0
abolizione privacy shield

Schrems II: Abolizione del Privacy Shield

In un mondo sempre più digitalizzato, i dati personali assumono un sempre maggiore valore commerciale.

La possibilità di fornire offerte personalizzate per ciascun utente sul web, garantisce maggiori possibilità di profitto: per questo motivo, le aziende cercano di raccogliere dati, per diversificare le proprie offerte e rafforzare i propri business sulla base delle richieste e dei desideri delle persone.

Tuttavia, la raccolta di questi dati non può avvenire in modo indiscriminato: la tutela dei dati personali è infatti un diritto della persona, che in Europa è particolarmente tutelato grazie al GDPR. Nel corso degli anni l’Unione ha stretto accordi di diverso tipo in materia di raccolta dati a fini commerciali, con paesi esteri, in modo da garantire la possibilità alle aziende estere di raccogliere dati europei e di operare all’interno dell’Unione, tutelando al tempo stesso le garanzie previste dalle norme europee.

Tuttavia, dal luglio 2020 la situazione è destinata a cambiare, a causa della già celebre sentenza Schrems II, che ha dichiarato invalido il più recente accordo tra UE e USA in materia, il c.d. “Privacy shield.

Prima di analizzare le possibili conseguenze della sentenza sui rapporti tra UE e USA e nella circolazione dei dati, un breve riassunto del contesto in cui è maturata questa decisione della Corte di Giustizia Europea.

La vicenda ha inizio nel 2013, quando un cittadino austriaco, Maximillian Schrems, decideva di denunciare Facebook all’autorità garante della privacy irlandese; Schrems non voleva infatti che Facebook, la cui sede europea si trova proprio in Irlanda, condividesse i suoi dati personali con Facebook Inc., la sede principale americana, i cui server sono appunto collocati negli USA.

Il motivo dietro questa richiesta di Schrems era dovuto alle rivelazioni fatte da Edward Snowden sulle attività di sorveglianza svolte dalle autorità americane (in particolare la NSA, attraverso il programma “PRISM”) sui dati dei cittadini europei; attività in cui Facebook, secondo Snowden, ricopriva un ruolo attivo.

Il Data Protection Commissioner (l’equivalente irlandese del nostro Garante della Privacy) tuttavia respingeva tale richiesta. Schrems decideva allora di adire alla Corte di Giustizia Europea per ottenere la protezione richiesta, e il ricorso proposto si concludeva nel 2015 con la celebre sentenza “Schrems I”.

La “Schrems I” decretava sostanzialmente l’illegittimità del c.d. “Safe harbor”, l’accordo raggiunto nel 2000 tra UE e USA sulla condivisione con le aziende americane, ai fini commerciali, dei dati dei cittadini europei.

Successivamente, nel 2016, UE e USA stringevano un nuovo accordo sul trattamento dei dati, necessario dopo la sentenza Schrems I; il nuovo accordo, che nelle considerazioni delle autorità garanti della privacy europee avrebbe dovuto fornire un livello di protezione per i dati europei negli USA almeno equivalente a quella fornita nell’Unione, richiedeva che le aziende americane, una volta venute in possesso dei dati di una persona europea, dovessero presentare un’autocertificazione in cui si assicurava il trattamento dei dati in conformità a quanto previsto dal GDPR.

Parallelamente, il Data Protection Commissioner invitava Schrems a ripresentare la propria istanza, sulle base di quanto stabilito nella sentenza Schrems I.

La denuncia di Schrems questa volta faceva leva sull’utilizzo eccessivo delle standard contract clauses (SCC), che vincolano il soggetto che tratta i dati a tutelare questi dati in modo conforme a quanto previsto dal GDPR: secondo Schrems, le SCC non sarebbero stati in grado di fornire adeguata protezione, perché non consentivano un’azione giudiziale idonea allo scopo al proprietario dei dati.

Anche in questo caso, la richiesta di Schrems era di proibire il trasferimento dei suoi dati verso gli USA, e anche in questo caso è dovuta intervenire la Corte di Giustizia Europea (stavolta interpellata dalla Suprema Corte Irlandese).

