Lo scudo UE-USA per la privacy ha re­go­la­men­ta­to il tra­sfe­ri­men­to di dati personali dall’UE agli USA dal 2016 al 2020. L’accordo sul tra­sfe­ri­men­to dei dati è stato di­chia­ra­to nullo dalla Corte di Giustizia europea a luglio 2020 (sentenza Schrems II), in quanto non poteva garantire un livello di pro­te­zio­ne dei dati in linea con il GDPR. Almeno fino a quando non en­tre­ran­no in vigore nuove norme, sulle aziende ricadono maggiori re­spon­sa­bi­li­tà e, per evitare sanzioni, esse devono ora occuparsi più at­ti­va­men­te della pro­te­zio­ne dei dati negli USA.

Lo stato attuale: cosa succede dopo la fine dello scudo UE-USA per la privacy?

Sebbene sia stata annullata la validità del Privacy Shield, le aziende possono comunque esportare i dati personali negli USA e con­ti­nua­re a uti­liz­za­re le clausole con­trat­tua­li standard dell’UE (Standard Con­trac­tual Clauses - SCC). Le PMI, che finora si sono fidate solo del Privacy Shield, possono passare a clausole con­trat­tua­li standard o ad altre al­ter­na­ti­ve. Per alcune aziende, ad esempio, possono essere prese in con­si­de­ra­zio­ne regole aziendali vin­co­lan­ti.

Fatto

Le regole aziendali vin­co­lan­ti o binding corporate rules (BCR) sono uti­liz­za­te prin­ci­pal­men­te dalle aziende che operano a livello in­ter­na­zio­na­le e con sedi in altri paesi per poter pre­sen­ta­re a livello di gruppo linee guida valide e vin­co­lan­ti per la re­go­la­men­ta­zio­ne del tra­sfe­ri­men­to dei dati. Dopo l’ap­pro­va­zio­ne re­go­la­men­ta­re, queste norme aziendali vin­co­lan­ti ac­qui­si­sco­no lo status di garanzia di pro­te­zio­ne dei dati in tutta l’UE. Il GDPR di­sci­pli­na le con­di­zio­ni e i requisiti per le regole aziendali vin­co­lan­ti di cui all’articolo 47.

Tuttavia, l’utilizzo di clausole con­trat­tua­li standard a seguito della sentenza Schrems II è soggetto a regole e con­di­zio­ni più severe: le aziende devono adottare misure sup­ple­men­ta­ri e, in linea di principio, ef­fet­tua­re una va­lu­ta­zio­ne caso per caso di ogni tra­sfe­ri­men­to di dati. In tal modo, è ne­ces­sa­rio garantire che nel paese terzo in­te­res­sa­to esista ef­fet­ti­va­men­te un livello adeguato di pro­te­zio­ne dei dati. Se ciò non avviene, ad esempio a causa delle leggi di sicurezza nazionale in vigore, una società deve in­ter­rom­pe­re il tra­sfe­ri­men­to dei dati.

Inoltre, le clausole con­trat­tua­li standard sono soggette a revisione da parte delle autorità europee di controllo e di pro­te­zio­ne dei dati. Se la si­tua­zio­ne giuridica di un paese terzo impedisce al de­sti­na­ta­rio dei dati di adempiere agli obblighi previsti dalle clausole con­trat­tua­li standard, il tra­sfe­ri­men­to dei dati può essere sospeso o ad­di­rit­tu­ra vietato. Nell’esaminare il livello di pro­te­zio­ne dei dati occorre tener conto dell’intero processo. Si deve quindi garantire che, ad esempio, le autorità di sicurezza nazionale e le autorità in­ve­sti­ga­ti­ve del paese de­sti­na­ta­rio non abbiano accesso ai dati personali.

Nella si­tua­zio­ne attuale, la va­lu­ta­zio­ne caso per caso è par­ti­co­lar­men­te difficile per le PMI, che di norma non di­spon­go­no della co­no­scen­za e dei mezzi necessari per ve­ri­fi­ca­re in dettaglio, ad esempio, un livello adeguato di pro­te­zio­ne dei dati in un paese terzo. Inoltre, la sentenza della CGCE non specifica esat­ta­men­te quali siano gli standard concreti da applicare alle va­lu­ta­zio­ni dei singoli casi o alle possibili esten­sio­ni delle clausole con­trat­tua­li standard.

