La Corte di Giustizia Europea ha annullato la decisione della Commissione Europea che dichiarava adeguato l’accordo Privacy Shield per i trasferimenti di dati tra Unione Europea e Stati Uniti. E adesso cosa deve fare chi usa Google, Amazon e tutti i servizi con server americani? Perché trattare dati e inviarli a fornitori USA, oggi, vuol dire fare un trasferimento di dati all’estero senza avere la base giuridica.
Questo argomento è stato al centro della LIVE di Raise Academy di Privacylab che ha visto protagonisti Andrea Chiozzi CEO di Privacylab, l’Avvocato Luca Bolognini Presidente dell’Istituto Italiano per la Privacy e Founding Partner ICTLC ed il Dottor Luigi Montuori Dirigente del Servizio relazioni comunitarie e internazionali presso l’Autorità Garante per la protezione dei dati personali.
Di seguito un estratto della LIVE….
È caduto il Privacy Shield. E adesso?
Avvocato Bolognini: A me preoccupano le ricadute operative per aziende, enti, professionisti e semplici utenti privati dei servizi, che rischiano di veder disattivare funzionalità comode, utili e in alcuni casi abilitanti l’esercizio dei diritti e delle libertà, se la sentenza della Corte di Giustizia Schrems II viene interpretata in maniera molto rigida. Appena letta la sentenza, anche io sono saltato sulla sedia. Poi, quando sono uscite le FAQ dello European Data Protection Board, ho tirato un sospiro di sollievo, perché ho trovato quella proporzionalità e quella ragionevolezza che mi aspettavo. Perché sono saltato sulla sedia? Be’ io penso che si possa criticare una sentenza della Corte di Giustizia sul piano giuridico e sono felice, occupandomi di questa materia, quando questi temi vengono trattati dal massimo organo giurisdizionale dell’Unione Europea. Di primo acchito, però, ho visto nelle pieghe di quella sentenza e delle sue motivazioni, forse una qualche sproporzione nel peso dato al diritto della protezione dei dati, rispetto al bilanciamento con altri diritti e libertà personali. Anche le istituzioni europee hanno il dovere di procedere e di decidere sempre rispettando il principio di proporzionalità. Ce lo dice l’articolo 5 del Trattato sull’UE e l’articolo 52 della Carta dei diritti fondamentali dell’Unione Europea.
Base giuridica e clausole contrattuali
Andrea Chiozzi: Ho assistito a semplificazioni selvagge su come affrontare il Privacy Shield che vanno dal “fregatene, tanto non è cambiato nulla” al “Bene gli USA sono considerati uno Stato non sicuro, quindi blocchiamo tutto!”. Ai sensi del GDPR, per fare un trasferimento, dobbiamo considerare le condizioni poste dall’articolo 49? O la situazione è più complessa? Potete darci qualche indicazione generale?
Dottor Montuori: Come ha fatto del male, la Corte di Giustizia con la sentenza sul Privacy Shield ha fatto anche del bene: ha detto che le clausole contrattuali standard vanno bene. Poi ha detto: nonostante il Privacy Shield, esiste ancora la legislazione degli USA che comunque non dà quelle garanzie richieste ai nostri dati, nel momento in cui arrivano in America e sono trattati da soggetti titolari del trattamento come società di telecomunicazioni, società che gestiscono internet e posta elettronica. Per questi soggetti la normativa USA prevede delle deroghe nei diritti e quindi, per fini di sicurezza nazionale, lo Stato può acquisire le informazioni personali in modo molto libero. È per questo motivo che il Privacy Shield non vale, ma tutto il resto sì.
Le clausole contrattuali standard sono tuttora valide: nel momento in cui uso le Standard Security Clauses (SSC) e voglio trasferire dati negli USA, il fatto che la normativa USA non sia in linea non mi pregiudica il fatto che io possa usarle.
Cosa abbiamo fatto come Garante. Abbiamo pubblicato subito un documento con dei chiarimenti, e poi abbiamo detto: guardate che poi ci riuniremo per ulteriori chiarimenti.
Andrea Chiozzi: Le Standard Security Clauses restano valide quindi e se sì, in che modo?
- le clausole contrattuali tipo, che sono anch’esse adottate dalla Commissione Europea: clausole tipo di protezione dei dati che vengono incorporate in questi contratti, stipulati tra titolare o responsabile che sta in UE ed esporta il dato, ed il titolare o responsabile, che è un importatore e sta nel paese extra-UE. Devono contenere garanzie adeguate, essere vincolanti e azionabili dagli interessati, evitando di richiedere delle autorizzazioni nazionali. Quindi sono utilizzabili immediatamente purché non vengano modificate.
- Poi c’è uno strumento in Italia poco usato, ma che lo è molto fuori dall’UE: le norme vincolanti d’impresa (Binding Corporate Rules, BCR) disciplinate dall’art 47 del Regolamento, approvate dall’Autorità nazionale competente, che regolano i flussi interni ad un gruppo multinazionale di imprese, cioè i flussi interni al gruppo a livello mondiale. Devono essere norme vincolanti e prevedere diritti azionabili da parte degli interessati.
E le web agency: cosa devono fare?
Andrea Chiozzi: Abbiamo una situazione dove tante piccole aziende, che erogano servizi di comunicazione digitale, utilizzano strumenti che trattano dati di persone fisiche su server americani: web agency che fanno siti web, usano il Pixel di Facebook per recuperare e gestire dati personali per conto di un titolare che magari vende online. Come devono procedere? Devono comunicare al titolare che sta usando strumenti in America in modo che decida cosa fare? Come possono lavorare? Usare solo provider europei?
Avvocato Bolognini: Le situazioni che menzioni sono particolari, ma frequentissime. Riguardano la millefoglie delle subforniture. Finché il mio rapporto giuridico è diretto col provider extra UE mi porrò io questi problemi. Stringerò clausole standard e misure ulteriori. È vero che spesso la filiera si allunga. Per esempio, è il caso della web agency italiana o della software house, che si avvale di un Cloud extra UE. Resta sempre al titolare del trattamento la responsabilità. E dire “non lo sapevo” non è abbastanza né sufficiente, perché deve indagare ed esigere di sapere chi sono i subfornitori di tutte le componentistiche del servizio. Tuttavia, l’art 28 del GDPR prevede una forma di responsabilizzazione anche in capo al responsabile del trattamento e dei sub responsabili del trattamento. Il responsabile del trattamento deve segnalare al titolare del trattamento se ci sono elementi che possono rivelarsi in contrasto con la normativa o se le sue istruzioni non sono conformi con gli obblighi del trattamento.
È vero che sono adempimenti che incombono soprattutto sul titolare, ma un responsabile del trattamento professionalmente e sistematicamente impegnato, non può dire “non sapevo di dover segnalare al titolare” oppure “nel contratto di servizio, il titolare non mi ha chiesto espressamente di segnalare queste cose.” È prevista comunque una perizia, una diligenza nei comportamenti, che non può esimerlo dal fatto di dire che c’è un trasferimento di dati all’estero. È previsto che siano proattivi in questo senso. Quindi: massima responsabilizzazione del titolare del trattamento ma responsabilizzazione anche dei fornitori.