L'annullamento del privacy shield. Come operare? Un approccio

Un approfondimento di Sebastiano Plutino, DPO AiFOS certificato ai sensi UNI 11697:2017, iscritto ai registri AiCQ-SICEV

Come ormai tutti saprete il 16 luglio 2020 la sentenza della Corte di Giustizia dell'Unione Europea (CGEU) (nota come “sentenza Schrems II”) ha reso invalido l’accordo per il trasferimento dei dati fra UE-USA denominato “Privacy Shield”.
Fino al 16 luglio 2020 il Privacy Shield era considerato una garanzia adeguata ad effettuare trasferimenti di dati personali dai paesi europei verso le compagnie USA (“importatori di dati”) che vi avevano aderito.
Alla domanda “Come incide questo sulla mia attività?” la risposta appare complessa: facciamo un po’ di storia.

I grandi big dell’informatica sono in buona parte negli USA e già dagli albori delle reti di comunicazione hanno “collezionato” dati sul traffico e conservato moltissime informazioni (insieme correlato di dati) “nell’interesse degli utenti navigatori”. I big, i cui nomi sono Microsoft, Apple, Google, IBM, HP, Oracle, Amazon WS, Ebay, SalesForce, Cisco, Zoom, LogMeIn, Mailchimp, Facebook, Linkedin, …. e tanti tanti altri (si stima siano alcune migliaia. Il sito degli USA https://www.privacyshield.gov/list riporta circa 5.300 società che si sono iscritte al Privacy Shield), trasferiscono da molto tempo dati verso i loro sistemi, li raccolgono e li conservano. La tecnologia ha reso possibile utilizzare questa grande mole di dati (BIG DATA) per analisi mirate, per la creazione di profili e per fare affari; si è assistito quindi al fenomeno della monetizzazione dei dati.

Le prime direttive privacy hanno stabilito che i trattamenti dei dati personali dei cittadini europei dovessero avvenire nel rispetto dei diritti riconosciuti agli individui dalla Carta dei Diritti Fondamentali dell’Unione Europea

Nel 2000 è stato stilato un accordo (denominato “Safe Harbor”) fra l’Unione Europea e gli USA per garantire la corretta base giuridica dei trasferimenti di dati da “esportatori” UE a “importatori” USA e viceversa.

Nel 2015, a seguito di una causa, prima intentata dall’avvocato austriaco Maximilian Schrems (fondatore della associazione “NOYB – European Center for Digital Rights”) presso l’Autorità Garante Privacy Irlandese e poi portata davanti alla Corte di Giustizia dell’Unione Europea, il “Safe Harbor” è stato dichiarato non più valido in quanto il trasferimento dei dati negli Stati Uniti non garantiva, a un cittadino UE, gli stessi diritti di cui il cittadino UE godeva in Europa.

Visti gli enormi interessi in gioco, l’Unione Europea e gli USA, nel giro di pochi mesi (inizio 2016), hanno firmato un nuovo accordo per il trasferimento dati denominato “Privacy Shield”.

L’avvocato Schrems, ha successivamente avanzato dubbi circa l’applicabilità del “Privacy Shield” e, attraverso vari gradi di giudizio, si è arrivati alla sentenza del 16 luglio 2020 della Corte di Giustizia Europea (“Case C‑311/18”) che ha dichiarato:

• la non validità del Privacy Shield quale “strumento” di trasferimento dei dati, perché tale accordo non garantisce che, in riferimento ai propri dati, all’interno del territorio degli USA i cittadini UE possano godere degli stessi diritti che hanno in Europa grazie al GDPR (Regolamento Protezione EU n. 679/2016);
• la possibilità di utilizzare le Clausole Contrattuali Standard (SCC) per il trasferimento dei dati da un esportatore Europeo verso un importatore negli Stati Uniti purché il soggetto importatore sia in grado di assicurare che tutti i diritti garantiti dall’Europa (sotto GDPR) siano garantiti anche negli USA;
• la responsabilità, prima di adottare le SCC per effettuare il trasferimento, della verifica da parte dell’esportatore europeo che gli importatori statunitensi siano effettivamente in grado di garantire il rispetto della normativa privacy europea e non siano quindi soggetti alle norme USA sulla sicurezza, poiché le leggi USA sull'accesso e l'uso da parte delle autorità pubbliche statunitensi di dati personali a fini di sicurezza nazionale non rispettano appieno i principi del GDPR e il rispetto della legislazione USA, per gli importatori statunitensi, è prevalente rispetto alla normativa europea.

La sentenza comporta però una miriade di problemi operativi su cui l’European Data Protection Board (EDPB = autorità europea che rappresenta l’unione delle Autorità Garanti per la protezione dati personali delle varie nazioni europee) ha iniziato a dare delle indicazioni risolutive (almeno in linea di principio).

In particolare, l’EDPB ha emesso delle FAQ in data 24 luglio 2020 e nella riunione plenaria del 2 settembre 2020 ha attivato due task force:

• la prima ha l’obiettivo di valutare le modalità operative dei vari titolari per rispettare la normativa;
• la seconda ha l’obiettivo di predisporre un nuovo accordo USA-UE atto a garantire la correttezza dei trasferimenti.

Il motivo del contendere sono gli interessi economici molto rilevanti relativi ai BIG DATA e la volontà degli USA di mantenere la posizione predominante sul mercato. Occorre inoltre ricordare che non esistono piattaforme europee che garantiscono gli stessi livelli di servizi e che sul mercato si affacciano le piattaforme cinesi (vedi Huawei), che potenzialmente pongono gli stessi punti interrogativi.

Torniamo alla domanda iniziale “Come incide questo sulla mia attività?”.

Per rispondere bisogna analizzare le proprie attività dal punto di vista della protezione dei dati; parte del lavoro dovrebbe già essere disponibile al momento che nel registro dei trattamenti sono già stati censiti i principali trattamenti. Esistono tuttavia alcuni “micro-trattamenti” (parti del trattamento) che prevedono il trasferimento di dati (anche personali) verso importatori USA senza che il Titolare ci abbia fatto particolare attenzione; è a queste parti del trattamento che dobbiamo rivolgere la nostra attenzione.

Nel prosieguo fornirò alcune indicazioni proprio in merito a quelli che ho definito micro-trattamenti, così da consentire una più agevole individuazione dei casi in cui potrebbero configurarsi trasferimenti di dati personali negli USA senza che l’azienda ne sia pienamente consapevole.

Gli esempi proposti nel seguito fanno sempre riferimento ai trattamenti svolti da un’azienda, anche di piccole dimensioni:

• Dati su piattaforme cloud: il tema riguarda ogni azienda che, per svolgere la propria attività, effettua i trattamenti dei propri interessati (dipendenti, consulenti clienti, fornitori …) su piattaforme cloud messe a disposizione, anche indirettamente, da Google (Google Drive), Microsoft (Onedrive), Amazon WS (EC2) o da altri. Se anche il contratto sottoscritto prevedesse la conservazione dei dati presso i data center europei di una di questa società, di fatto i dati personali di cui l’azienda è Titolare sono esportati verso un importatore soggetto in ogni caso alla legislazione statunitense sulla sorveglianza a fini di sicurezza nazionale.
• Utilizzo di sistemi mail quali Microsoft Exchange, Google gmail, Yahoo Mail o altri. L’azienda ha attivato un contratto e assegna ai propri dipendenti un indirizzo email del proprio sottodominio “@azienda.suf” (dove suf è il suffisso che può essere .it, .org, .com…) o del proprio dominio principale. Poiché la posta aziendale è solitamente di supporto ai trattamenti che avvengono all’interno dell’azienda per ciascuna delle finalità di trattamento dichiarate, possiamo definirlo “micro-trattamento”; questo “micro-trattamento”, attraverso l’uso, è delegato a importatori soggetti alla legislazione statunitense sulla sorveglianza a fini di sicurezza nazionale.
• Utilizzo di piattaforme che rendono disponibili applicativi in cloud (Microsoft 365, Google Drive, SalesForce, e altre): l’azienda assegna a ciascun dipendente delle credenziali di accesso e trascrive i loro dati personali (interessati) all’interno della piattaforma che genera le credenziali gestita in modo diretto dai soggetti sottoposti alla legislazione USA sulla sorveglianza a fini di sicurezza nazionale.
• Sistemi di videoconferenza: l’azienda che lavora in smartworking, oltre i sistemi collaborativi su cloud (risorse condivise), attiva, per i propri dipendenti credenziali, su una piattaforma di video comunicazione (ad esempio Zoom, Cisco Webex, GoToMeeting, GoToWebinar, MS-Teams…..). I dati degli interessati (i dipendenti e anche tutti i clienti e fornitori coinvolti nelle singole comunicazioni) sono trasferiti ad importatori sottoposti alla legislazione USA sulla sorveglianza a fini di sicurezza nazionale.
• Sistemi di troubleticketing: per attività critiche su particolari applicativi l’azienda utilizza sui propri sistemi aziendali motori di data base (quali Oracle MySql, IBM DB2, MS-Sql Server…), e attiva credenziali di accesso sui portali delle aziende produttrici affinché i propri dipendenti possano richiedere supporto. Anche in questo caso, l’azienda trasferisce presso queste società i dati personali dei propri interessati e, in alcuni casi, consente al produttore l’accesso da remoto ai propri sistemi: i dati degli interessati sono trasferiti o sono disponibili per importatori statunitensi.
• Marketing: l’azienda, per le proprie attività di marketing utilizza una piattaforma (esempio Mailchimp) per la trasmissione massiva di mail a persone fisiche (i propri clienti); ovviamente, i dati di contatto degli interessati sono trasferiti alla piattaforma e sono quindi sotto il controllo della società statunitense.
• Assistenza a distanza: l’azienda utilizza particolari sistemi di screening anche diagnostico o di attrezzature basate su tecnologia innovativa (esempio: apparati Cisco o HP o General Electrics o Tesla) che prevede algoritmi di calcolo o simulazioni che implicano non solo il trasferimento di dati a soggetti statunitensi ma anche l’accesso ai dati da parte dei relativi servizi di assistenza (anche automatizzata).

In tutti questi trattamenti, come in molti altri non qui citati, il titolare esporta dati dei propri interessati a responsabili del trattamento collocati o basati al di fuori dello Spazio Economico Europeo. È, purtroppo, poco rilevante se l’archiviazione fisica dei dati trattati avvenga in Europa; la sentenza della CGUE sottolinea che è rilevante la legislazione a cui è sottoposta l’azienda importatrice e non la mera localizzazione del dato stesso. Le società che abbiamo nominato fin qui sono tutte società soggette alla legislazione USA, anche, quando il rapporto economico-contrattuale è stipulato dalla nostra azienda con una società europea ove questa è parte di un Gruppo internazionale a guida statunitense come diretta emanazione.

Molti dei trasferimenti di dati personali verso queste società erano basate sul Privacy Shield, ora invalidato, o sulle Clausole Contrattuali Standard, con i limiti intrinseci che queste hanno quando l’importatore è statunitense; nessuna delle due “garanzie per il trasferimento verso paesi terzi” è utilizzabile al momento perché non potrà garantire agli interessati gli stessi diritti loro riconosciuti dai paesi della UE.

Dal punto di vista dell’azienda, questi soggetti importatori sono “Responsabili del trattamento” ai sensi dell’art. 28 GDPR; è un compito del Titolare ricorrere a Responsabili che presentino garanzie sufficienti a garantire che il trattamento soddisfi i requisiti del GDPR.

