Il fallimento del Privacy Shield
Il 16 luglio 2020 la Corte di Giustizia Europea ha invalidato la decisione della Commissione Europea 2016/1250 sull’adeguatezza della protezione fornita dal Privacy Shield UE-USA.
Il Privacy Shield è un accordo internazionale tra Unione Europea e Stati Uniti per gli scambi transatlantici di dati personali a scopo commerciale.
Nelle intenzioni, questo accordo avrebbe dovuto garantire un adeguato livello di protezione dei dati personali dei cittadini europei, garantendo il rispetto della normativa privacy dell’Unione Europea.
Nella pratica, l’accordo ha fallito clamorosamente nel suo scopo, e questa decisione della Corte è il risultato di un lungo percorso, durato 7 anni.
Come ci siamo arrivati?
Nel 2013 Edward Snowden rendeva nota al mondo la sorveglianza di massa globale messa in atto dalla National Security Agency (NSA) degli Stati Uniti. Un evento che ha segnato gli ultimi due decenni e per il quale ancora si fatica a percepirne le implicazioni, anche per i cittadini europei.
In quello stesso anno, Maximilian Schrems faceva un reclamo all’Autorità di protezione dei dati Irlandese (Data Protection Commissioner) contro Facebook, proprio alla luce del coinvolgimento di Facebook (e altri colossi statunitensi) nella sorveglianza di massa perpetrata dalla NSA.
Il caso, arrivato infine di fronte alla Corte di Giustizia (Schrems I), fu deciso nel 2015, invalidando l’accordo internazionale denominato Safe Harbor che all’epoca regolava il trasferimento di dati dall’UE verso gli USA.
Un anno dopo, nel 2016, nasceva il Privacy Shield. Un accordo che intendeva sostituire e migliorare il Safe Harbor.
Neanche il Privacy Shield ha però resistito allo scrutinio della Corte, che il 16 luglio ha deciso di invalidarlo, a seguito di una seconda causa promossa da Maximilian Schrems nel 2018 (Schrems II).
Perché la Corte di Giustizia ha invalidato anche il Privacy Shield?
Il Regolamento per la protezione dei dati (GDPR), divenuto efficace in UE nel 2018, prevede che il trasferimento di dati personali verso paesi terzi (extra-ue) possa avvenire solo nel caso in cui il paese terzo possa garantire un livello adeguato di protezione dei dati.
I paesi terzi che trattano dati di cittadini europei devono assicurare il rispetto dei principi europei, con specifiche garanzie per le persone.
Uno dei meccanismi per valutare la capacità di un paese terzo di rispettare i principi europei è la cosiddetta decisione di adeguatezza, emessa dalla Commissione Europea.
Attraverso questa decisione la Commisione instaura una sorta di presunzione di conformità ai principi europei.
I paesi che beneficiano di questa decisione sono quindi considerati “amichevoli” e le aziende europee possono trasferirvi dati personali senza particolari accorgimenti
Anche gli Stati Uniti godevano di questa protezione, proprio grazie al Privacy Shield.
Il problema, da cui deriva poi la sentenza della Corte, è che gli Stati Uniti non hanno mai smesso le loro pratiche di sorveglianza di massa. Anzi, negli ultimi anni ci sono stati molti tentativi di indebolire ancora di più le tutele verso questo tipo di sorveglianza, come il tentativo di vietare ai provider di servizi di comunicazione di usare meccanismi di cifratura.
Le pratiche di sorveglianza portate avanti dalle autorità statunitensi rendono pressochè impossibile il rispetto della normativa europea. Le autorità statunitensi hanno il potere di accedere a dati trattati dalle aziende statunitensi in ogni momento, spesso con pochissime garanzie e tutele, perfino per i cittadini statunitensi.
Di fatto, i cittadini europei non avrebbero alcuna forma di tutela nei confronti di tale estrema ingerenza. Il Privacy Shield era poco più che uno scudo di carta
Gli Stati Uniti non sono più considerati un paese “amico” per quanto riguarda il trasferimento di dati ai fini commerciali, al pari di Cina, Russia e India.
Cosa succede ora?
Da oggi gli Stati Uniti dovranno essere trattati esattamente come qualsiasi altro paese terzo che non gode di alcun beneficio particolare.
Il GDPR però fornisce anche gli strumenti per consentire il trasferimento di dati verso paesi extra-ue che non godono dei benefici di una decisione di adeguatezza.
Tra questi strumenti rientrano le Standard Contractual Clauses (SCC); un accordo negoziale tra esportatore (UE) ed importatore (extra-UE) con cui le parti definiscono le garanzie per le persone fisiche a cui si riferiscono questi dati.
In molti hanno già affermato che non cambierà nulla, perché con le SCC si potrà continuare a trasferire dati verso gli Stati Uniti come prima. Non è proprio così.
Le SCC sono sicuramente lo strumento legale di riferimento per consentire il trasferimento verso gli Stati Uniti, ma questo non significa che le aziende europee potranno continuare a far finta di nulla.
La differenza tra usufruire di una decisione di adeguatezza e delle SCC è che la decisione di adeguatezza fornisce una presunzione di conformità, mentre le SCC possono essere utilizzate esclusivamente a seguito di una valutazione dei rischi, tenendo conto della concreta capacità dell’importatore di rispettare la normativa europea.
Nella pratica, è molto difficile pensare che le aziende statunitensi possano assicurare davvero il rispetto della normativa europea.
Nonostante i contratti a prova di proiettile, neanche Microsoft, Google, Facebook o Apple potrebbero opporsi a richieste di accesso a dati di cittadini europei da parte delle autorità statunitensi.
