La Corte di Giustizia spazza via il Privacy Shield. Possiamo ancora usare Gmail?

La notizia: la Corte di Giustizia Europea “annulla” il Privacy Shield

Il 16 luglio 2020, la Corte di giustizia dell’Unione europea ha emesso una sentenza con cui ha dichiarato “non valida” la decisione della Commissione europea (UE) 2016/1250 del 12 luglio 2016 sull’adeguatezza della protezione fornita dallo scudo UE-US sulla privacy al trasferimento dei dati personali tra Europa e Stati Uniti.

Per effetto di questa decisione, il framework di protezione della privacy UE-U.S. non è più un meccanismo valido per rispettare i requisiti UE sulla protezione dei dati durante il trasferimento dei dati personali dall’Unione europea agli Stati Uniti.

Le ragioni della sentenza

Si tratta di una sentenza di portata storica.  Si è, infatti, stabilito che il Privacy Shield al pari del precedente Safe Harbor, non garantisce i diritti dei cittadini europei in materia di privacy.

Tale decisione scaturisce dal fatto che il Privacy Shield, si legge nella motivazione a sentenza, salvaguarda il primato degli interessi pubblici statunitensi soprattutto nell’ambito della sicurezza nazionale.

A seguito delle rivelazioni di Edward Snowden risalenti al 2012, è notorio, infatti, che gli Stati Uniti d’America hanno avviato programmi di sorveglianza di massa, adducendo a loro giustificazione, la sicurezza nazionale.

Tale situazione, secondo la Corte, non garantisce il rispetto dei principi di necessità e proporzionalità dei trattamenti sui dati raccolti dalle Agenzie di Intelligence Americane.

Per contro il Regolamento Europeo per la protezione dei dati ha in questi principi due capisaldi irrinunciabili.

Inoltre il Privacy Schield, al pari del Safe Harbor, non prevede un mezzo di impugnazione avanti un’Autorità indipendente avverso i trattamenti e/o le richieste provenienti da tali agenzie.

D’ora in poi, pertanto, non sarà più possibile invocare il Privacy Shield per trasferire dati personali negli Stati Uniti.

La sorte delle clausole standard

La Corte ha precisato che vengono fatte comunque salve le cosiddette clausole standard, approvate a suo tempo dalla Commissione UE, cioè quelle clausole contrattuali conformi al Regolamento Europeo sulla privacy  che dovrebbero garantire lo standard di sicurezza UE e che le piattaforme americane peraltro avevano già da tempo inserito nella loro contrattualistica.

Tale previsione, tuttavia, secondo i Giudici della Gran Camera, non può costituire un automatismo. L’esportatore dei dati personali insieme all’importatore, infatti, dovranno verificare caso per caso se tali clausole siano sufficienti ad assicurare un livello di protezione pari allo standard europeo e, se del caso, implementarle.

Nemmeno le faq rilasciate in questi giorni dal Comitato dei Garanti Europei  ha tuttavia chiarito come un contratto di diritto privato tra esportatore di dati ed importatore degli stessi potrà sanare la mancanza di un rimedio giurisdizionale avverso le ingerenze delle Agenzie di Intelligence.

Cosa cambia per le aziende e gli studi professionali

Cambia qualcosa per Aziende o studi professionali siti in Europa?

Certamente. Ogni azienda o studio professionale dovrà riesaminare  i modelli privacy adottati.

Ed il risultato rischia di essere stupefacente, considerato che in tempi di Covid abbiamo fatto largo uso di piattaforme con sede oltre oceano: basta far riferimento ad Hangouts di Google per la didattica a distanza o ancora a Microsoft Teams per le udienze online, per non parlare poi dell’utilizzo dell’infrastruttura AWS di proprietà di Amazon per l’emissione delle fatture elettroniche.

Inutile evidenziare come tanto Google, quanto Microsoft e Amazon od Apple abbiano a suo tempo aderito al Privacy Shield e, come si è detto, fatto anche uso delle clausole standard.

