Privacy Shield: l’accordo controverso sul trasferimento dei dati tra l’UE e gli USA
Lo scudo UE-USA per la privacy ha regolamentato il trasferimento di dati personali dall’UE agli USA dal 2016 al 2020. L’accordo sul trasferimento dei dati è stato dichiarato nullo dalla Corte di Giustizia europea a luglio 2020 (sentenza Schrems II), in quanto non poteva garantire un livello di protezione dei dati in linea con il GDPR. Almeno fino a quando non entreranno in vigore nuove norme, sulle aziende ricadono maggiori responsabilità e, per evitare sanzioni, esse devono ora occuparsi più attivamente della protezione dei dati negli USA.
Lo stato attuale: cosa succede dopo la fine dello scudo UE-USA per la privacy?
Sebbene sia stata annullata la validità del Privacy Shield, le aziende possono comunque esportare i dati personali negli USA e continuare a utilizzare le clausole contrattuali standard dell’UE (Standard Contractual Clauses - SCC). Le PMI, che finora si sono fidate solo del Privacy Shield, possono passare a clausole contrattuali standard o ad altre alternative. Per alcune aziende, ad esempio, possono essere prese in considerazione regole aziendali vincolanti.
Le regole aziendali vincolanti o binding corporate rules (BCR) sono utilizzate principalmente dalle aziende che operano a livello internazionale e con sedi in altri paesi per poter presentare a livello di gruppo linee guida valide e vincolanti per la regolamentazione del trasferimento dei dati. Dopo l’approvazione regolamentare, queste norme aziendali vincolanti acquisiscono lo status di garanzia di protezione dei dati in tutta l’UE. Il GDPR disciplina le condizioni e i requisiti per le regole aziendali vincolanti di cui all’articolo 47.
Tuttavia, l’utilizzo di clausole contrattuali standard a seguito della sentenza Schrems II è soggetto a regole e condizioni più severe: le aziende devono adottare misure supplementari e, in linea di principio, effettuare una valutazione caso per caso di ogni trasferimento di dati. In tal modo, è necessario garantire che nel paese terzo interessato esista effettivamente un livello adeguato di protezione dei dati. Se ciò non avviene, ad esempio a causa delle leggi di sicurezza nazionale in vigore, una società deve interrompere il trasferimento dei dati.
Inoltre, le clausole contrattuali standard sono soggette a revisione da parte delle autorità europee di controllo e di protezione dei dati. Se la situazione giuridica di un paese terzo impedisce al destinatario dei dati di adempiere agli obblighi previsti dalle clausole contrattuali standard, il trasferimento dei dati può essere sospeso o addirittura vietato. Nell’esaminare il livello di protezione dei dati occorre tener conto dell’intero processo. Si deve quindi garantire che, ad esempio, le autorità di sicurezza nazionale e le autorità investigative del paese destinatario non abbiano accesso ai dati personali.
Nella situazione attuale, la valutazione caso per caso è particolarmente difficile per le PMI, che di norma non dispongono della conoscenza e dei mezzi necessari per verificare in dettaglio, ad esempio, un livello adeguato di protezione dei dati in un paese terzo. Inoltre, la sentenza della CGCE non specifica esattamente quali siano gli standard concreti da applicare alle valutazioni dei singoli casi o alle possibili estensioni delle clausole contrattuali standard.
Ciononostante, le PMI dovrebbero affrontare attivamente la questione. Gli esperti legali consigliano di prendere le migliori precauzioni possibili e di creare una solida documentazione sulle misure impiegate per la protezione dei dati. Le aziende saranno in questo modo preparate per un’eventuale controversia legale e saranno meglio in grado di difendere le proprie azioni in tribunale una volta terminato il Privacy Shield.
Una misura concreta di protezione consiste nell’attuare con attenzione anche gli aspetti formali delle clausole standard di protezione dei dati (ad esempio mediante una descrizione precisa dei flussi di dati). Inoltre, devono essere raccolti e trasmessi solo i dati personali assolutamente necessari. In più, gli esperti legali raccomandano un’analisi del rischio ben fondata e ben documentata che tenga conto di tutte le questioni rilevanti. In questo modo, la situazione giuridica negli Stati Uniti o in un altro paese di destinazione al di fuori dell’UE dovrebbe essere analizzata più attentamente e valutata la probabilità di un accesso inappropriato ai dati.
