Tutto ha inizio nel 2013, quando l’austriaco Maximillian Schrems presenta richiesta al Garante irlandese per bloccare il trasferimento di dati effettuato da Facebook Ireland verso la società madre statunitense. La critica ruota intorno alla tesi che, negli Stati Uniti, il controllo dell’utente sui propri dati venga perso, dal momento che la legislazione americana consentirebbe “invasioni” della privacy da parte delle istituzioni, carenti sia sul piano della trasparenza sia su quello degli strumenti giuridici a disposizione del cittadino europeo per l’esercizio dei propri diritti.
La vicenda arriva davanti alla Corte di Giustizia che, con la sentenza “Schrems I” del 2015, dichiara invalido il Safe Harbor, l’accordo transatlantico che dal 2000 liberalizzava i flussi di informazioni verso gli Stati Uniti svolti dalle multinazionali UE per fini commerciali.
La sentenza del 2015 crea parecchia incertezza legislativa tra le aziende che utilizzano da sempre fornitori come Google, Amazon, Mailchimp, etc. Si aprono quindi rapidamente nuove trattative e nel luglio 2016 (subito dopo l’adozione del GDPR) nasce il Privacy Shield, un programma di scambio tra Europa e Stati Uniti che, a differenza del predecessore, offre ai cittadini europei maggior trasparenza e nuovi strumenti per interfacciarsi con le autorità oltreoceano tramite il ricorso a un mediatore.
Tuttavia, la battaglia di Schrems prosegue, concentrandosi in particolare su due aspetti:
1. nonostante i miglioramenti, il Privacy Shield continua a non consentire ai cittadini europei di ricorrere a un giudice ordinario, in violazione all’art. 47 della Carta dei Diritti Fondamentali dell’Unione Europea sul diritto a un ricorso effettivo e al giusto processo;
2. inoltre, le Clausole Contrattuali Standard previste dalla Direttiva 95/46/CE e dal GDPR, largamente utilizzate negli accordi tra società private (tra cui la stessa Facebook) per rendere conformi i trasferimenti di dati extraUE, non risolvono le possibili ingerenze del governo americano in contrasto con i diritti alla riservatezza e alla protezione dei dati personali sanciti dagli artt. 7 e 8 della Carta dei Diritti Fondamentali UE.
Gli ostacoli principali: i programmi di sorveglianza massiva regolamentati dal Foreign Intelligence Surveillance Act (FISA), e l’Executive Order 12333 che autorizza le agenzie di sicurezza statunitensi a raccogliere informazioni attraverso i sistemi dei colossi del web.
Ed eccoci al 16 luglio 2020, quando la sentenza “Schrems II” della Corte di Giustizia Europea dichiara invalido il Privacy Shield, confermando che gli strumenti legislativi americani di sorveglianza pubblica risultano eccessivi e sproporzionati rispetto ai criteri del diritto europeo.
La Corte, inoltre, esamina un ulteriore elemento con risvolti interessanti: le Clausole Contrattuali Standard, seppur formalmente valide, devono essere utilizzate solo dopo attente valutazioni in merito alle caratteristiche del paese di destinazione dei dati e delle sue leggi.
Quali sono, quindi, gli effetti pratici di questa sentenza per le imprese europee? Innanzitutto, con gli attuali assetti normativi, gli USA, sede dei giganti del web (dalle cui tecnologie la stessa Unione Europea dipende in larga parte), non sembrano più essere un luogo da ritenersi idoneo per i trasferimenti di dati personali, almeno fino a che non vedremo nuove modifiche o aggiornamenti dell’ordinamento americano, o di quello europeo.
Insomma, a distanza di una sola settimana dalla sentenza è difficile poter fare previsioni, ma è indubbio che avremo presto modo di assistere alle reazioni, ai rimedi e alle soluzioni tecniche e legali che saranno proposte anche dalle stesse Google, Microsoft, Facebook, ecc., posto che se al momento ci si affida ai servizi (es. cloud) loro o di altre società statunitensi, occorre considerare che probabilmente lo si sta facendo in violazione del GDPR.
D’altra parte, gli effetti giuridici della sentenza non riguardano unicamente gli Stati Uniti: il ricorso alle Clausole Contrattuali Standard, fino ad oggi vissuto come il metodo più semplice per effettuare trasferimenti conformi di dati, sarà vincolato a verifiche di adeguatezza che difficilmente avranno esito sereno, in particolare per esportazioni verso la Russia, o la Cina, ma che si riveleranno in ogni caso molto onerose per tutti i trasferimenti diretti a paesi diversi da quelli su cui la Commissione Europea si è già espressa positivamente tramite Decisione di adeguatezza ex Art. 45 GDPR.
Quali alternative per effettuare trasferimenti di dati extra UE?
Le Norme vincolanti d’impresa ex Art. 47 GDPR sono senza dubbio la soluzione più sicura. Purtroppo, il rovescio della medaglia è che il percorso di certificazione risulta molto lungo, dispendioso e impegnativo. Per questi stessi motivi, fino ad oggi, questa opzione non ha riscosso una particolare partecipazione, e anche in futuro potrà attrarre unicamente gruppi imprenditoriali di notevoli dimensioni.
Allo stato attuale, per piccole e medie imprese, l’alternativa più facilmente percorribile sembra invece da ritrovarsi nelle deroghe previste dall’Art. 49 GDPR per specifiche situazioni di trasferimento dati.
In particolare, i trasferimenti sono ammessi attraverso la raccolta di esplicito consenso dell’interessato, come pure in casi di contratti tra titolare e interessato che rendono necessaria l’esportazione del dato.
Ovviamente, queste strade implicano una sempre maggiore attenzione al rispetto del principio di trasparenza: le informazioni presentate dovranno essere complete, includendo i possibili rischi conseguenti ai trasferimenti negli specifici paesi extra UE.
In extrema ratio, valida per alcune limitate circostanze, può essere utile ricordare anche l’ammissibilità dei trasferimenti occasionali e non sistematici, a patto che siano svolti in sicurezza, riguardino un numero limitato di interessati, e non prevarichino i diritti e le libertà degli stessi.
Per concludere, possiamo certamente affermare che, anche attraverso quest’ultima sentenza, le istituzioni europee sembrano voler ribadire quanto sia fondamentale garantire la protezione dei suoi cittadini, affermando la propria sovranità, e assumendo, se necessario, posizioni “scomode” sul piano dei rapporti internazionali. È altresì evidente che l’attuale posizione di subordinazione dell’Europa, sul piano tecnologico, non può far altro che annunciare ulteriori novità che giungeranno certamente nel prossimo futuro.
D’altronde, lo stesso GDPR presuppone e riconosce che gli scambi di dati con paesi e organizzazioni extra europee sono necessari per l’espansione del commercio internazionale e della cooperazione internazionale.
Semplicemente, alla protezione dei dati e alla tutela dei diritti degli interessati deve essere sempre data la priorità.