Lo scorso giovedì 16 luglio 2020 la Corte di Giustizia dell’Unione Europea ha annullato il Privacy Shield [1] , uno dei principali strumenti che legittimavano il trasferimento di dati personali dall’Unione Europea verso gli USA nel pieno rispetto del GDPR.
Sul versante americano dell’Atlantico, tutte le aziende del settore tecnologico vedono la propria posizione indebolirsi sul secondo mercato più grande del mondo, l’Europa.
Sul versante europeo, le opinioni sono discordi e riflettono le consuete fratture in materia di protezione dei dati personali. I sostenitori della privacy lo interpretano come un campanello d’allarme per gli Stati Uniti, il paese della NSA e di altre agenzie governative superpotenti. Le startup europee e i sostenitori della sovranità digitale stanno studiando il modo per guadagnare quote di mercato. Sono le aziende europee ad essere le meno soddifatte, perché non sanno più come fare per rispettare la legge. La posta in gioco è alta: il trasferimento transatlantico di dati personali in base all’ormai defunto Privacy Shield può essere sanzionato fino al 4% del loro fatturato annuo.
Come DiliTrust, accogliamo con favore questa decisione che rafforza, se necessario, il nostro impegno a favore della sovranità digitale e conferma la natura rischiosa del trasferimento di dati verso gli Stati Uniti.
PRIVACY SHIELD, UN MECCANISMO CHE COPRE ESCLUSIVAMENTE I DATI PERSONALI
Le aziende hanno a disposizione una quantità crescente di dati. Va precisato come il Privacy Shield sia applicabile solo ai dati personali. Per “dati personali” si intende qualsiasi dato che può essere utilizzato per identificare una persona direttamente (ad es. cognome, nome) o indirettamente (ad es. un numero di identificazione o un insieme di informazioni che possono essere raggruppate per identificare una persona).
Pertanto, i dati personali possono essere qualsiasi informazione relativa a un dipendente in un contratto (ad esempio, un contratto di lavoro, compresa la sua posizione, il lavoro, la retribuzione, ecc.)
PRIVACY SHIELD, un meccanismo di autocertificazione
Il Privacy Shield è entrato in vigore il 1° agosto 2016, data in cui l’Unione Europea lo ha riconosciuto come conforme alla Direttiva Europea sulla Protezione dei Dati Personali (Direttiva poi sostituita dal GDPR).
Il Privacy Shield era un meccanismo con cui le aziende con sede negli Stati Uniti potevano autocertificarsi alla Federal Trade Commission (FTC). A tal fine, le aziende statunitensi dovevano impegnarsi ad adottare una serie di misure di protezione dei dati, affinché i dati personali provenienti dall’Europa potessero beneficiare di un livello di protezione sufficiente. Questa certificazione doveva essere rinnovata annualmente e copriva i dati personali HR e/o non HR.
Qualsiasi azienda europea poteva trasferire legalmente i dati personali a uno dei 5.500 firmatari del Privacy Shield. Tra i firmatari, tutte le stelle della Silicon Valley (Google, Hubspot, Dropbox, …) e coloro che desideravano presentare un’autocertificazione ai sensi del Privacy Shield. Tuttavia, non figuravano player come banche, assicurazioni e fornitori di servizi di telecomunicazione, perchè esclusi dal regime (questi non sono infatti soggetti all’autorità della FTC).
Gli Stati Uniti hanno dato alla Commissione numerose garanzie sulla “serietà” del sistema. Si sono impegnati ad un reale controllo delle società firmatarie e all’applicazione di sanzioni in caso di mancato rispetto degli impegni assunti. Inoltre, un cittadino europeo poteva deferire alla propria autorità nazionale di protezione dei dati qualora una società firmataria non avesse rispettato gli impegni assunti. In questo caso, era stato messo in atto un meccanismo di cooperazione tra le autorità locali europee e la FTC. Infine, i dati personali erano accessibili alle amministrazioni federali solo per motivi di “sicurezza nazionale”. Quest’ultimo punto è, come vedremo, importante.
PRIVACY SHIELD, UN MECCANISMO CONTESTATO
Un accordo simile, denominato “Safe Harbor”, era in vigore dal 2000 prima di essere dichiarato non valido dalla Corte di giustizia dell’Unione europea (CGUE) nel 2015 per motivi e in un contesto molto simile alla recente decisione.