Cio­no­no­stan­te, le PMI do­vreb­be­ro af­fron­ta­re at­ti­va­men­te la questione. Gli esperti legali con­si­glia­no di prendere le migliori pre­cau­zio­ni possibili e di creare una solida do­cu­men­ta­zio­ne sulle misure impiegate per la pro­te­zio­ne dei dati. Le aziende saranno in questo modo preparate per un’eventuale con­tro­ver­sia legale e saranno meglio in grado di difendere le proprie azioni in tribunale una volta terminato il Privacy Shield.

Una misura concreta di pro­te­zio­ne consiste nell’attuare con at­ten­zio­ne anche gli aspetti formali delle clausole standard di pro­te­zio­ne dei dati (ad esempio mediante una de­scri­zio­ne precisa dei flussi di dati). Inoltre, devono essere raccolti e trasmessi solo i dati personali as­so­lu­ta­men­te necessari. In più, gli esperti legali rac­co­man­da­no un’analisi del rischio ben fondata e ben do­cu­men­ta­ta che tenga conto di tutte le questioni rilevanti. In questo modo, la si­tua­zio­ne giuridica negli Stati Uniti o in un altro paese di de­sti­na­zio­ne al di fuori dell’UE dovrebbe essere ana­liz­za­ta più at­ten­ta­men­te e valutata la pro­ba­bi­li­tà di un accesso inap­pro­pria­to ai dati.

Inoltre, occorre chiarire se il de­sti­na­ta­rio si assume par­ti­co­la­ri obblighi con­trat­tua­li in con­si­de­ra­zio­ne della si­tua­zio­ne attuale (ad esempio maggiori obblighi di mo­ni­to­rag­gio e di notifica). In questo momento, le aziende po­treb­be­ro anche chiedere ai partner com­mer­cia­li e ai fornitori di servizi americani di uti­liz­za­re tutti i mezzi tecnici di­spo­ni­bi­li per ot­ti­miz­za­re la pro­te­zio­ne dei dati, ad esempio l’uso della crit­to­gra­fia end-to-end in un software per vi­deo­con­fe­ren­ze.

Le aziende che possono ri­nun­cia­re a tra­sfe­ri­men­ti di dati, servizi cloud e server in paesi terzi al di fuori dell’UE do­vreb­be­ro cercare al­ter­na­ti­ve europee conformi al GDPR. Inoltre, occorre seguire da vicino l’evo­lu­zio­ne del diritto in materia di pro­te­zio­ne dei dati. Il Comitato europeo per la pro­te­zio­ne dei dati informa gli in­te­res­sa­ti e le parti in­te­res­sa­te sullo stato attuale in un documento in­for­ma­ti­vo sulla sentenza della Corte di Giustizia europea sul Privacy Shield.

Cos’è lo scudo UE-USA per la privacy?

Il Privacy Shield è stato uf­fi­cial­men­te in­tro­dot­to a metà del 2016 come suc­ces­so­re dell’accordo UE-USA Safe Harbor per il tra­sfe­ri­men­to dei dati. Lo scopo dell’accordo era quello di pro­teg­ge­re i dati dei cittadini europei che dopo un tra­sfe­ri­men­to negli USA vengono me­mo­riz­za­ti ed elaborati da aziende con sede sta­tu­ni­ten­se. Ciò riguarda esclu­si­va­men­te i dati personali, che, ad esempio, sono raccolti in gran parte dagli e-commerce. I dati personali com­pren­do­no il numero di telefono, il codice cliente, il numero della carta di credito o altri iden­ti­fi­ca­ti­vi, i dati del conto, l’aspetto di una persona o l’indirizzo dei cittadini dell’UE in com­bi­na­zio­ne con altri dati personali.

La validità del suc­ces­so­re del Safe Harbor si è conclusa a luglio 2020 con una sentenza della Corte di Giustizia europea (CGCE). Nella co­sid­det­ta sentenza Schrems II del 16/07/2020, la CGCE parte dal pre­sup­po­sto che il livello di sicurezza richiesto nel Re­go­la­men­to generale sulla pro­te­zio­ne dei dati (GDPR) non sarà raggiunto negli USA per la me­mo­riz­za­zio­ne e l’ela­bo­ra­zio­ne dei dati personali.

Fatto

Il Re­go­la­men­to generale sulla pro­te­zio­ne dei dati è stato approvato a larga mag­gio­ran­za dal Par­la­men­to europeo il 14 aprile 2016 ed è entrato in vigore dopo una fase di tran­si­zio­ne di due anni il 25 maggio 2018.

