Servizi di posta elettronica, Hosting e Cloud potrebbero non essere più utilizzabili legalmente
Il 16 luglio 2020, come se non fossero bastati i mesi di lockdown dai quali siamo usciti, pur con le ossa rotte, si è verificato un vero e proprio terremoto per i business online.
Per la seconda volta è accaduto ciò che non avremmo mai più voluto sentire: il trasferimento di dati personali in USA NON è conforme al GDPR.
Questa presa di posizione non riguarda solo gli USA, ma anche altri Paesi come la Russia e la Cina, che non hanno ricevuto il parere di adeguatezza dalla Commissione UE.
Ma andiamo con ordine per capire meglio cosa è successo e quale impatto può avere sul trattamento dei dati nei business online.
Cosa prevede il GDPR e cosa vuol dire trasferire dati in Paesi terzi
Gli artt. 44 e ss del GDPR disciplinano il cosiddetto trasferimento dei dati al di fuori dell’UE, stabilendo che tale trasferimento è possibile (e quindi lecito) solo a determinate condizioni.
La prima condizione è che la Commissione UE abbia emesso un parere di adeguatezza.
Adeguatezza su che cosa? Semplicemente la Commissione verifica quali siano le leggi del Paese terzo in materia di protezione dei dati personali e, se ritiene che queste attribuiscano sufficienti garanzie di protezione dei dati personali, accorda la decisione di adeguatezza.
In poche parole il GDPR estende il proprio ombrello protettivo sui dati di soggetti situati in UE anche al di fuori del territorio dello Spazio Economico Europeo ma, non potendo ovviamente prevalere sulle leggi locali (espressione della sovranità statale riconosciuta a livello internazionale), verifica che le condizioni di protezione dei dati in quei Paesi sia in linea con gli standard europei.
Quindi se un Paese terzo, in base al sistema normativo interno, assicura un livello di protezione uguale o superiore a quello previsto dal GDPR, la Commissione UE esprime la decisione di adeguatezza e il trasferimento dei dati in quel Paese è consentito senza limitazioni.
Attenzione però che ogni decisione di adeguatezza deve essere periodicamente rivista ed aggiornata, perché le legislazioni statali sono sempre in continuo cambiamento ed anche la situazione politica e sociale può influire sull’effettiva tutela dei diritti fondamentali della persona, legati al trattamento dei dati personali.
A questo punto potresti pensare: ok, d’accordo! Ma io lavoro in UE e solo con l’UE, in che modo questo argomento mi riguarda e mi tocca da vicino?
Ebbene con l’avvento della tecnologia, il flusso dei dati non segue più solo le traiettorie fisiche percorribili con una valigia in mano.
I servizi di posta elettronica, gli hosting dei siti, i servizi di backup e Storage in Cloud comportano, il più delle volte, un trasferimento transfrontaliero dei dati personali.
Se carico una cartella di un cliente su Dropbox (per fare un esempio tra tanti), poiché i server sono collocati negli USA, i dati di quel fascicolo li sto letteralmente trasferendo al di fuori dell’UE.
A quel punto cosa succede?
Succede che le autorità americane possono acquisire quei dati su presupposti e condizioni che non sono ritenuti, dall’UE e dal GDPR, una motivazione sufficiente per violare la privacy delle persone fisiche cui quei dati si riferiscono.
Il problema è che in USA la protezione dei dati personali è più blanda e soccombe facilmente di fronte ad altre esigenze di sorveglianza sociale, anche in assenza di indagini specifiche su reati gravi.
La sentenza Schrems II, che ha invalidato la decisione di adeguatezza (o meglio il Privacy Shield Framework, un sistema di certificazione delle singole imprese con sede in USA, concordato tra la Commissione UE e il Congresso USA), ha fatto perno proprio su questo principio.
La Corte di Giustizia UE ha deciso che, ancora una volta, gli USA non offrono sufficienti garanzie e che, quindi, nemmeno un accordo bilaterale assunto a livello istituzionale è sufficiente a impedire il GAP tra la legge USA e la normativa UE.
La stessa sorte era toccata, nell’autunno del 2015, al Safe Harbour (un meccanismo simile al Privacy Shield Framework dichiarato illegittimo con la sentenza Schrems I … Sì questo Sig. Schrems è un pò fissato su queste tematiche).
Le risposte dei big player
Alcune piattaforme che gestiscono le Campagne di E-mail marketing (di cui non farò il nome per pudore), alla legittima richiesta di chiarire dove fossero collocati i server e quale fosse la loro posizione all’indomani del 16 luglio 2020, hanno dato risposte a dir poco imbarazzanti.
Alcune hanno spiegato che, pur avendo i server in USA (e non solo in USA) avrebbero continuato ad applicare le Garanzie del Privacy Shield Framework, poiché per loro sarebbero ancora valide e sufficienti per stare tranquilli.
Mi fa piacere questo atteggiamento positivo ma, con tutto il rispetto, se la Corte di Giustizia UE ha sancito l’invalidità del Privacy Shield Framework, ritengo francamente che l’opinione di un’azienda che offre servizi in Cloud valga davvero meno di zero e che serva a ben poco di fronte ad un eventuale controllo e sanzione da parte di un’autorità garante.