Se la prima sentenza aveva avuto un impatto importante, quello della Schrems II è stato ancora più poderoso: la Corte ha infatti dichiarato l’invalidità del Privacy shield, stabilendo che le limitazioni alla protezione dei dati personali in vigore negli USA non rispettano i principi di adeguatezza e proporzionalità del diritto dell’Unione, e che di conseguenza i dati europei trasmessi negli USA non sono adeguatamente protetti come avviene invece in Europa.

E non solo: la mancanza di un organo negli USA per cittadini europei cui fare ricorso per chiedere protezione per i propri dati costituisce una mancanza inconciliabile con il diritto dell’Unione.

La sentenza ha comunque “salvato” le SCC, stabilendo che il ricorso a questo tipo di clausole non è di per sé scorretto o invalido; tuttavia, il fatto che queste clausole non siano in grado di imporre il trattamento dei dati alla stregua di quanto stabilito nell’Unione nello Stato di appartenenza dell’azienda che viene a contatto con i dati, implica la possibilità che le leggi di quello Stato violino quanto disposto con le SCC, togliendo quindi protezione ai dati del cittadini europei e depotenziando l’effetto di dette clausole, di per sé insufficienti a garantire dall’utilizzo scorretto dei dati.

Chiaramente, la sentenza ha avuto reazioni contrastanti dai due lati dell’Atlantico. In Europa è stata accolta con favore, ed è stata vista come la riaffermazione dell’importanza dei dati dei cittadini della UE, tornati “padroni” dei propri dati personali; dall’altra parte, negli USA, la sentenza è stata definita “deludente” dal Segretario di Stato Mike Pompeo, il quale però ha assicurato che le autorità statunitensi continueranno a lavorare e dialogare con quelle europee alla ricerca di un accordo che rispetti i paletti imposti dal diritto europeo, riaffermati con le due sentenze Schrems.

La sentenza, invalidando il principale accordo con uno dei maggiori interlocutori dell’Unione, ha aperto la porta a una serie di incertezze relativamente soprattutto all’attività delle aziende americane verso l’Europa.

Questo perché la sentenza ha anche stabilito che la protezione dei dati dei cittadini europei dovrebbe essere estesa ai trasferimenti di dati effettuati a qualsiasi titolo, non solo per scopi commerciali.

La Corte chiede sostanzialmente che quando si verifica un trasferimento di dati, le Parti coinvolte effettuino una valutazione simile a quella prevista dall’art. 45 del GDPR, ossia valutare se le leggi del paese importatore siano in grado di fornire un adeguato livello di protezione ai dati rispetto l’accesso da parte delle autorità pubbliche.

Chiaramente, una considerazione di questo tipo si ripercuote in maniera importante soprattutto su soggetti come Google o Facebook stesso, i quali necessariamente vengono a contatto e trattano i dati di moltissimi cittadini europei.

Si tratta quindi di trovare un punto di equilibrio imprescindibile, dal momento che è impensabile (o quantomeno altamente improbabile) che i cittadini europei rinuncino ai servizi di queste aziende, e che al contempo è necessario tutelare i loro diritti.

Il problema, con specifico riferimento al rapporto con le aziende statunitensi, è acuito dalla grande ingerenza e controllo che le autorità americane hanno ai fini di protezione degli interessi nazionali.

Quali possono essere le conseguenze di questa sentenza sui rapporti commerciali, e sulla circolazione dei dati in futuro?

In primis, potrebbe essere il passo decisivo verso la costituzione e l’implementazione di un cloud europeo. Un primo passo in tal senso è già stato mosso con la proposta del governo tedesco del “progetto Gaia-X”, che coinvolge numerose aziende e istituti di ricerca europei, e che mira a creare una serie di strutture e infrastrutture in grado di competere con i grandi colossi mondiali, soprattutto americani, di raccolta e memorizzazione dati.