Così facendo, la CGCE ha anche annullato la con­sta­ta­zio­ne di ade­gua­tez­za della Com­mis­sio­ne europea, che ha ri­pe­tu­ta­men­te con­fer­ma­to che gli Stati Uniti avevano un livello suf­fi­cien­te di pro­te­zio­ne dei dati. La sentenza della Corte di Giustizia europea è scaturita da una causa intentata dall’esperto in materia di pro­te­zio­ne dei dati Ma­xi­mi­lian Schrems, che in pre­ce­den­za aveva avviato la fine dell’accordo Safe Harbor con una causa. L’austriaco voleva proibire a Facebook Ireland di tra­sfe­ri­re i propri dati personali negli Stati Uniti e ha pre­sen­ta­to un reclamo all’autorità irlandese per la pro­te­zio­ne dei dati. Quando l’Alta Corte irlandese non ha avviato il pro­ce­di­men­to, Schrems gli ha fatto causa. Suc­ces­si­va­men­te, l’autorità irlandese per la pro­te­zio­ne dei dati ha deferito la questione alla Corte di Giustizia europea per una revisione legale, che alla fine ha ro­ve­scia­to l’ap­pro­va­zio­ne dello scudo UE-USA per la privacy.

Contenuto e con­di­zio­ni generali del Privacy Shield

Il suc­ces­so­re del Safe Harbor si basava su speciali misure di pro­te­zio­ne dei dati e standard che dovevano essere ri­spet­ta­ti dagli USA. Un elemento im­por­tan­te era che le aziende sta­tu­ni­ten­si potessero cer­ti­fi­car­si per il Privacy Shield. Dopo che una società sta­tu­ni­ten­se si era vo­lon­ta­ria­men­te sot­to­po­sta ai termini dell’accordo, aveva luogo una revisione da parte del Di­par­ti­men­to del Commercio degli Stati Uniti. Una volta che un’azienda com­ple­ta­va con successo il processo, veniva inclusa in un database ac­ces­si­bi­le pub­bli­ca­men­te. Al termine della validità dell’accordo l’elenco com­pren­de­va un totale di 5.384 or­ga­niz­za­zio­ni.

Lo scudo UE-USA per la privacy ha garantito ai cittadini dell’UE diritti completi quando i dati personali venivano tra­sfe­ri­ti ad aziende cer­ti­fi­ca­te negli USA. I cittadini dell’UE potevano con­tat­ta­re di­ret­ta­men­te le aziende per ri­ven­di­ca­re questi diritti e le aziende in questione dovevano ri­spon­de­re alle richieste dei cittadini entro 45 giorni. I diritti garantiti nel Privacy Shield erano in par­ti­co­la­re:

  • Il diritto all’in­for­ma­zio­ne e alla di­vul­ga­zio­ne
  • Il diritto di op­po­si­zio­ne (se ne­ces­sa­rio, era possibile opporsi al trat­ta­men­to dei dati)
  • Il diritto di rettifica dei dati inesatti
  • Il diritto di can­cel­la­zio­ne dei dati
  • La pos­si­bi­li­tà di servirsi di procedure di reclamo e di ri­so­lu­zio­ne

Per far ri­spet­ta­re e pro­teg­ge­re i propri diritti, i cittadini dell’UE potevano anche ri­vol­ger­si a un difensore civico all’interno del Di­par­ti­men­to di Stato americano. L’autorità di me­dia­zio­ne dovrebbe essere in­di­pen­den­te da tutti i servizi di in­tel­li­gen­ce, indagare sulle richieste dei privati e fornire in­for­ma­zio­ni sul rispetto della legge ap­pli­ca­bi­le in casi specifici. Tuttavia, l’ufficio è stato occupato solo nel 2018, su in­si­sten­za dell’UE. Manisha Singh ha servito ini­zial­men­te come difensore civico, seguita da Keith Krach nel giugno 2019.

In al­ter­na­ti­va, i cittadini dell’UE potevano con­tat­ta­re le autorità nazionali per la pro­te­zio­ne dei dati, che a loro volta potevano poi ri­vol­ger­si di­ret­ta­men­te alla Federal Trade Com­mis­sion (FTC) sta­tu­ni­ten­se per ulteriori chia­ri­men­ti. Il pro­ce­di­men­to arbitrale con lodo arbitrale esecutivo era l’ultima istanza se non fosse stato possibile trovare un’altra forma di intesa. Tutte le aziende sono state inoltre in grado di agire in con­for­mi­tà con le rac­co­man­da­zio­ni delle autorità europee per la pro­te­zio­ne dei dati. Le aziende che trattano i dati personali rimangono comunque obbligate a farlo.