Inoltre, occorre chiarire se il destinatario si assume particolari obblighi contrattuali in considerazione della situazione attuale (ad esempio maggiori obblighi di monitoraggio e di notifica). In questo momento, le aziende potrebbero anche chiedere ai partner commerciali e ai fornitori di servizi americani di utilizzare tutti i mezzi tecnici disponibili per ottimizzare la protezione dei dati, ad esempio l’uso della crittografia end-to-end in un software per videoconferenze.
Le aziende che possono rinunciare a trasferimenti di dati, servizi cloud e server in paesi terzi al di fuori dell’UE dovrebbero cercare alternative europee conformi al GDPR. Inoltre, occorre seguire da vicino l’evoluzione del diritto in materia di protezione dei dati. Il Comitato europeo per la protezione dei dati informa gli interessati e le parti interessate sullo stato attuale in un documento informativo sulla sentenza della Corte di Giustizia europea sul Privacy Shield.
Cos’è lo scudo UE-USA per la privacy?
Il Privacy Shield è stato ufficialmente introdotto a metà del 2016 come successore dell’accordo UE-USA Safe Harbor per il trasferimento dei dati. Lo scopo dell’accordo era quello di proteggere i dati dei cittadini europei che dopo un trasferimento negli USA vengono memorizzati ed elaborati da aziende con sede statunitense. Ciò riguarda esclusivamente i dati personali, che, ad esempio, sono raccolti in gran parte dagli e-commerce. I dati personali comprendono il numero di telefono, il codice cliente, il numero della carta di credito o altri identificativi, i dati del conto, l’aspetto di una persona o l’indirizzo dei cittadini dell’UE in combinazione con altri dati personali.
La validità del successore del Safe Harbor si è conclusa a luglio 2020 con una sentenza della Corte di Giustizia europea (CGCE). Nella cosiddetta sentenza Schrems II del 16/07/2020, la CGCE parte dal presupposto che il livello di sicurezza richiesto nel Regolamento generale sulla protezione dei dati (GDPR) non sarà raggiunto negli USA per la memorizzazione e l’elaborazione dei dati personali.
Il Regolamento generale sulla protezione dei dati è stato approvato a larga maggioranza dal Parlamento europeo il 14 aprile 2016 ed è entrato in vigore dopo una fase di transizione di due anni il 25 maggio 2018.
Così facendo, la CGCE ha anche annullato la constatazione di adeguatezza della Commissione europea, che ha ripetutamente confermato che gli Stati Uniti avevano un livello sufficiente di protezione dei dati. La sentenza della Corte di Giustizia europea è scaturita da una causa intentata dall’esperto in materia di protezione dei dati Maximilian Schrems, che in precedenza aveva avviato la fine dell’accordo Safe Harbor con una causa. L’austriaco voleva proibire a Facebook Ireland di trasferire i propri dati personali negli Stati Uniti e ha presentato un reclamo all’autorità irlandese per la protezione dei dati. Quando l’Alta Corte irlandese non ha avviato il procedimento, Schrems gli ha fatto causa. Successivamente, l’autorità irlandese per la protezione dei dati ha deferito la questione alla Corte di Giustizia europea per una revisione legale, che alla fine ha rovesciato l’approvazione dello scudo UE-USA per la privacy.
Contenuto e condizioni generali del Privacy Shield
Il successore del Safe Harbor si basava su speciali misure di protezione dei dati e standard che dovevano essere rispettati dagli USA. Un elemento importante era che le aziende statunitensi potessero certificarsi per il Privacy Shield. Dopo che una società statunitense si era volontariamente sottoposta ai termini dell’accordo, aveva luogo una revisione da parte del Dipartimento del Commercio degli Stati Uniti. Una volta che un’azienda completava con successo il processo, veniva inclusa in un database accessibile pubblicamente. Al termine della validità dell’accordo l’elenco comprendeva un totale di 5.384 organizzazioni.
