Dal 16 luglio 2020 trasferire dati ed usare piattaforme con server in USA è illegale per le aziende, gli imprenditori e i professionisti (digitali e non) soggetti ai precetti del GDPR.
Questo dato di fatto crea non pochi problemi se pensiamo che:
tutti (o quasi) utilizziamo servizi US based per svolgere il nostro lavoro (pensiamo a Gmail di Google, Gdrive, Dropbox, gli autorisponditori, le piattaforme di vendita dei corsi online etc. etc.)
in Europa non si trovano facilmente servizi che siano all’altezza delle performance di quelli statunitensi
L’Italia e l’Europa tutta stanno lavorando per creare un Cloud nostrano, ma il percorso è ancora lungo e siamo lontani anni luce dall’avanguardia e dall’esperienza USA (occorre costruire tutta l’infrastruttura e non si fa in una manciata di settimane)
non si può certo affermare con assoluta certezza che i dati personali dei nostri utenti siano più al sicuro, dal punto di vista degli attacchi informatici da parte di hacker, in Europa piuttosto che negli USA (insomma il recente data breach di INPS del 1 aprile 2020 la dice lunga sulla tenuta delle nostre infrastrutture).
Quindi dov’è il problema?
Privacy Shield e sentenza Shrems II
Quello che è accaduto con questa sentenza lo puoi leggere nel dettaglio QUI.
Ma è opportuno tenere presente qual è il cuore del problema, per stabilire con maggior precisione quale sia la strada migliore da intraprendere a fronte di questo ombrello protettivo (il Privacy Shield Framework) che ci è stato bruscamente tolto da sopra la testa in un giorno di mezza estate, appena usciti da un periodo difficile di quarantena, nel pieno di una pandemia globale.
Il problema è questo: negli USA sono in vigore norme sul trattamento dei dati personali molto più blande rispetto all’UE e non ci sono degli strumenti giurisdizionali di opposizione esercitabili da parte degli interessati come ci sono qui da noi (in poche parole se usano i nostri dati per controllare i nostri comportamenti, non possiamo opporci in alcun modo di fronte ad un Tribunale statunitense).
Quindi il problema è nella legislazione USA che non è abbastanza forte da garantire i minimi di tutela che prevede il GDPR.
Perciò ricorda bene: il problema sono norme nordamericane che non proteggono adeguatamente i dati e che permettono alle autorità, anche in ottica di sorveglianza sociale, di accedere liberamente ai data base dei provider con server allocati su suolo USA.
Perché Zuckerberg “minaccia” di andarsene dall’UE?
Dopo questa sentenza, passata abbastanza in sordina a livello mediatico, il Garante Irlandese ha pensato bene di emettere un provvedimento ad hoc per vietare il trasferimento dei dati personali di cittadini UE.
Allora il buon Zuckerberg non ci ha visto più ed ha usato tutti i suoi magici poteri per dire ai Signori dell’UE: “adesso o ci sediamo ad un tavolo per parlarne, oppure faccio fagotto, smantello baracca e burattini (Instagram, Facebook e Whatsapp) e me ne torno in America!
Anche perché, e qui mi trovo perfettamente d’accordo, un provvedimento restrittivo di tale portata doveva essere assunto almeno da tutti o la maggioranza dei garanti europei e non solo da quello irlandese.
The Social Dilemma, lo hai visto?
Facciamo un piccolo passo indietro.
Qualche giorno fa, incuriosita da alcuni commenti che stavano girando sui social riguardo a questo filmato, ho guardato su Netflix “The Social Dilemma”.
Si tratta di un documentario che raccoglie alcune riflessioni e alcune testimonianze di persone che, in passato, hanno lavorato all’interno delle Big Tech come Google, Facebook e Pinterest, che raccontano come si siano profondamente pentite di aver partecipato alla creazione di ciò che oggi sono i social network.
Non voglio fare spoiler, perché ti consiglio di guardarlo con attenzione e di crearti una tua opinione sulla faccenda, ma quello che emerge da questo documentario è un concetto tanto semplice quanto sottovalutato: i social network sono sì gratuiti, perché non viene richiesto alcun pagamento per creare un account o per utilizzarli, ma non dobbiamo dimenticare che quando un servizio è gratuito, il prodotto siamo noi.
Quindi l’obiettivo dei social network è quello di guadagnare attraverso la pubblicità, che vive sull’attenzione delle persone.
La logica conseguenza è che i social abbiano l’interesse a trovare delle strategie che portino le persone a rimanere incollate il più possibile ai loro dispositivi (pensa al feed di facebook e instagram, potenzialmente infinito, progettato per poter essere scrollato per ore vedendo sempre post nuovi e diversi; oppure al senso di curiosità che nasce quando si pubblica un aggiornamento e si entra nel social per vedere i Like e i Commenti) per mostrare loro pubblicità indirizzata in maniera sempre più chirurgica a gruppi di pubblico interessati (profilazione).
Il punto che a noi qui interessa è questo: in effetti la mole di dati raccolti sul nostro conto sono processati non solo per profilarci, ma anche per creare su di noi un’identità digitale che possa prevedere le nostre azioni, i nostri gusti e le nostre preferenze, agendo anche su fattori che potrebbero influenzare le nostre scelte.
Da qui deriva che i contenuti che ci vengono mostrati, sia pubblicitari che organici, siano selezionati da un algoritmo che ci ha studiati e studia ogni azione che noi compiamo o non compiamo sui social.
E se ci pensi bene a questo processo partecipiamo tutti, come imprenditori o professionisti online, mettendo il codice pixel sulle pagine del nostro sito (per fare un esempio): questo permette ai social di tracciare anche i comportamenti assunti fuori dai social, navigando semplicemente in internet.
Quindi è comunque opportuno prendere coscienza di ciò e cercare di usare questi strumenti con la giusta dose di cautela, prendendo atto che, guardando il rovescio della medaglia, la Corte UE forse forse non ha proprio tutti i torti.
Cosa stanno facendo nelle alte sfere?
Ai piani alti la cosa non è passata inosservata. Da un lato la Commissione Europea starebbe interagendo con le autorità USA per cercare di negoziare un nuovo scudo protettivo che permetta il trasferimento sicuro dei dati.
Ovviamente in questo periodo di elezioni gli Stati Uniti hanno altre priorità ed è ragionevole pensare che se ne riparli l’anno prossimo.
Peraltro Schrems (cioè l’avvocato austriaco che ha dato dato impulso al procedimento che ha portato alla sentenza del 16 luglio 2020) ha già annunciato che rifarà lo stesso iter per invalidare anche il prossimo scudo, ponendo l’accento sul fatto che se non cambiano le normative federali americane, ogni sforzo sarebbe inutile.
Insomma lo ha già fatto due volte (con il Safe Harbour prima e con il Privacy Shield ora) per cui … non c’è due senza tre …
L’EDPB (European Data Protection Board), un organismo che riunisce tutti i Garanti dei singoli stati membri dell’Unione, sembra stia lavorando per trovare delle misure rafforzative di tutela che, però, vi sono molti dubbi che siano sufficienti a risolvere il problema.
La verità è che l’unica strada per superare il problema, con buona pace di Schrems, sarebbe quella di modificare le norme statunitensi che attribuiscono troppi poteri alle autorità, anche in ottica di sorveglianza sociale.
Come impatta tutto questo sul singolo imprenditore o professionista digitale?
Come potrai ben capire questa faccenda coinvolge le alte sfere ed è una questione che si presenta su due piani: quello giuridico e quello politico.
Mentre le alte sfere discutono, si confrontano, scrivono documenti e cercano un’intesa, noi siamo sotto la pioggia senza ombrello.
Da un lato è difficile spostare tutto in UE (perché non è detto che ci siano servizi che performano altrettanto bene, sia perchè anche se sono UE based, la clausola di salvaguardia per le attività di backup su server extra UE si trova quasi sempre) dall’altro lato al momento il trasferimento di dati in USA è illegale e, quindi, rischiamo sanzioni.
Cosa fare?
Non esiste una scelta univoca perché in questo caso entra in gioco la necessità di fare una scelta imprenditoriale tra continuare ad utilizzare le piattaforme USA, rischiando sanzioni, oppure spostare tutto su servizi di dubbia funzionalità o, infine, chiedere alle persone un consenso specifico, informandole dei rischi e rischiando di dimezzare (se va bene) la mole di dati trattati.
Certo la faccenda non finisce qui, però intanto la palla passa a noi che, da imprenditori o professionisti, siamo chiamati a prendere una decisione durante questa situazione di stallo.
La cosa importante è fare una scelta ragionata e gestire il rischio arginandone quanto più possibile i risvolti negativi, in attesa e nella speranza che finalmente arrivino presto buone notizie da Bruxelles.
Frida Del Din
Desideri un preventivo per la protezione legale GDPR del tuo business ?
Compila il form qui sotto per ricevere un veloce questionario per capire come possiamo lavorare assieme