Un pre­re­qui­si­to per la validità del Privacy Shield era l’ac­cer­ta­men­to dell’ade­gua­tez­za da parte della Com­mis­sio­ne UE, che ha cer­ti­fi­ca­to che gli Stati Uniti di­spon­go­no di adeguati standard di pro­te­zio­ne dei dati per la con­ser­va­zio­ne e l’ela­bo­ra­zio­ne dei dati personali pro­ve­nien­ti dall’UE. La decisione sull’ade­gua­tez­za del 2016 è stata rie­sa­mi­na­ta ogni anno e rinnovata se il livello di pro­te­zio­ne dei dati richiesto veniva raggiunto. La Com­mis­sio­ne UE e il Di­par­ti­men­to del Commercio degli Stati Uniti hanno condotto la revisione con­giun­ta­men­te con il coin­vol­gi­men­to di esperti. La procedura è sfociata in un rapporto di­spo­ni­bi­le pub­bli­ca­men­te che è stato pre­sen­ta­to al Par­la­men­to e al Consiglio europeo.

No­no­stan­te queste ampie misure di pro­te­zio­ne dei dati, la sor­ve­glian­za di massa non è stata com­ple­ta­men­te esclusa. Gli Stati Uniti hanno potuto rac­co­glie­re dati in sei aree, che a ben guardare lasciano un certo margine di in­ter­pre­ta­zio­ne:

  • Lotta al ter­ro­ri­smo
  • Ri­ve­la­zio­ne di attività di potenze straniere
  • Lotta alla pro­li­fe­ra­zio­ne delle armi di di­stru­zio­ne di massa
  • Sicurezza in­for­ma­ti­ca
  • Pro­te­zio­ne degli Stati Uniti e delle forze alleate
  • Lotta contro le minacce criminali trans­na­zio­na­li

Vantaggi e svantaggi del Privacy Shield

L’ampio diritto dei cittadini dell’UE di sporgere reclami a vari organismi in caso di vio­la­zio­ni concrete della pro­te­zio­ne dei dati da parte delle imprese sta­tu­ni­ten­si è stato uno dei vantaggi dell’accordo del Privacy Shield. Una com­po­nen­te im­por­tan­te era anche il principio di li­mi­ta­zio­ne dello scopo. I dati potevano essere re­gi­stra­ti ed elaborati solo per uno scopo chia­ra­men­te definito in anticipo e le­gal­men­te con­sen­ti­to.

Tuttavia, lo scudo UE-USA per la privacy è stato osteg­gia­to fin dall’inizio. I critici hanno sostenuto che l’accordo non era ab­ba­stan­za ampio. Ci si è lamentati del fatto che i requisiti della Corte di Giustizia europea non sono stati suf­fi­cien­te­men­te sod­di­sfat­ti e che molte in­con­gruen­ze sono state nascoste solo este­ti­ca­men­te. Poiché il posto di difensore civico è stato assegnato al Ministero degli Affari Esteri, i critici hanno ritenuto che l’accordo mancasse di in­di­pen­den­za isti­tu­zio­na­le e lo hanno con­si­de­ra­to in conflitto con il Re­go­la­men­to generale sulla pro­te­zio­ne dei dati (articolo 52, paragrafo 1 del GDPR). Hanno anche criticato il fatto che i cittadini dell’Unione europea in­te­res­sa­ti non potevano in­tra­pren­de­re azioni legali contro le decisioni dell’ufficio del difensore civico.

Un’altra critica so­stan­zia­le ri­guar­da­va le misure di sor­ve­glian­za di massa, che non erano soggette a un test di pro­por­zio­na­li­tà e quindi violavano il diritto europeo. Gli Stati Uniti erano ancora il potere centrale di controllo e non vi erano prove di un’indagine da parte delle autorità di vigilanza nazionali. I critici so­ste­ne­va­no anche che mancasse il controllo, ur­gen­te­men­te ne­ces­sa­rio, delle grandi aziende online sta­tu­ni­ten­si.

A causa di queste lacune, i critici e gli esperti già all’epoca pensavano che l’accordo non avrebbe retto a un controllo concreto da parte della Corte di Giustizia europea e quindi non avrebbe rap­pre­sen­ta­to una soluzione giu­ri­di­ca­men­te sicura a lungo termine. Le dif­fe­ren­ze, molto piccole rispetto all’accordo Safe Harbor, sono state più volte de­nun­cia­te. Molti critici hanno ipo­tiz­za­to che svariate lacune nella pro­te­zio­ne dei dati non fossero di fatto state risolte dal Privacy Shield.

L’at­tua­zio­ne concreta del Privacy Shield

Dopo la brusca fine dell’accordo Safe Harbor, l’in­cer­tez­za economica era ini­zial­men­te elevata. Si temeva l’ap­pli­ca­zio­ne di sanzioni (ad esempio multe) nel caso in cui un controllo avesse rivelato vio­la­zio­ni della pro­te­zio­ne dei dati personali. Inoltre, le nuove di­spo­si­zio­ni hanno fatto sì che le aziende si tro­vas­se­ro a dover af­fron­ta­re cam­bia­men­ti di­spen­dio­si in termini di tempo e di costi nell’ambito della pro­te­zio­ne dei dati.

Molte aziende all’epoca sono passate alle clausole con­trat­tua­li standard dell’UE o le hanno già uti­liz­za­te come al­ter­na­ti­va o in aggiunta all’accordo Safe Harbor (come Facebook). Questa pratica si è mag­gior­men­te diffusa durante il periodo di tran­si­zio­ne fino all’ap­pli­ca­zio­ne completa dello scudo UE-USA per la privacy ed è stata mantenuta per tutta la durata della validità del suc­ces­so­re del Safe Harbor. Da alcune ricerche è emerso che nel 2016 il 78% delle aziende in­ter­vi­sta­te uti­liz­za­va già clausole con­trat­tua­li standard, mentre il 17% ricorreva di base alle regole aziendali vin­co­lan­ti (binding corporate rules) per il tra­sfe­ri­men­to dei dati negli USA.

Le cifre di­mo­stra­no che molte aziende non volevano più affidarsi esclu­si­va­men­te a un accordo sulla pro­te­zio­ne dei dati che, come il suo pre­de­ces­so­re, non eliminava i problemi e i conflitti fon­da­men­ta­li in materia di pro­te­zio­ne dei dati. I controlli annuali sulla validità, che pre­an­nun­cia­va­no già la fine del Privacy Shield, hanno con­tri­bui­to ad aumentare la sfiducia. Anche l’uso al­ter­na­ti­vo o parallelo di clausole con­trat­tua­li standard è stata una reazione all’ap­pli­ca­zio­ne, a volte lenta, di punti chiave del Privacy Shield negli USA: ad esempio il ritardo nell’as­se­gna­zio­ne della carica di difensore civico.

Con­clu­sio­ne: solo una normativa tem­po­ra­nea senza una solida base

Dall’entrata in vigore del GDPR, gli accordi in­ter­na­zio­na­li sulla pro­te­zio­ne dei dati sono diventati molto più difficili. Il Privacy Shield è rimasto quindi una di­spo­si­zio­ne tran­si­to­ria prov­vi­so­ria, che ha fornito un quadro giuridico vin­co­lan­te per i tra­sfe­ri­men­ti in­ter­na­zio­na­li di dati solo per un periodo di tempo limitato e, dopo il suo fal­li­men­to, è stato so­prat­tut­to fonte di per­ples­si­tà e di in­cer­tez­za per le società in­te­res­sa­te.

Il destino del Privacy Shield dimostra che non si possono na­scon­de­re i problemi fon­da­men­ta­li della pro­te­zio­ne dei dati in tempi di crescente di­gi­ta­liz­za­zio­ne, ma che essi devono essere risolti in modo so­ste­ni­bi­le in con­for­mi­tà con il GDPR. Al­tri­men­ti, i modelli di business a lungo termine che operano a livello in­ter­na­zio­na­le con dati personali per­de­ran­no le proprie fon­da­men­ta.

Almeno per il momento, vi sono già segnali di una crescente con­sa­pe­vo­lez­za della pro­te­zio­ne dei dati negli USA e quindi anche di un av­vi­ci­na­men­to al GDPR, come dimostra il Ca­li­for­nia Consumer Privacy Act (CCPA). Tuttavia, alla luce delle opinioni di­ver­gen­ti a livello mondiale in materia di pro­te­zio­ne dei dati, sembra difficile im­ma­gi­na­re che gli standard elevati e si­cu­ra­men­te giu­sti­fi­ca­ti del GDPR si tra­sfor­mi­no in uno standard accettato a livello mondiale e possano essere tra­sfe­ri­ti a tutti i partner com­mer­cia­li digitali.

Il GDPR, at­tual­men­te integrato da altri re­go­la­men­ti UE sulla pro­te­zio­ne dei dati come il re­go­la­men­to ePrivacy e direttive come la direttiva UE sui cookie, potrebbe rivelarsi sempre più un punto con­tro­ver­so e un ostacolo nelle relazioni eco­no­mi­che in­ter­na­zio­na­li.

Vi preghiamo di osservare la nota legale relativa a questo articolo.

Vai al menu prin­ci­pa­le