Lo scudo UE-USA per la privacy ha garantito ai cittadini dell’UE diritti completi quando i dati personali venivano trasferiti ad aziende certificate negli USA. I cittadini dell’UE potevano contattare direttamente le aziende per rivendicare questi diritti e le aziende in questione dovevano rispondere alle richieste dei cittadini entro 45 giorni. I diritti garantiti nel Privacy Shield erano in particolare:
- Il diritto all’informazione e alla divulgazione
- Il diritto di opposizione (se necessario, era possibile opporsi al trattamento dei dati)
- Il diritto di rettifica dei dati inesatti
- Il diritto di cancellazione dei dati
- La possibilità di servirsi di procedure di reclamo e di risoluzione
Per far rispettare e proteggere i propri diritti, i cittadini dell’UE potevano anche rivolgersi a un difensore civico all’interno del Dipartimento di Stato americano. L’autorità di mediazione dovrebbe essere indipendente da tutti i servizi di intelligence, indagare sulle richieste dei privati e fornire informazioni sul rispetto della legge applicabile in casi specifici. Tuttavia, l’ufficio è stato occupato solo nel 2018, su insistenza dell’UE. Manisha Singh ha servito inizialmente come difensore civico, seguita da Keith Krach nel giugno 2019.
In alternativa, i cittadini dell’UE potevano contattare le autorità nazionali per la protezione dei dati, che a loro volta potevano poi rivolgersi direttamente alla Federal Trade Commission (FTC) statunitense per ulteriori chiarimenti. Il procedimento arbitrale con lodo arbitrale esecutivo era l’ultima istanza se non fosse stato possibile trovare un’altra forma di intesa. Tutte le aziende sono state inoltre in grado di agire in conformità con le raccomandazioni delle autorità europee per la protezione dei dati. Le aziende che trattano i dati personali rimangono comunque obbligate a farlo.
Un prerequisito per la validità del Privacy Shield era l’accertamento dell’adeguatezza da parte della Commissione UE, che ha certificato che gli Stati Uniti dispongono di adeguati standard di protezione dei dati per la conservazione e l’elaborazione dei dati personali provenienti dall’UE. La decisione sull’adeguatezza del 2016 è stata riesaminata ogni anno e rinnovata se il livello di protezione dei dati richiesto veniva raggiunto. La Commissione UE e il Dipartimento del Commercio degli Stati Uniti hanno condotto la revisione congiuntamente con il coinvolgimento di esperti. La procedura è sfociata in un rapporto disponibile pubblicamente che è stato presentato al Parlamento e al Consiglio europeo.
Nonostante queste ampie misure di protezione dei dati, la sorveglianza di massa non è stata completamente esclusa. Gli Stati Uniti hanno potuto raccogliere dati in sei aree, che a ben guardare lasciano un certo margine di interpretazione:
- Lotta al terrorismo
- Rivelazione di attività di potenze straniere
- Lotta alla proliferazione delle armi di distruzione di massa
- Sicurezza informatica
- Protezione degli Stati Uniti e delle forze alleate
- Lotta contro le minacce criminali transnazionali
Vantaggi e svantaggi del Privacy Shield
L’ampio diritto dei cittadini dell’UE di sporgere reclami a vari organismi in caso di violazioni concrete della protezione dei dati da parte delle imprese statunitensi è stato uno dei vantaggi dell’accordo del Privacy Shield. Una componente importante era anche il principio di limitazione dello scopo. I dati potevano essere registrati ed elaborati solo per uno scopo chiaramente definito in anticipo e legalmente consentito.
Tuttavia, lo scudo UE-USA per la privacy è stato osteggiato fin dall’inizio. I critici hanno sostenuto che l’accordo non era abbastanza ampio. Ci si è lamentati del fatto che i requisiti della Corte di Giustizia europea non sono stati sufficientemente soddisfatti e che molte incongruenze sono state nascoste solo esteticamente. Poiché il posto di difensore civico è stato assegnato al Ministero degli Affari Esteri, i critici hanno ritenuto che l’accordo mancasse di indipendenza istituzionale e lo hanno considerato in conflitto con il Regolamento generale sulla protezione dei dati (articolo 52, paragrafo 1 del GDPR). Hanno anche criticato il fatto che i cittadini dell’Unione europea interessati non potevano intraprendere azioni legali contro le decisioni dell’ufficio del difensore civico.