Nei fatti, sappiamo già che Google, Facebook, Microsoft, Skype, Apple, Yahoo e molti altri hanno collaborato almeno fino al 2013 con la NSA per la realizzazione del programma di sorveglianza di massa PRISM.
Gli Stati Uniti purtroppo non hanno specifiche leggi federali a tutela della privacy delle persone. Anzi, le autorità e le agenzie di intelligence godono di incredibili poteri sotto questo punto di vista.
La Corte di Giustizia ha già invitato le Autorità di sorveglianza europee a valutare i casi di trasferimento verso gli Stati Uniti, e se del caso vietarli o sospenderli.
La risposta delle Autorità Europee
Nelle 24 ore successive alla pubblicazione della sentenza numerose autorità europee hanno già espresso il loro parere. Vediamone alcune.
La risposta della Commissione Europea
La vice presidente Věra Jourová ha affermato che proseguiranno i lavori della Commissione per assicurare che tutti i trasferimenti di dati fuori dall’Unione Europea possano ricevere adeguate garanzie.
Tra gli interventi previsti dalla Commissione c’è l’aggiornamento delle Standard Contractual Clauses. Da oggi, il principale strumento per trasferire lecitamente dati verso gli Stati Uniti.
La Commissione ha affermato poi di essere già in contatto con le controparti statunitensi, per valutare la portata di una tale decisione.
La risposta dello European Data Protection Supervisor
Anche l’EDPS non ha tardato a comunicare il proprio pensiero, che non poteva essere che positivo. Già nel 2016 infatti insieme allo European Data Protection Board avevano rilevato le criticità del Privacy Shield.
Il Garante Europeo ne approfitta per ribadire un importante principio affermato dalla Corte di Giustizia: i titolari del trattamento hanno il dovere di valutare i rischi relativi all’accesso ai dati personali esportati da parte di pubbliche autorità di paesi terzi.
La risposta dell’Autorità di protezione dei dati di Berlino
Il Berliner Beauftragte für Datenschutz und Informationsfreiheit ha prontamente richiesto alle aziende di cambiare tempestivamente i propri provider di servizi Cloud, con obbligo di scegliere provider all’interno dell’Unione Europea, o in paesi che possano assicurare garanzie adeguate.
Il ragionamento dell’Autorità tedesca è molto lucido: è impossibile evitare ingerenze da parte delle autorità e agenzie di intelligence statunitensi, e per questo motivo le SCC non possono essere utilizzate senza il rischio di violare la normativa e violare i diritti dei cittadini europei.
La risposta del governo inglese
Non stupisce il commento del governo del Regno Unito, che si ritiene scontento della sentenza della Corte di Giustizia. Il Regno Unito è proprio in questo periodo oggetto di scrutinio da parte della Commissione Europea che dovrà decidere, come fu per gli Stati Uniti, sull’adeguatezza del paese in merito alla protezione dei dati.
Il Regno Unito a tutti gli effetti dovrà ritenersi un paese terzo nei confronti dell’Unione Europea, ed è chiaro che questa decisione fa tremare i polsi ad un paese che di fatto ha prosperato negli ultimi decenni grazie alla data driven economy.
Nel caso in cui il Regno Unito non potesse beneficiare di una decisione di adeguatezza da parte della Commissione Europea ci sarebbero indubbiamente pesanti implicazioni economiche, anche a favore della vicina Irlanda.
Cosa cambia, nella pratica, per le aziende europee?
A breve termine cambierà molto poco, ma è fuori discussione che questa sentenza avrà ripercussioni importanti per le aziende europee e per il mercato interno.
Da un lato, sarà necessario valutare attentamente i rischi derivanti dal trasferimento di dati verso gli Stati Uniti, per poi definire un piano d’azione. Tra i rischi da considerare c’è anche quello sanzionatorio, che potrebbe essere non soltanto pecuniario, ma anche di sospensione delle attività di trasferimento, come previsto dal GDPR.
D’altro canto, questa sentenza è una grandissima occasione per tutte le aziende del settore ICT europee. I servizi Cloud e in generale tutti i servizi di “software as a service” di matrice europea sono diventati improvvisamente molto più appetibili rispetto alle controparti statunitensi.
Proprio in questo periodo è in corso un’indagine dello European Data Protection Supervisor in merito all’uso dei servizi Microsoft da parte delle istituzioni europee. Molto probabilmente questa sentenza avrà ripercussioni anche sull’uso di servizi statunitensi da parte delle istituzioni europee
Nel frattempo, in Italia
In attesa di un parere da parte del neo-eletto collegio del Garante Privacy non resta che prendere atto del nuovo panorama delineato dalla Corte di Giustizia, e iniziare a fare i conti con una realtà che sempre più prepotentemente ci ricorda quanto siano oggi importanti i dati personali.
La decisione della Corte si incastra in un contesto di fermento politico in cui l’Unione Europea ha dimostrato sempre più fortemente la volontà di riacquistare la propria sovranità tecnologica nei confronti degli Stati Uniti e della Cina.
È indubbio che l’Italia dovrà giocare la propria parte, anche grazie all’attività del Garante Privacy, che ricoprirà un ruolo sempre più fondamentale nella data-driven economy e nella politica europea.
Il consiglio è comunque quello di intraprendere già da ora attività di assessment dei servizi esternalizzati verso providers statunitensi, verificare la tenuta delle SCC e valutare debitamente i rischi – sia per le persone fisiche che per l’azienda stessa, che potrebbe essere soggetta a sanzioni per violazione del GDPR.
Autore: Matteo Navacci
