A poche settimane dalla sentenza della Corte di giustizia C-311/18 del 16 luglio 2020 che ha dichiarato invalido lo scudo del Privacy Shield per il legittimo trasferimento di dati personali dall’Europa verso gli Usa (cd. “sentenza Schrems II”), ci si interroga ancora sulle conseguenze di tale pronuncia e, soprattutto, sui rimedi che le imprese europee possono mettere in pratica per evitare che i trasferimenti di milioni di dati personali verso società capogruppo e/o controllate o collegate ovvero verso partner commerciali con sede negli USA vengano bloccati dalle autorità di controllo degli Stati Membri.
Anzitutto, occorre liberare il campo da alcune interpretazioni allarmistiche (o peggio, propagandistiche) e riporre nel giusto alveo la decisione della Corte di giustizia e le sue immediate conseguenze.
La sentenza Schrems II è infatti molto più sfumata di quanto alcuni (compreso lo stesso Max Schrems) affermano riguardo alla liceità dei trasferimenti di dati verso gli Stati Uniti (o altre giurisdizioni). Tale decisione, infatti, non ha vietato il trasferimento di dati personali verso gli Usa o vero altri Paesi extra-UE. La Corte di giustizia ha posto l’accento sulla mancanza di proporzionalità e limiti dell’accesso effettuato dalle agenzie governative, nell’ambito dei programmi di sorveglianza, ai dati personali dei cittadini Ue trasferiti negli Usa. La Corte ha inoltre stigmatizzato l’assenza di controlli efficaci riguardo l’utilizzo dei dati da parte delle autorità pubbliche Usa, oltre che di adeguati diritti degli interessati ad opporsi al trasferimento o all’uso illecito dei propri dati personali.
Basti solo ricordare da cosa è stata originata la battaglia condotta da Max Schrems nei confronti di Facebook, o per meglio dire, nei confronti della disponibilità senza limitazione dei dati degli utenti da parte delle agenzie governative Usa. La prima denuncia di Schrems davanti al Data Protection Commissioner irlandese, infatti, segue le rivelazioni di Edward Snowden sulla partecipazione di Facebook ed altri provider di servizi statunitensi al programma di sorveglianza di massa del governo Usa denominato “Prism” nel 2013. Le due sentenze della Corte di giustizia (sia quella che ha invalidato nel 2014 il Safe Harbor, sia questa in commento che ha riguardato il suo successore Privacy Shield) hanno infatti giudicato insufficienti, in rapporto ai diritti fondamentali dell’Unione Europea, le garanzie offerte negli Usa ai cittadini europei riguardo l’accesso ai loro dati personali e la sorveglianza indiscriminata delle loro azioni e dei loro comportamenti, specie quelli tenuti sul web e nell’ambito dell’utilizzo dei social media.
Il principio espresso dalla Corte, tuttavia, non vale solo per gli Usa ma è esteso a tutte le giurisdizioni dei Paesi extra-Ue dove sono trasferiti i dati personali, magari a fronte di contratti di cloud computing o di gestione delle warehouse data localizzate in Paesi in cui il costo delle infrastrutture e della mano d’opera e molto inferiore a quella europea (es. Cina, India). Molti si sono chiesti se la sentenza in commento non sia frutto di una volontà politica di ridisegnare i rapporti futuri nell’ottica di un “neo-sovranismo” europeo rispetto allo strapotere dei fornitori extra-Ue; se si voglia forzare la conservazione dei dati all’interno dei confini europei (e quindi la europeizzazione di molti provider extraeuropei) impedendo o rendendo più difficile il flusso verso l’esterno. E’ senza dubbio tangibile il rischio di creare delle vere e proprie “black list” di Stati extra-Ue che non garantiscono la tutela della privacy dei cittadini europei, con evidenti conseguenze sul piano dei commerci internazionali e della geopolitica.
Tuttavia, almeno secondo un’interpretazione realistica della sentenza Schrems II, la Corte non impone che la conservazione dei dati personali dei cittadini europei resti entro i confini dell’Ue (a differenza di quanto avviene in alcune giurisdizioni quali la Russia o l’Egitto) ma di applicare adeguati meccanismi di protezione dei dati indipendentemente dal luogo in cui sono trasferiti gli stessi. Il progetto della Corte è ancora più ambizioso: creare una lex mercatoria globale che garantisca standard compatibili di tutela dei dati personali, avendo come benchmark di riferimento la disciplina europea e i suoi principi di riferimento. Del resto, una diversa e più drastica soluzione avrebbe tradito le basi stesse dell’Ue oltre che la natura globale dei commerci delle sue imprese.
