commission Nationale de l’Informatique et des Libertés – CNIL) ha espresso preoccupazione per l’hosting da parte di Microsoft (UE) della banca dati centralizzata francese sulla salute pubblica (Plateforme des données de santé o Health Data Hub). Tuttavia, da un fronte diverso, la massima Corte amministrativa francese (Conseil d’Etat) ha emesso a metà ottobre 2020 una sentenza che dimostra di non condividere completamente la posizione della CNIL[1].
Ricostruiamo la vicenda per comprenderne le possibili conseguenze.
L’Health Data Hub, il nodo dell’host Microsoft
La CNIL si è espressa sull’Health Data Hub, facendo in modo che il governo francese mettesse fine a qualsiasi trasferimento di dati verso gli Stati Uniti nel contesto dell’Hub, e raccomandando un cambiamento del fornitore di hosting dei dati personali e particolari dei cittadini francesi. La posizione “non vincolante” della CNIL, non crea un divieto generale di trasferimento di dati particolari verso gli Stati Uniti ovvero un divieto di utilizzo di fornitori di servizi cloud americani; tuttavia la sua posizione incoraggia i titolari del trattamento dei dati (es. cloud provider) a porre quanto prima in atto una valutazione del rischio, come previsto dalla decisione Schrems II[2], e ad attuare forti misure di salvaguardia per garantire la protezione dei dati personali (principalmente relativi alla salute) dall’accesso da parte delle autorità statunitensi.
L’impatto della decisione Schrems II sulla legittimità dei trasferimenti di dati particolari verso gli USA sulla base di clausole contrattuali standard (SCC) è stato quindi altamente impattante. All’inizio del procedimento d’oltralpe, il servizio di hosting fornito da Microsoft ha comportato l’accesso remoto da parte dei servizi informatici di Microsoft, a fini di manutenzione e supporto. L’accesso remoto si è detto limitato ai log e non comportava alcun accesso ai dati relativi alla salute. Tuttavia, permangono l’applicabilità delle leggi statunitensi sulla sorveglianza – CLOUD Act, sezione 702 della FISA (Foreign Intelligence Surveillance Amendment Act), Executive Order 12333 – al fornitore di servizi di hosting nonché i rischi associati a potenziali richieste di accesso ai dati ospitati all’interno dell’Unione Europea da parte di tribunali/autorità statunitensi.
L’interpretazione rigorosa di Schrems II da parte della CNIL
La CNIL espone la sua interpretazione della decisione Schrems II, la quale ha condizionato l’utilizzo delle Standard Contractual Clauses all’adozione di ulteriori misure di salvaguardia. La CNIL ritiene che tali salvaguardie supplementari siano “abbastanza difficili” da attuare per i trasferimenti a fornitori direttamente soggetti all’articolo 702 della FISA e all’OE 12333, come i fornitori di servizi di comunicazione elettronica. Quando il destinatario non è direttamente soggetto a tali disposizioni, i rischi sono legati al trasferimento di dati attraverso infrastrutture, come i cavi di comunicazione sottomarini, soggetti a tali programmi di sorveglianza e possono essere adeguatamente mitigati mediante la cifratura dei dati. A causa delle sue preoccupazioni circa la fattibilità dell’implementazione di sufficienti misure di salvaguardia, nel contesto dell’Health Data Hub, la CNIL ha raccomandato di fermare tutti i trasferimenti di dati verso gli Stati Uniti, e il 10 ottobre 2020 il Ministero della Salute francese ha espressamente confermato che i dati trattati dal Health Data Hub non possono essere trasferiti in paesi situati al di fuori dell’Unione Europea. Appare quindi evidente che la CNIL ha deciso di adottare una costruzione rigorosa, se non addirittura espansiva, della decisione Schrems II, ritenendo che i fattori che hanno portato all’invalidazione del Privacy Shield possano anche riguardare le SCC – quand’anche con garanzie aggiuntive – non sufficientemente “protettive” per i trasferimenti di dati personali e particolari verso gli Stati Uniti.
L’interpretazione “light” di Schrems II da parte del Conseil d’Etat
Anche se l’Health Data Hub è stato “ospitato” all’interno del territorio dell’Unione Europea, la CNIL ha espresso la preoccupazione che le potenziali richieste da parte delle autorità o dei tribunali statunitensi, nel contesto dei programmi di sorveglianza secondo le disposizioni della sezione 702 della FISA e dell’EO 12333, creino un rischio di accesso ai dati personali e particolari degli assistiti in Francia da parte delle autorità statunitensi. Tuttavia, il 19 giugno 2020 e di nuovo il 14 ottobre 2020, il Conseil d’Etat ha stabilito, in decisioni riguardanti rispettivamente le disposizioni del CLOUD Act e della sezione 702 della FISA e dell’EO 12333, che il rischio effettivo che un tribunale od un’autorità statunitense richieda l’accesso al database del Health Data Hub appare basso, in quanto è improbabile che i dati particolari siano utili a fini criminali/antiterroristici (e ancor meno nel database del Health Data Hub, dove i dati sono pseudonimizzati e non possono essere associati all’identità degli individui senza ulteriori informazioni).
