Privacy Shield e trasferimento di dati in America

05 maggio 2021Ultimo aggiornamento 30 settembre 2024
Tempo di lettura stimato: 7'
La Corte di Giustizia Europea ha annullato la decisione della Commissione Europea che dichiarava adeguato l’accordo Privacy Shield per i trasferimenti di dati tra Unione Europea e Stati Uniti. E adesso cosa deve fare chi usa Google, Amazon e tutti i servizi con server americani? Perché trattare dati e inviarli a fornitori USA, oggi, vuol dire fare un trasferimento di dati all’estero senza avere la base giuridica.

Ne ho parlato in un LIVE di Raise Academy, l’Accademia formazione efficace di PrivacyLab, insieme al Presidente dell’Istituto Italiano per la Privacy e Founding Partner ICTLC, Avvocato Luca Bolognini e al Dottor Luigi Montuori, Dirigente del Servizio relazioni comunitarie e internazionali presso l’Autorità Garante per la protezione dei dati personali.


Qui trovi solo un estratto, l’intervista LIVE completa è sulla Raise!


È caduto il Privacy Shield. E adesso?

Andrea Chiozzi: Qual è in questo momento la vostra più grande preoccupazione legata alla decisione della Corte di Giustizia Europea?


Avvocato Bolognini: A me preoccupano le ricadute operative per aziende, enti, professionisti e semplici utenti privati dei servizi, che rischiano di veder disattivare funzionalità comode, utili e in alcuni casi abilitanti l’esercizio dei diritti e delle libertà, se la sentenza della Corte di Giustizia Schrems II viene interpretata in maniera molto rigida. Appena letta la sentenza, anche io sono saltato sulla sedia. Poi, quando sono uscite le FAQ dello European Data Protection Board, ho tirato un sospiro di sollievo, perché ho trovato quella proporzionalità e quella ragionevolezza che mi aspettavo. Perché sono saltato sulla sedia? Be’ io penso che si possa criticare una sentenza della Corte di Giustizia sul piano giuridico e sono felice, occupandomi di questa materia, quando questi temi vengono trattati dal massimo organo giurisdizionale dell'Unione Europea. Di primo acchito, però, ho visto nelle pieghe di quella sentenza e delle sue motivazioni, forse una qualche sproporzione nel peso dato al diritto della protezione dei dati, rispetto al bilanciamento con altri diritti e libertà personali. Anche le istituzioni europee hanno il dovere di procedere e di decidere sempre rispettando il principio di proporzionalità. Ce lo dice l'articolo 5 del Trattato sull'UE e l’articolo 52 della Carta dei diritti fondamentali dell’Unione Europea.

Quindi, anche la Corte di Giustizia dell'UE, nel formulare un giudizio, dovrebbe considerare le conseguenze di ciò che la propria decisione può comportare sulla tutela di altri diritti e libertà fondamentali ed inviolabili, penso alla libertà di espressione, tra le tante. Mi è sembrato che in quella decisione, la Corte abbia guardato un po’ troppo al perimetro della protezione dei dati personali e non troppo bilanciando con altri diritti e libertà. Per il resto, la Corte di Giustizia fa il mestiere di chi interpreta e applica di diritto dell'Unione Europea, che è scritto in maniera forse migliorabile in certi punti. Non è certo responsabilità della Corte nell'interpretare il diritto esistente. 

Senza proporzionalità e gradualità, rischiamo di fare lo swtich-off di servizi che sono essenziali per la nostra produzione, per i nostri uffici, ma anche per l'esercizio di altri diritti degli utenti. Quindi una soluzione tranciante non mi pare la strada giusta e non mi pare neanche nello spirito dei trattati.


Dottor Montuori: Nel 2016, dopo la prima decisione che riguardava il Safe Harbor, ho avuto il piacere e l'onore di ascoltare il giudice che aveva preso la decisione che aveva generato il panico nelle lobby delle ambasciate americane in tutti gli USA e le preoccupazioni degli organismi confindustriali. Erano tutti preoccupati per le ripercussioni della decisione. Le ripercussioni non riguardavano solo le aziende USA, ma anche le nostre. Mi colpì quello che ci disse “Non crediate che non abbia ricevuto pressioni. Ho ben presente le preoccupazioni. Ma sono un giudice. Io devo prendere decisioni e fare valutazioni. Dovevo decidere se il Safe Harbor fosse in linea o meno con quanto previsto nei trattati. E non avevo dubbi che quei parametri fossero violati al 100%, quindi non potevo fare un passo indietro. Io faccio il giudice.” Quindi, di fatto, non è solo la Corte di Giustizia che fa il suo lavoro. Il problema è quello che viene fatto a monte.