Altre hanno risposto in modo ancora peggiore: hanno fatto passare la preoccupazione per questa sentenza come un’astuta strategia di marketing approntata dagli addetti ai lavori per far spendere ancora soldi alle persone …
Che la Corte di Giustizia UE si preoccupi del marketing dei consulenti privacy, mi sembra davvero un azzardo.
Una risposta del genere mi fa pensare che, a prescindere dalla decisione di adeguatezza, questa società non sia un partner ideale per gestire in sicurezza i dati dei miei clienti … Se rivolgessi loro una richiesta di accesso ai dati cosa mi risponderebbero?
Altri, invece, hanno risposto con un atteggiamento più serio, rassicurando di mettersi subito al lavoro per trovare una soluzione adeguata, ricorrendo alla stipula di clausole contrattuali standard.
Purtroppo, però, anche il ricorso alle clausole contrattuali standard (che sono un presupposto ulteriore e alternativo rispetto alla decisione di adeguatezza) da un punto di vista strettamente giuridico è alquanto insoddisfacente.
Dobbiamo ricordare che il problema è che nemmeno un accordo politico bilaterale ha retto di fronte all’UE. Come si può pensare che delle clausole contrattuali standard (cioè stipulate tra la società e il cliente) possano essere efficaci a questo fine, quando sono valide e vincolano solo le parti?
Te la immagini un’irruzione dell’FBI presso la sede di una di queste società che, all’esibizione del tesserino, si veda sventolare davanti il contratto contenente le clausole standard e, arrossendo, batta in ritirata?
Mmhhh, siamo cresciuti a pane e serie TV americane tanto da sapere che questa ipotesi non è nemmeno degna del più azzardato film di fantascienza.
Perciò delle sue l’una: o cambiano le leggi in USA o cambiano quelle in UE. Questo conflitto di leggi è il problema cruciale, difficilmente risolvibile mediante una contrattazione privato, pur basata su clausole approvate dalla Commissione UE, e la cosa principale di questo circolo vizioso che continua a ripetersi a cicli alternati (grazie allo zelo del Sig. Schrems).
Ma allora cosa fare nel frattempo?
Quindi cosa fare?
Per prima cosa mi permetto di dare la mia opinione, scaturita dallo studio, da approfondimenti e da confronti con altri colleghi avvenuti in questi giorni.
Dal punto di vista giuridico la sentenza ha un suo fondamento.
Dal punto di vista pratico, guardiamo in faccia la realtà: le piattaforme e le infrastrutture USA non hanno concorrenza in UE. A livello di sicurezza del dato (inteso come protezione da attacchi esterni da parte di hacker e organizzazioni criminali) mi sento più sicura su quelle piattaforme che sulle nostre interne (il Data Breach di INPS del 1 aprile 2020 non mi lascia proprio tranquilla sulle nostre infrastrutture).
Nell’interessante Podcast del Prof. Giovanni Ziccardi e Luca Bolognini (di cui lascio il link nella bibliografia per chi voglia ascoltarlo, perché è davvero molto interessante) si dice che questa sentenza, pur con motivazioni abbastanza convincenti, rischi di “spegnere le luci sull’UE”.
A quale appiglio ricorrere?
Per dare una risposta corretta, occorre valutare la situazione caso per caso: che tipo di dati si trasferiscono? Per quali finalità? Qual’è la base giuridica del trattamento? Per quanto tempo? L’interessato ha interesse (chiedo scusa per il gioco di parole) a questo trasferimento? E’ inevitabile? Sussiste un legittimo interesse del titolare? Su quali presupposti?
Solo rispondendo compiutamente a queste domande è possibile stabilire quale sia la scelta migliore.
Altrimenti le opzioni possibili possono essere due:
- Scegliere solo fornitori stabiliti in UE e sottoposti alle leggi UE
- Chiedere un consenso esplicito e specifico all’interessato, informandolo compiutamente di tutti i rischi connessi a quel trasferimento [art. 49, lett. a) GDPR)]; quindi aggiornando l’informativa e raccogliendo un consenso specifico.
Al momento, in attesa di ulteriori sviluppi, che ci auguriamo arrivino presto, è preciso dovere di ciascun titolare analizzare attentamente la situazione e fare le scelte migliori per evitare problemi e sanzioni.
Fonti:
Manuale sul diritto europeo in materia di protezione dei dati, Agenzia dell’Unione europea per i diritti fondamentali e Consiglio d’Europa, 2018
GDPR e normativa Privacy Commentario, I ed., a cura di Giovanni Maria Riccio, Guido Scorza, Ernesto Belisario, Ipsoa Wolters Kluwer, 2018
Disclaimer
Attenzione, non prendere alcuna decisione sulla base di questo articolo, che ha unicamente uno scopo informativo e divulgativo. Consultati con il tuo consulente privacy di fiducia o, se desideri, prenota una consulenza personalizzata con me, cliccando QUI.