Nel suo documento, contrariamente alla posizione del Conseil d’Etat, la CNIL ha sostenuto che esiste un rischio reale che un tribunale od un’autorità statunitense possa richiedere l’accesso al database dell’Health Data Hub, che i dati relativi alla salute sono “sensibili” e che le misure di pseudonimizzazione non riducono in realtà i rischi di reidentificazione (considerando il livello di dettaglio delle cartelle cliniche ospitate nel Health Data Hub); tuttavia, la CNIL non ha affrontato esplicitamente la posizione del Conseil d’Etat riguardo alla mancanza di utilità dei dati particolari nel contesto di procedimenti penali o di antiterrorismo. Come sottolinea la stessa CNIL, la sua posizione non è vincolante per gli operatori e nemmeno per gli interessati in generale. In primo luogo, la CNIL distingue il contesto del Health Data Hub dall’oggetto della decisione Schrems II, poiché i dati del Health Data Hub non dovrebbero essere trasferiti negli Stati Uniti, ma potrebbero essere oggetto di una richiesta di accesso ai dati memorizzati all’interno dell’Unione Europea. Inoltre, la CNIL dichiara espressamente che il suo parere copre solo il caso specifico dei dati relativi alla salute, e si riserva di giudicare i trasferimenti per altri settori o che riguardano dati personali “meno sensibili”. Questa posizione non è stata confermata dal Conseil d’Etat (che rivede la decisione della CNIL in prima e ultima istanza). Nella sua decisione del 19 giugno 2020 il Conseil d’Etat aveva dimostrato di non considerare tali disposizioni come un rischio importante e urgente per la protezione dei dati relativi alla salute. Per quanto riguarda il rischio associato all’articolo 702 della FISA e all’OE 12 333, il 13 ottobre il Conseil d’Etat ha stabilito che, dato l’importante interesse pubblico di mantenere una banca dati sanitaria COVID-19, i rischi di accesso da parte delle autorità statunitensi, sebbene possibili, non sono abbastanza gravi da giustificare la sospensione del servizio e l’immediato cambio di fornitore.
Le implicazioni pratiche delle due “vision” d’oltralpe
Le organizzazioni che elaborano dati relativi alla salute, e in particolare quelle che trasferiscono tali dati a qualsiasi affiliato di un fornitore di hosting con sede negli Stati Uniti, devono ora decidere se adottare l’interpretazione della CNIL e cercare opzioni di hosting alternative. Il Conseil d’Etat si è pronunciato solo sulla particolare emergenza della questione, ma non ha messo in discussione l’esistenza di rischi di accesso da parte delle autorità statunitensi. Pertanto, la posizione della CNIL, anche se non completamente confermata dal Conseil d’Etat in termini di livello di rischio, deve ancora essere presa in considerazione. In primo luogo, le parti interessate dovrebbero seguire da vicino gli sviluppi di questi procedimenti e la potenziale posizione pubblica che la CNIL potrebbe assumere a seguito di quest’ultima decisione del Conseil d’Etat. In secondo luogo, prima di prendere qualsiasi decisione, le imprese dovrebbero verificare se il cambiamento di fornitore è conforme ad altri campi del diritto applicabile (francese o europeo). Ad esempio, nell’Unione Europea gli enti pubblici non sono autorizzati, come regola generale degli appalti pubblici, a discriminare in base alla nazionalità del fornitore. In terzo luogo, è importante notare che le filiali o le consociate dei fornitori di servizi cloud statunitensi non sono gli unici soggetti che possono essere coperti dalle leggi di sorveglianza statunitensi. Pertanto, in una certa misura, una società “madre” francese, che memorizza i dati in Francia, potrebbe essere soggetta alle richieste di accesso delle autorità statunitensi se una delle sue affiliate è stabilita all’interno dell’Unione Europea e ha una qualche forma di controllo sui dati. Un’analisi approfondita dell’applicabilità delle leggi di sorveglianza straniere su qualsiasi fornitore dovrebbe quindi essere condotta prima di qualsiasi cambiamento di fornitore.
Le imprese che effettuano o prevedono di effettuare trasferimenti di dati relativi alla salute dovrebbero considerare l’impatto della decisione Schrems II e di questo nuovo parere guida della CNIL sulle loro operazioni il più presto possibile, conducendo una valutazione del rischio di trasferimento dei dati e implementando ulteriori salvaguardie per i trasferimenti, come l’utilizzo di un fornitore di crittografia di terze parti, con sede nell’Unione Europea e non soggetto alla giurisdizione degli Stati Uniti, al fine di evitare qualsiasi accesso ai dati personali e particolari.[3]
_____________________________________________________________________________________________
- Health Data Hub et protection de données personnelles: des précautions doivent être prises dans l’attente d’une solution pérenne ↑
- Privacy Shield: le FAQ dell’EDPB sulla sentenza Schrems II. (traduzione in italiano a cura del Garante) ↑
- Transfers of Health Data from France to the United States Not Prohibited… but Must be Protected by Strong Safeguards. Law Business Research. ↑