Poiché l’art. 28 del GDPR definisce che è compito del Titolare ricorrere a Responsabili che presentino garanzie sufficienti a garantire che il trattamento soddisfi i requisiti del GDPR, sarà l’azienda titolare ad assumere su di sé l’onere di garantire che il trasferimento avvenga su basi giuridiche solide e garanzie adeguate. Al momento, se il Titolare decide di proseguire con i micro-trattamenti che abbiamo visto in precedenza, dovrà assumersi il rischio di una potenziale contestazione in caso di verifica avviata a seguito di richieste di un interessato.

Come si vede il problema appare complesso e di non facile soluzione. Poco aiuta guardarsi intorno e constatare che la qualificazione, requisito di conformità normativa, di moltissime società da parte dell’Agenzia per l’Italia Digitale (AgID) per l’erogazione di servizi cloud alla pubblica amministrazione poggia sull’ormai decaduto “Privacy Shield”.

In questo momento lo scenario è in evoluzione e non esistono facili soluzioni. Ritengo, tuttavia, doveroso che ogni Titolare agisca in modo trasparente con i propri interessati e, a questo scopo, consiglio di:

1. individuare tutti i trattamenti o micro-trattamenti che necessitano il trasferimento di dati personali degli interessati del Titolare verso piattaforme di società USA;
2. costruire una sezione del registro dei trattamenti in cui sono enumerati e descritti tutti questi trattamenti o micro-trattamenti indicando chiaramente le categorie dei dati trasferiti, la quantità di interessati coinvolti e le possibili garanzie alternative per il trasferimento (verificando l’applicabilità di una delle condizioni di deroga illustrate all’art. 49 del GDPR);
3. informare i propri interessati dell’utilizzo di queste piattaforme e delle eventuali nuove garanzie per il trasferimento. (Si tenga presente che molte delle piattaforme sopra citate hanno aggiornato la loro informativa privacy nel mese di agosto 2020 dichiarando la disponibilità a sottoscrivere le Clausole Contrattuali Standard. Alcune società hanno persino riportato le statistiche sulle “intromissioni” dell’Autorità Governativa USA sulle loro piattaforme);
4. nel caso di trasferimenti di categorie particolari di dati personali di trattamenti “ad alto rischio per gli interessati”, valutare l’avvio di un progetto che miri a riportare il trattamento, nella sua interezza, all’interno dello Spazio Economico Europeo; attenzione, però, perché le società inglesi saranno a breve coinvolte nella Brexit… Il progetto, che dovrebbe stimare tempi, costi e modalità operative, permette di dimostrare l’attenzione del Titolare verso il tema (principio di accountability) e deve mostrare chiaramente la rilevanza economica della soluzione ipotizzata;
5. attivare un monitoraggio costante della evoluzione normativa e delle indicazioni che l’EDPB o l’Autorità Garante italiana dovessero fornire.

Non spetta a noi valutare se la sentenza sia giusta o ingiusta: bisogna rispettarla. Sarà compito del titolare valutare il rischio per proseguire con le proprie attività.

Vi informiamo che AiFOS ha individuato i trattamenti effettuati da società USA e sta procedendo ad aggiornare le proprie informative verso gli interessati rendendo più evidenti i micro-trattamenti effettuati con società USA; sta inoltre procedendo al monitoraggio e alla individuazione di possibili soluzioni alternative. Per alcuni trattamenti sembra attualmente impossibile evitare di utilizzare prodotti di società USA perché il mercato non offre soluzioni tecnologiche altrettanto valide sia dal punto di vista delle prestazioni tecniche che di sicurezza dei trattamenti e dei dati affidati.

Poiché la situazione è molto fluida, non si esclude che presto sia disponibile un provvedimento che ripristini la legalità dei trasferimenti di dati personali verso gli USA. Non esiteremo ad aggiornavi. Buon lavoro.