Base giuridica e clausole contrattuali

Andrea Chiozzi: Ho assistito a semplificazioni selvagge su come affrontare il Privacy Shield che vanno dal “fregatene, tanto non è cambiato nulla” al “Bene gli USA sono considerati uno Stato non sicuro, quindi blocchiamo tutto!”. Ai sensi del GDPR, per fare un trasferimento, dobbiamo considerare le condizioni poste dall'articolo 49? O la situazione è più complessa? Potete darci qualche indicazione generale?

Dottor Montuori: Come ha fatto del male, la Corte di Giustizia con la sentenza sul Privacy Shield ha fatto anche del bene: ha detto che le clausole contrattuali standard vanno bene. Poi ha detto: nonostante il Privacy Shield, esiste ancora la legislazione degli USA che comunque non dà quelle garanzie richieste ai nostri dati, nel momento in cui arrivano in America e sono trattati da soggetti titolari del trattamento come società di telecomunicazioni, società che gestiscono internet e posta elettronica. Per questi soggetti la normativa USA prevede delle deroghe nei diritti e quindi, per fini di sicurezza nazionale, lo Stato può acquisire le informazioni personali in modo molto libero. È per questo motivo che il Privacy Shield non vale, ma tutto il resto sì. 

Quindi la palla torna ai titolari del trattamento e alle autorità garanti. E cosa devono fare i titolari del trattamento? Per prima cosa devono verificare qual era la base giuridica che usavano nel momento in cui trasferivano dati verso gli USA e vedere se lo facevano in base al Privacy Shield. 
Se è così, adesso non hanno la base giuridica. Quindi non possono usarla e devono vedere se ce ne sono altre. Le clausole contrattuali standard sono tuttora valide: nel momento in cui uso le Standard Security Clauses (SSC) e voglio trasferire dati negli USA, il fatto che la normativa USA non sia in linea non mi pregiudica il fatto che io possa usarle.

Quindi io titolare cosa devo fare? Devo vedere se le circostanze, il tipo di dati che tratto, le modalità con cui faccio il trasferimento, le misure che posso introdurre, possono rendere legittimo questo trasferimento. Cosa abbiamo fatto come Garante. Abbiamo pubblicato subito un documento con dei chiarimenti, e poi abbiamo detto: guardate che poi ci riuniremo per ulteriori chiarimenti.

Andrea Chiozzi: Le Standard Security Clauses restano valide quindi e se sì, in che modo?

Avvocato Bolognini: Restano valide e non c’è dubbio. Il problema è che la valutazione viene rilanciata nelle mani delle autorità e nell'accountability dei titolari. Sono d'accordo col Dottor Montuori e credo che si possa fare qualcosa nella farcitura delle appendici
Mi spiego. I provider USA possono essere controllati dallo Stato USA e sarebbe assurdo pensare che quello che non è riuscito a fare il Privacy Shield - un grande accordo governativo - potrebbe farlo un semplice contrattino tra le parti. Ma con quelle che ho chiamato farciture si potrebbe includere nell'appendice delle SSC, per esempio, la previsione di particolari tipi di misure tecniche che tolgano dalla disponibilità del provider l'accessibilità dei dati in chiaro.


Dottor Montuori: Non esistono solo gli USA e l’UE. Cosa succede al di fuori dell’UE? Già da oggi come facciamo quando trasferiamo dati che non hanno ottenuto il riconoscimento di adeguatezza della Commissione Europea? Al di là dell'adeguatezza del Paese terzo, abbiamo anche altri strumenti, come le clausole contrattuali tipo, che sono anch’esse adottate dalla Commissione Europea: clausole tipo di protezione dei dati che vengono incorporate in questi contratti, stipulati tra titolare o responsabile che sta in UE ed esporta il dato, ed il titolare o responsabile, che è un importatore e sta nel paese extra-UE. Devono contenere garanzie adeguate, essere vincolanti e azionabili dagli interessati, evitando di richiedere delle autorizzazioni nazionali. Quindi sono utilizzabili immediatamente purché non vengano modificate. 
Poi c’è uno strumento in Italia poco usato, ma che lo è molto fuori dall’UE: le norme vincolanti d'impresa (Binding Corporate Rules, BCR) disciplinate dall'art 47 del Regolamento, approvate dall'Autorità nazionale competente, che regolano i flussi interni ad un gruppo multinazionale di imprese, cioè i flussi interni al gruppo a livello mondiale. Devono essere norme vincolanti e prevedere diritti azionabili da parte degli interessati.