Un’altra critica sostanziale riguardava le misure di sorveglianza di massa, che non erano soggette a un test di proporzionalità e quindi violavano il diritto europeo. Gli Stati Uniti erano ancora il potere centrale di controllo e non vi erano prove di un’indagine da parte delle autorità di vigilanza nazionali. I critici sostenevano anche che mancasse il controllo, urgentemente necessario, delle grandi aziende online statunitensi.
A causa di queste lacune, i critici e gli esperti già all’epoca pensavano che l’accordo non avrebbe retto a un controllo concreto da parte della Corte di Giustizia europea e quindi non avrebbe rappresentato una soluzione giuridicamente sicura a lungo termine. Le differenze, molto piccole rispetto all’accordo Safe Harbor, sono state più volte denunciate. Molti critici hanno ipotizzato che svariate lacune nella protezione dei dati non fossero di fatto state risolte dal Privacy Shield.
L’attuazione concreta del Privacy Shield
Dopo la brusca fine dell’accordo Safe Harbor, l’incertezza economica era inizialmente elevata. Si temeva l’applicazione di sanzioni (ad esempio multe) nel caso in cui un controllo avesse rivelato violazioni della protezione dei dati personali. Inoltre, le nuove disposizioni hanno fatto sì che le aziende si trovassero a dover affrontare cambiamenti dispendiosi in termini di tempo e di costi nell’ambito della protezione dei dati.
Molte aziende all’epoca sono passate alle clausole contrattuali standard dell’UE o le hanno già utilizzate come alternativa o in aggiunta all’accordo Safe Harbor (come Facebook). Questa pratica si è maggiormente diffusa durante il periodo di transizione fino all’applicazione completa dello scudo UE-USA per la privacy ed è stata mantenuta per tutta la durata della validità del successore del Safe Harbor. Da alcune ricerche è emerso che nel 2016 il 78% delle aziende intervistate utilizzava già clausole contrattuali standard, mentre il 17% ricorreva di base alle regole aziendali vincolanti (binding corporate rules) per il trasferimento dei dati negli USA.
Le cifre dimostrano che molte aziende non volevano più affidarsi esclusivamente a un accordo sulla protezione dei dati che, come il suo predecessore, non eliminava i problemi e i conflitti fondamentali in materia di protezione dei dati. I controlli annuali sulla validità, che preannunciavano già la fine del Privacy Shield, hanno contribuito ad aumentare la sfiducia. Anche l’uso alternativo o parallelo di clausole contrattuali standard è stata una reazione all’applicazione, a volte lenta, di punti chiave del Privacy Shield negli USA: ad esempio il ritardo nell’assegnazione della carica di difensore civico.
Conclusione: solo una normativa temporanea senza una solida base
Dall’entrata in vigore del GDPR, gli accordi internazionali sulla protezione dei dati sono diventati molto più difficili. Il Privacy Shield è rimasto quindi una disposizione transitoria provvisoria, che ha fornito un quadro giuridico vincolante per i trasferimenti internazionali di dati solo per un periodo di tempo limitato e, dopo il suo fallimento, è stato soprattutto fonte di perplessità e di incertezza per le società interessate.
Il destino del Privacy Shield dimostra che non si possono nascondere i problemi fondamentali della protezione dei dati in tempi di crescente digitalizzazione, ma che essi devono essere risolti in modo sostenibile in conformità con il GDPR. Altrimenti, i modelli di business a lungo termine che operano a livello internazionale con dati personali perderanno le proprie fondamenta.
Almeno per il momento, vi sono già segnali di una crescente consapevolezza della protezione dei dati negli USA e quindi anche di un avvicinamento al GDPR, come dimostra il California Consumer Privacy Act (CCPA). Tuttavia, alla luce delle opinioni divergenti a livello mondiale in materia di protezione dei dati, sembra difficile immaginare che gli standard elevati e sicuramente giustificati del GDPR si trasformino in uno standard accettato a livello mondiale e possano essere trasferiti a tutti i partner commerciali digitali.
Il GDPR, attualmente integrato da altri regolamenti UE sulla protezione dei dati come il regolamento ePrivacy e direttive come la direttiva UE sui cookie, potrebbe rivelarsi sempre più un punto controverso e un ostacolo nelle relazioni economiche internazionali.
Vi preghiamo di osservare la nota legale relativa a questo articolo.