Proviamo a vedere, in concreto, quali sono le principali conseguenze che derivano alle imprese europee che trasferiscono dati fuori dal territorio comunitario (non sono negli Usa). In termini pratici, occorrerà percorrere una soluzione che consta di due fasi principali:
- una valutazione del “rischio Paese”, ossia un’analisi, caso per caso, del sistema giuridico del Paese importatore dei dati e delle garanzie ivi riservate all’accesso indiscriminato ai dati personali da parte delle autorità pubbliche. Con riferimento al trasferimento dei dati negli Usa sarà opportuno effettuare una ricerca che analizza la Fisa Section 702 e la EO 12333 (e altre autorità citate dalla Corte di giustizia) valutandone la portata, e determinando quali tipi di trasferimenti di dati potrebbero uscire dal campo di applicazione della sentenza Schrems II. Si tenga presente che, laddove il trasferimento di dati personali negli Usa è stato effettuato sulla base del Privacy Shield, la prima cosa da fare dovrebbe essere quella di verificare se sia possibile la modifica della base giuridica, prendendo ad esempio in considerazione le ipotesi elencate dall’art. 49 del Gdpr che non sono state interessate dalla sentenza della Corte di giustizia (per tutte: consenso informato dell’interessato; necessità di dare esecuzione ad un contratto con l’interessato ovvero stipulato nell’interesse di quest’ultimo; necessità di difendere un diritto del titolare del trattamento in giudizio; necessità di tutelare un prevalente interesse pubblico; ecc.)
- sulla base del risultato di tale valutazione, negoziare e integrare, con “garanzie supplementari”, le clausole già contenute nei modelli contrattuali esistenti (ad esempio Standard Contractual Clauses o Binding Corporate Rules adottate secondo gli schemi approvati dalla Commissione Ue).
Riguardo questo secondo punto, è probabile (e senz’altro auspicabile) che le autorità di controllo privacy pubblichino un vademecum o delle linee guida riguardo le garanzie supplementari per il trasferimento dei dati personali verso Paesi terzi che non garantiscono un livello di tutela adeguata. E’ altresì possibile che la Commissione Ue anticipi ogni eventuale decisione dell’European Data Protection Board (Edpb), pubblicando una nuova versione di Standard Contractual Clauses (SCCs) ovvero una versione negoziata e corretta del Privacy Shield al fine di risolvere i rischi individuati dalla Corte di giustizia. Nel frattempo, tuttavia, possono identificarsi le seguenti tre categorie di garanzie supplementari:
a) Garanzie contrattuali che limitano le facoltà dell’importatore di dati di fornire l’accesso a terzi, anche se agenzie governative, ovvero creano forme aggiuntive di sostegno e assistenza per l’interessato al fine di tutelare i propri diritti nei confronti dei terzi:
- clausole aggiuntive che prevedono l’obbligo di notifica preventiva e di autorizzazione dell’esportatore in caso di richiesta di disclosure dal parte dell’autorità pubblica straniera ovvero il diritto dell’esportatore di bloccare il flusso di dati e impedire di fatto il trasferimento ulteriore;
- clausole che prevedono forme di cooperazione tra esportatore e importatore per consentire all’interessato, oltre che la trasparenza rispetto ai trasferimenti successivi dei suoi dati, anche la possibilità di utilizzare, senza sopportare gli oneri economici e le spese legali, gli strumenti processuali e i diritti di azione previsti dalla legislazione del Paese importatore per opporsi alla disclosure dei propri dati personali
b) Garanzie tecniche che rendono, nella pratica, i dati trasferiti inaccessibili a terzi: es.
Utilizzo di sistemi di privacy by design che siano in grado di eseguire una selezione preventiva di dati che è necessario trasferire secondo un principio di proporzionalità
- uso di tecniche di criptografia end-to-end
- pseudonimizzazione dei dati e gestione limitata delle chiavi di accesso
- modifica delle modalità di accesso: in luogo dell’invio dei dati presso l’importatore, prevedere l’accesso in remoto tramite credenziali fornite a limitate persone dell’importatore presso i sistemi e i database dell’esportatore;
- tracciabilità degli accessi.
c) Garanzie amministrative che si applicano alla fornitura dei servizi da parte di terzi fornitori localizzati in Paesi extra-Ue rispetto al trasferimento di dati personali: es. politiche concordate di divulgazione dei dati a terzi; notifiche rispetto alle richieste ricevute, trasparenza delle attività di divulgazione e riutilizzo dei dati trasferiti.
In conclusione, la sentenza Schrems impatta decisamente sui rapporti contrattuali e commerciali delle imprese Eu, laddove impone ad esse di operare a monte una valutazione del “rischio Paese” e di negoziare garanzie aggiuntive per la tutela dei dati personali trasferiti, a prescindere dalla presenza o meno di leggi privacy locali. Ciò che è sicuro e, in un certo senso, ineludibile è il principio secondo cui andrà, d’ora in poi, sempre garantita l’effettiva sovranità dei dati dei cittadini europei a fronte di utilizzi illeciti di dati trasferiti extra-Ue, incluse le raccolte di massa di dati da parte di autorità governative straniere celate dal pretesto della sorveglianza a fini di sicurezza.