E le web agency: cosa devono fare?

Andrea Chiozzi: Abbiamo una situazione dove tante piccole aziende, che erogano servizi di comunicazione digitale, utilizzano strumenti che trattano dati di persone fisiche su server americani: web agency che fanno siti web, usano il Pixel di Facebook per recuperare e gestire dati personali per conto di un titolare che magari vende online. Come devono procedere? Devono comunicare al titolare che sta usando strumenti in America in modo che decida cosa fare? Come possono lavorare? Usare solo provider europei?

Avvocato Bolognini: Le situazioni che menzioni sono particolari, ma frequentissime. Riguardano la millefoglie delle subforniture. Finché il mio rapporto giuridico è diretto col provider extra UE mi porrò io questi problemi. Stringerò clausole standard e misure ulteriori. È vero che spesso la filiera si allunga. Per esempio, è il caso della web agency italiana o della software house, che si avvale di un Cloud extra UE. Resta sempre al titolare del trattamento la responsabilità. E dire "non lo sapevo" non è abbastanza né sufficiente, perché deve indagare ed esigere di sapere chi sono i subfornitori di tutte le componentistiche del servizio. Tuttavia, l'art 28 del GDPR prevede una forma di responsabilizzazione anche in capo al responsabile del trattamento e dei sub responsabili del trattamento. Il responsabile del trattamento deve segnalare al titolare del trattamento se ci sono elementi che possono rivelarsi in contrasto con la normativa o se le sue istruzioni non sono conformi con gli obblighi del trattamento.

È vero che sono adempimenti che incombono soprattutto sul titolare, ma un responsabile del trattamento professionalmente e sistematicamente impegnato, non può dire "non sapevo di dover segnalare al titolare” oppure “nel contratto di servizio, il titolare non mi ha chiesto espressamente di segnalare queste cose.” È prevista comunque una perizia, una diligenza nei comportamenti, che non può esimerlo dal fatto di dire che c’è un trasferimento di dati all’estero. È previsto che siano proattivi in questo senso. Quindi: massima responsabilizzazione del titolare del trattamento ma responsabilizzazione anche dei fornitori.

Articolo tratto dall’intervento dell’Avvocato Luca Bolognini e del Dottor Luigi Montuori su RAISE Academy.


Questo era solo un assaggio!
La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.

RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

Andrea Chiozzi è nato a Reggio Emilia il 4 Agosto del 1969, reggiano “testaquadra” DOC come il lambrusco, ed è sposato con Luisa che lo sopporta da più di vent’anni.
Imprenditore e consulente, da più di 12 anni è l’Evangelist del GDPR.

Attività professionali:
Andrea Chiozzi è il fondatore di PRIVACYLAB, per la gestione avanzata delle attività legate alla compliance per il Regolamento Europeo 679/2016.
Esperto di GDPR e protezione dei dati personali (soprattutto nelle aree più problematiche quali il marketing digitale e i social network, il digital advertising, l’Internet of Things, i Big Data, il cloud computing),
Andrea presta consulenza per la media e la grande industria italiana e si occupa di organizzare e condurre i consulenti aziendali ad un approccio ottimizzato alla gestione della Compliance GDPR.
È ideatore del sistema Privacylab e della metodologia applicata ai consulenti certificati GDPR. 
Nel 2003 dà vita alla figura di “Privacy Evangelist” e comincia a girare l’Italia come relatore in vari convegni e corsi in tema di protezione dei dati personali arrivando a evangelizzare più di 10.000 persone.

È commissario d’esame per:

UNICERT per lo schema DSC_12/30 per Consulenti Certificati GDPR
TÜV dello schema CDP_ 201 Privacy Officer, Bureau Veritas
CEPAS Bureau Veritas DATA PROTECTION OFFICER per lo schema SCH73 norma Uni 11697:2017 (Accredia) 
ACS ITALIA DATA PROTECTION OFFICER per lo schema SCH01 norma Uni 11697:2017 (Accredia)
UNIVERSAL Gmbh DAKKS per lo schema ISO/IEC 17024:2012 "DATA PROTECTION OFFICER"

E' certificato con:
Unicert come "Consulente Certificato GDPR" n. 18203RE22
TÜV come “Privacy Officer e Consulente Privacy” n. CDP_196.
Cepas Bureau Veritas "Data protection Officer" n. DPO0206
UNICERT DAKKS " Data Protection Officer" n. DPO 0818 010012

Fa parte del Comitato Scientifico Privacy di Torino Wireless, GDPR Academy e di Agile DPO .

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy