SCHREMS II, un finale atteso e temuto

SCHREMS II, un finale atteso e temutoIl 16 luglio 2020, la Corte di giustizia dell'Unione europea ha invalidato il Privacy Shield, un accordo fondamentale che costituiva la base giuridica per i trasferimenti di dati personali tra Europa e Stati Uniti.

Oltre 5.300 aziende statunitensi hanno utilizzato lo Shield per l'elaborazione dei dati e ora devono modificare la base giuridica per i loro trasferimenti.

La decisione è stata motivata da una denuncia di Max Schrems, un cittadino austriaco che aveva già avviato l'annullamento dell'accordo precedente allo Shield, i "Principi del Safe Harbor".

Il ricorrente ha contestato le condizioni in base alle quali i suoi dati trattati da Facebook sono stati trasmessi negli Stati Uniti.

Sulla base di questa controversia, la Corte, nella sentenza spesso denominata "Schrems II", ha appena analizzato la validità di due strumenti giuridici che consentono trasferimenti al di fuori dell'Unione europea:

• Clausole contrattuali standard, che in linea di principio possono essere utilizzate con qualsiasi paese terzo, e
• Decisione 2016/1250 della Commissione europea relativa al Privacy Shield, un accordo mirato ai trasferimenti verso gli Stati Uniti.

La Corte non ha invalidato le clausole contrattuali standard – uno scenario che ha fatto venire i sudori freddi a molte aziende e avvocati.

Tuttavia, il loro utilizzo resta subordinato alla valutazione concreta, da parte dell'esportatore dei dati, del modo in cui le clausole vengono effettivamente applicate nel paese terzo, tenendo conto in particolare delle possibilità per le autorità pubbliche, come i servizi segreti, di avere accesso ai dati.

In caso di accesso ai dati incompatibile con i principi delle clausole, spetta all'esportatore e, in caso contrario, all'autorità di controllo (equivalente alla CNIL) sospendere il trasferimento.

Nel caso del Privacy Shield, la Corte ha ritenuto che, anche se i principi dell'accordo prevedevano in linea di principio un livello di protezione sostanzialmente equivalente a quello dell'Unione europea, le esigenze concrete relative alla sicurezza nazionale, all'interesse pubblico e al rispetto della legislazione americana rendevano tali principi inefficaci.

Ha rilevato che la portata dei poteri di sorveglianza delle autorità statunitensi era eccessiva rispetto al diritto europeo e che il diritto dei cittadini non statunitensi di ricorrere a tribunali indipendenti non era garantito.

Tali conclusioni hanno portato a considerare la decisione invalida.

E adesso?

I trasferimenti verso gli Stati Uniti non possono più basarsi sullo Shield.

Sebbene alcuni stiano ricorrendo alle clausole contrattuali standard, questa soluzione solleva dubbi: queste clausole restano valide in linea di principio, ma si scontrano con lo stesso problema dello Shield quando vengono utilizzate per un trasferimento negli Stati Uniti: l'entità delle misure di sorveglianza sul suolo americano e gli insufficienti mezzi di ricorso per le persone interessate.

C'è chi parla della possibilità di crittografare i dati prima del trasferimento per impedirne l'uso da parte delle autorità statunitensi, ma questo non tiene conto della possibilità per le autorità di richiederne legalmente la decifratura.

Il Comitato europeo per la protezione dei dati (EDPB) ha pubblicato il 17 luglio un comunicato stampa in cui riassume le sue conclusioni iniziali e annuncia linee guida aggiuntive.

Si possono osservare le seguenti osservazioni:

– La decisione della Corte riguarda direttamente i trasferimenti verso gli Stati Uniti, ma sono interessati anche tutti i trasferimenti internazionali;

– L’utilizzo di clausole contrattuali standard per un trasferimento verso un paese terzo resta possibile ma deve essere subordinato, da parte dell’esportatore, a verifiche specifiche riguardanti il contenuto delle clausole, il contesto del trasferimento e il regime giuridico applicabile nel paese terzo (in particolare per quanto riguarda la sicurezza nazionale);

– Se la situazione presenta rischi particolari, dovranno essere adottate misure aggiuntive: il Comitato europeo per la protezione dei dati sta attualmente lavorando per specificare tali misure.

– Si ricorda che l’importatore ha il dovere di informare l’esportatore di qualsiasi modifica legislativa che abbia un impatto sull’applicazione delle clausole e che possa quindi comportare la loro sospensione.

La Commissione europea ha annunciato di aver avviato un dialogo con le sue controparti americane al fine di raggiungere un accordo che preveda un livello più elevato di protezione dei dati.

Nel frattempo, l'associazione di Max Schrems, NOYB ("None Of Your Business"), ha intentato 101 cause legali contro aziende che operano nell'Unione Europea, tra cui Google, Facebook e Microsoft, o che utilizzano Google Analytics e Facebook Connect, senza intraprendere alcuna azione in risposta alla sentenza della Corte.

Esistono possibilità di trasferimento dei dati diverse dalle clausole contrattuali standard.

Sono stati spiegati nell'editoriale di marzo di questa newsletter.

L'alternativa è gestire i dati sul suolo europeo anziché trasferirli.

Sperando che questa decisione favorisca lo sviluppo di tali servizi locali.

E anche

Francia:

• La CNIL (Autorità francese per la protezione dei dati personali) sta avviando un'indagine su TikTok: oltre allo scontro tra l'azienda cinese e gli Stati Uniti, sono in corso indagini in Europa sulla conformità dell'app al GDPR. La CNIL sta coordinando i propri lavori con le altre autorità di controllo nell'ambito dell'EDPB.

• Sempre in collaborazione con i suoi omologhi europei, il 5 agosto la CNIL ha inflitto una multa di 250.000 euro alla società di vendita online Spartoo per il mancato rispetto dei principi di minimizzazione, conservazione, informazione e sicurezza dei dati previsti dal GDPR.

Europa:

• L'autorità di vigilanza britannica, l'ICO, è stata criticata dai parlamentari per la sua azione insufficiente alla luce delle violazioni del GDPR, in particolare nel contesto della pandemia di COVID-19.

• Sempre nel Regno Unito, l'11 agosto una corte d'appello ha stabilito che l'uso della tecnologia di riconoscimento facciale da parte della polizia del Galles del Sud viola i diritti fondamentali, tra cui il diritto alla protezione dei dati.

• La Commissione europea sta attualmente lavorando a un regolamento sui servizi digitali per rafforzarli nel mercato interno e chiarire il quadro giuridico per le piccole imprese. Il Parlamento europeo sta elaborando una raccomandazione in questo contesto, che dovrebbe affrontare una serie di problematiche relative alla protezione dei dati, tra cui la crittografia delle informazioni, la verificabilità degli algoritmi e la protezione dei dati biometrici.

• La Commissione Europea ha annunciato il 4 agosto l'avvio di un'indagine sulla proposta di acquisizione di Fitbit da parte di Google. Le sue preoccupazioni riguardano principalmente la concentrazione di dati nelle mani di un operatore dominante, in particolare dati sanitari.

Internazionale:

• Stati Uniti: in un'analisi d'impatto datata 30 luglio, il Dipartimento per la sicurezza interna descrive in dettaglio le pratiche osservate da anni alle frontiere esterne del Paese, che consentono agli agenti di copiare il contenuto dei telefoni e dei computer delle persone che entrano negli Stati Uniti e di conservarlo per un periodo di 75 anni.

• Twitter ha confermato all'inizio di agosto di essere stata oggetto di un'indagine da parte della Federal Trade Commission statunitense in merito all'utilizzo dei dati dei clienti a fini pubblicitari.

• Brasile: la legge sulla protezione dei dati personali entrerà in vigore il 27 agosto. È stata inoltre appena istituita un'autorità di controllo.

• Sempre in America Latina, il Cile sta modernizzando la sua legge sulla protezione dei dati, mentre in Paraguay ed Ecuador sono in corso progetti normativi.
• Il 17 giugno l'Egitto ha adottato una legge sulla protezione dei dati personali.