Nel 2015, ai sensi della Direttiva sulla protezione dei dati personali del 1995, l’avvocato austriaco Maximilian Schrem aveva chiesto all’Autorità per la protezione dei dati personali irlandese (il “Data Protection Commissioner” irlandese) di condannare Facebook per aver trasferito i suoi dati personali su server situati negli Stati Uniti. A sostegno di questa richiesta, l’attivista aveva invocato l’assenza di una legislazione sulla protezione dei dati e l’esistenza di programmi di sorveglianza di massa più o meno regolamentati. Il Data Protection Commissioner respinse il ricorso adducendo come motivo il fatto che Facebook fosse firmatario del Safe Harbour. Maximilian Schrem si rivolse all’Alta Corte irlandese per impugnare la deliberazione del Data Protection Commissioner. Il tribunale irlandese deferì a sua volta la questione alla Corte di giustizia dell’Unione europea per un parere su questo punto di diritto. Nella sua decisione, la CGUE invalidò il Safe Harbor [2] come garanzia sufficiente perchè il trasferimento di dati personali negli Stati Uniti fosse conforme al diritto comunitario.
Cinque anni dopo, Maximilian Schrem fece la stessa richiesta al DPC che venne di nuovo deferita alla Corte di Giustizia Europea. Nel frattempo, la Direttiva sulla protezione dei dati personali era scomparsa a favore del GDPR. Ma il regolamento è abbastanza allineato con la Direttiva in materia di trasferimento di dati al di fuori dell’Unione Europea. Inoltre, il Safe Harbor era stato sostituito nel 2016 dal Privacy Shield. Infine, Facebook aveva integrato la sua certificazione Privacy Shield con le Clausole Contrattuali Standard, che vedremo più avanti. Nonostante questi cambiamenti nel testo e nelle disposizioni, la CGCE ha invalidato il Privacy Shield richiamando chiaramente le leggi di sorveglianza degli Stati Uniti: “le limitazioni della protezione dei dati personali che risultano dalla normativa interna degli Stati Uniti in materia di accesso e di utilizzo, da parte delle autorità statunitensi, di siffatti dati trasferiti dall’Unione verso tale Paese terzo […], non sono inquadrate in modo da rispondere a requisiti sostanzialmente equivalenti a quelli richiesti, nel diritto dell’Unione, dal principio di proporzionalità, giacché i programmi di sorveglianza fondati sulla suddetta normativa non si limitano a quanto strettamente necessario. (Estratto dal comunicato stampa [3]).
I difensori della privacy sono stati lieti di vedere che la CGUE non ha esitato a firmare questa condanna a morte. Si tratta di un organo giudiziario la cui missione è quella di giudicare a livello giuridico indipendentemente dalle questioni economiche e politiche. Per la Commissione europea è stato diverso negli ultimi quattro anni. Fin dalla sua nascita, il Privacy Shield è stato oggetto di molte critiche, a partire dall’organismo che riunisce le autorità nazionali per la protezione dei dati: il Comitato europeo per la protezione dei dati (EDPB). Così, nella sua seconda relazione sul Privacy Shield [4], l’EDPB ha condannato il controllo superficiale della FTC degli Stati Uniti e i sistemi di sorveglianza di massa. Il Parlamento europeo, da parte sua, si è mostrato costantemente ostile. Ciò è stato rafforzato nel 2018 quando gli Stati Uniti hanno promulgato il Cloud Act che estende le opportunità di vigilanza delle autorità pubbliche.
Ciononostante, ogni rapporto annuale della Commissione rivelava la frustrazione per la buona volontà degli Stati Uniti. Tuttavia, sarebbe stato difficile per la Commissione tornare indietro senza rinnegare se stessa, o rischiare misure di ritorsione da parte del governo Trump. Maxime Shrems ha riassunto molto bene la situazione già nel 2016: “Il Privacy Shield è il prodotto delle pressioni degli Stati Uniti e dell’industria tecnologica, non il risultato di un approccio razionale o di considerazioni ragionevoli”.
TRASFERIMENTO DI DATI VERSO GLI USA: LE QUATTRO OPZIONI RIMANENTI
Ora che le aziende europee non possono più fare affidamento sul Privacy Shield, cosa possono fare se vogliono continuare a lavorare con i loro fornitori statunitensi?
Innanzitutto, si ricorda che il trasferimento di dati personali al di fuori dell’UE, necessario per l’esecuzione di un contratto, rimane conforme al GDPR. Immaginate, ad esempio, di organizzare un seminario aziendale negli Stati Uniti. Per farlo, è necessario comunicare l’elenco dei vostri dipendenti agli operatori turistici locali (alberghi, trasporti, ecc.). In questo caso, il trasferimento dei dati personali dei vostri dipendenti è legale perché necessario su base contrattuale. Assicuratevi tuttavia che il contratto preveda la protezione dei dati da parte del vostro subappaltatore. Che sia europeo o meno, è un obbligo generale del GDPR!
La soluzione può essere tecnica. Potete chiedere ai vostri fornitori di servizi di ospitare i vostri dati in Europa. Tutti i maggiori player americani offrono già questa opzione, come Google, Microsoft, AWS… Tuttavia è vero che in alcuni casi questa migrazione può comportare un costo significativo o impattare sulla roadmap. Inoltre, è necessario prestare particolare attenzione su questo punto: è necessario infatti avere la garanzia che nessun dipendente o subappaltatore della propria azienda fornitrice di servizi possa accedere ai dati personali dagli Stati Uniti. Infatti, il semplice fatto di rendere accessibili i dati da un paese al di fuori dell’Unione Europea è considerato come un trasferimento di dati al di fuori dell’UE. Questa situazione è comune ad esempio nel caso di aziende che utilizzano un call center offshore, dove ogni dipendente si collega agli strumenti del cliente ospitati in Europa.
Infine, ma non per questo meno importante, la CGUE ha ricordato che è possibile “contrattualizzare” la protezione dei dati con un partner americano. Nella sua decisione, ha ricordato la validità dell’uso delle “clausole contrattuali tipo” (spesso indicate con l’acronimo “SCC”). Le SSC sono clausole redatte dalla Commissione europea (cfr. decisione 2010/87 della Commissione del 5 febbraio 2010 [5]) e contengono tutta una serie di obblighi in materia di protezione dei dati personali simili a quelli previsti dal GDPR. La prima azione da intraprendere è quindi verificare l’esistenza di questi Clausole Contrattuali Tipo nei vostri contratti. I GAFAM e altri importanti player statunitensi hanno inserito queste SCC nella maggior parte dei loro contratti ben prima della decisione della Corte di giustizia europea. E’ probabile che le aziende americane più piccole tornino dai propri clienti europei con la modifica del contratto. Ciononostante, assicuratevi che le clausole proposte siano quelle corrette. Esistono infatti due categorie di clausole contrattuali tipo: quelle per il trasferimento di dati tra due responsabili del trattamento e quelle per il trasferimento tra un responsabile del trattamento e un incaricato del trattamento. Infine, per essere legittime, queste clausole devono essere inserite nel contratto per intero e senza alcuna modifica (modalità “copia e incolla”).
Tuttavia, gli esperti legali e i DPO rimangono perplessi dalla logica della CGCE di invalidare il Privacy Shield da un lato e di convalidare le clausole contrattuali tipo dall’altro. Nella sua decisione, la CGCE giustifica la validità delle clausole con il fatto che queste obbligano l’esportatore europeo di dati e l’importatore statunitense a verificare in anticipo il livello di protezione dei dati del paese terzo interessato. In assenza di norme di tutela, l’importatore deve informare l’esportatore di dati della sua eventuale impossibilità di rispettare le clausole di tutela standard, con la conseguente sospensione del trasferimento dei dati da parte di quest’ultimo e/o la risoluzione del contratto con il primo. È difficile credere che, dopo aver riconosciuto la legge statunitense come insufficientemente protettiva, la CGCE lasci la materia alla discrezione delle imprese… Si può quindi constatare che l’incertezza del diritto permane anche quando si utilizzano le clausole contrattuali tipo. La soluzione più semplice rimane quella di privilegiare la collaborazione con i player europei. Per questo motivo, DiliTrust ospita i dati dei clienti in Francia in modo da garantire una migliore riservatezza.
Infine, al di là della rilevanza giuridica e delle implicazioni tecniche, questa decisione ci sembra un’opportunità per le imprese europee di considerare il ruolo che intendono svolgere in una sfida tanto importante quanto quella della protezione dei dati: la sovranità digitale europea. Alcune aziende europee e i loro CIO stanno dando priorità al livello tecnologico rispetto alla sovranità. Ci auguriamo che, con questa iniziativa, prendano coscienza dell’importanza dell’hosting locale e seguano le orme di molte aziende del CAC 40 che hanno già optato per soluzioni sovrane.
ESEMPI DI UTILIZZO
La fine del Privacy Shield evidenzia il rischio di trasferire dati, personali o meno, negli Stati Uniti e sostiene l’hosting in Europa. Ciò implica diverse azioni che devono essere attuate al più presto dalle aziende europee. DiliTrust può fornire competenze e soluzioni sicure conformi per aiutarvi in questo processo.
- Identificare tutti i trasferimenti di dati verso gli Stati Uniti
- Tra questi trasferimenti, identificare quelli basati sul Privacy Shield
- Classificare i tipi di trasferimento per determinare la clausola contrattuale standard da applicare
- Lavorare su clausole contrattuali standard
- Lavorare sulle Binding Corporate Rules (“BCR”, Regole aziendali vincolanti, art. 47 del GDPR) per i gruppi internazionali
- Classificare i dati sensibili di governance
- Proteggere i dati sensibili del consiglio di amministrazione e del comitato
- Proteggere l’accesso alle decisioni strategiche delle aziende europee, ai processi di M&A, ai brevetti ecc.
- Facilitare il lavoro per i membri degli organi di governo e dei team legali