Si tratta senz’altro di un passo necessario per l’UE per mantenersi al passo con i tempi e mantenere un ruolo da protagonista nell’economia globale, in vista di un futuro sempre più digitalizzato. L’obiettivo dovrebbe essere quello di creare una piattaforma sicura, GDPR compliant, che rispetti anche le esigenze ecologiche: la conservazione dei dati richiede infatti il funzionamento di grandi strutture e quindi di numerose energie.

Tuttavia, non si tratta di un processo di facile e rapida esecuzione, per costi di costruzione e per la grande concorrenza operata dai servizi già avviati di cloud. Per questo motivo è necessario trovare delle soluzioni medio tempore, che siano in grado di garantire la circolazione dei dati nonché la loro protezione.

Dall’altra parte, una possibile conseguenza di questa decisione potrebbe spingere i principali attori del settore cloud a investire direttamente in Europa con proprie strutture.

A oggi infatti non è chiaro in che modo possa continuare un’azienda come Facebook (per ammissione dell’azienda stessa) a fornire il proprio servizio in Europa, dato che i dati raccolti sono automaticamente trasferiti negli USA, che a questo punto non è riconosciuto dall’Unione come una destinazione “sicura” per i dati.

In questo senso, il Comitato Europeo per la Protezione dei Dati (EDPB, che riunisce le autorità garanti europee) ha per il momento pubblicato una serie di FAQ per assistere le parti coinvolte nel trasferimento dei dati a far fronte agli obblighi previsti dalle norme europee.

Le FAQ individuano una serie di misure ulteriori, da affiancare alle SCC, fatte apposta per adattarsi al paese destinatario, per garantire la protezione dei dati europei. In aggiunta alle FAQ è stato inoltre istituita una speciale task force per esaminare i reclami legati alla Schrems II.

La Corte ha stabilito che le parti dovranno considerare l’implementazione di salvaguardie ulteriori, prima di procedere con operazioni commerciali con trasferimenti di dati, senza tuttavia specificare in quali misure possano consistere tali salvaguardie.

Sarà in questo caso compito dell’EDPB individuare tali misure e assistere le parti in questa complicata operazione. Alcune nuove forme di protezione potrebbero consistere in obblighi contrattuali per le aziende importatrici di resistere a richieste eccessive da parte delle autorità.

Ancora, potrebbero essere introdotti obblighi di informazione periodica nei confronti del titolare dei dati riguardo alle richieste ricevute dalle autorità riguardo i suoi dati.

Tra gli strumenti di tipo tecnico, e non strettamente legale, che potrebbero sopperire alle mancanze delle SCC, il Garante Privacy tedesco ha suggerito di utilizzare dei processi di crittografia dei dati trasmessi, in cui solo il paese esportatore possiede la chiave di accesso, o nella anonimizzazione/pseudonimizzazione dei dati trasmessi.

È chiaro tuttavia che il focus del trattamento dei dati deve essere sempre indirizzato a fornire una tutela pari a quella fornita in Europa, con la possibilità di adire un’autorità apposita per chiedere protezione per i propri dati.

Ed è altrettanto chiaro che negli USA, il principale interlocutore per l’Europa in questo campo, tale possibilità non sia prevista, perché gli interessi di sicurezza nazionale sono sempre ritenuti prevalenti su quelli del singolo cittadino. Pertanto, le soluzioni che potranno essere adottate d’ora in avanti potranno essere solo degli aggiustamenti il più possibile conformi alla normativa europea, in attesa di un nuovo accordo tra Commissione Europea e il Governo USA che soddisfi i requisiti stabiliti dalla Schrems II.

È quindi ancora relativamente presto per definire in modo preciso quali saranno le reali conseguenze, quali meccanismi verranno adottati, e come cambieranno i rapporti di forza in seguito a questa prorompente decisione, il cui merito è senz’altro quello di aver riportato la “sovranità sui dati” europea in cima alla scala di valori anche in ambito commerciale, in un momento particolarmente complesso sul piano geopolitico.

1 Star2 Stars3 Stars4 Stars5 Stars (1 votes, average: 5,00 out of 5)
Loading...

Lascia un commento

Your email address will not be published.