Ugualmente è superfluo rilevare come tali piattaforme  per contratto possano “stoccare” i nostri dati personali anche negli Stati Uniti così come in altre parti del mondo.

Basta leggere, per esempio, i termini di servizio di G Suit di google di cui riportiamo un estratto per quanto qui interessa:

Nell’ambito della fornitura dei Servizi, Google potrà trasferire, archiviare e trattare i Dati del Cliente negli Stati Uniti o in qualsiasi altro paese in cui operino Google o i suoi agenti. Mediante l’utilizzo dei Servizi, il Cliente acconsente al trasferimento, al trattamento e all’archiviazione dei propri dati.”

Quali soluzioni adottare, sempre che ve ne siano

E quindi?

Anche in questo caso notiamo come i Garanti dei vari Paesi Europei si stiano muovendo, tanto per cambiare, in ordine sparso. E così mentre il Garante Irlandese invita a valorizzare le clausole standard, quello federale tedesco icasticamente ingiunge di interrompere subito i trasferimenti di dai personali verso oltreoceano. Il Garante Italiano, invece, che si è appena insediato e che evidentemente ancora sta festeggiando, tace così come l’omologo belga.

A parere di chi scrive, comunque, le soluzioni possono ricondursi  alla valorizzazione e/o implementazione delle clausole standard e/o all’utilizzo delle deroghe previste dall’art. 49 GDPR.

Consigli pratici, il mio personale decalogo.

Vista la connotazione per così dire “dorotea” delle faq rilasciate dal Gruppo dei Garanti Europei, vado quindi a proporvi un mio personale decalogo per orientarvi nel “casino” boreale che è scaturito da questa simpatica sentenza.

  1. Fate un’analisi molto attenta delle tipologie di dati che trasferite oltreoceano e le categorie di interessati coinvolti. Trasferire dati di natura particolare (ex dati sensibili) o dati giudiziari non è la stessa cosa che trasmettere dati comuni. Per i profani: se salvate i dati su OneDrive, GoogleDrive, Dropbox, state trasferendo dati in America. Se fatturate con AWS di Amazon, ancora state portando dati negli Usa. Se inviate email con Gmail, di nuovo benvenuti in America. Se accettate pagamenti con Paypal, ancora America. Non si salvano nemmeno i fanatici di Apple… sorpresa! anche Icloud vi porta in America.
  2. Chiedetevi se tali trasferimenti siano necessari ed imprescindibili per la Vostra attività.
  3. Verificate se esistano possibili opzioni alternative. Se per esempio si tratta di salvare dei dati su OneDrive o Dropbox, verificate se esistano offerte analoghe di aziende europee, cioè di aziende i cui server si trovino unicamente all’interno dello spazio economico europeo.
  4. Considerate i possibili impatti sull’interessato di un’eventuale ingerenza da parte di Pubbliche Autorità del Paese destinatario. Detto fuori dai denti, fate una DPIA (data protection impact assessment) se possibile con l’importatore dei dati. Buon divertimento!
  5. Non fatevi grosse illusioni sulla possibilità di valorizzare le clausole standard. Sono “morti che camminano.” Se tuttavia procedete in tale direzione, verificate bene il testo di quelle offerte dalla piattaforma da Voi utilizzata e confrontatelo con quello approvato a suo tempo dalla Commissione Europea per verificarne la genuinità. Per chi ha G. Suit si tratta di navigare nell’impostazione di account e flaggare per accettazione  sul relativo “addendum”. Non basterà, statene certi!
  6. Preferite, se potete, una delle deroghe previste dall’art. 49 GDPR, per esempio il consenso, che dovrà essere informato ed esplicito. Valutate, pertanto, se chiedere il consenso all’interessato per trasferire i suoi dati negli Stati Uniti.
  7. Ricordate che non sempre l’utilizzo del consenso potrà essere una buona idea. Per esempio, in linea generale, non riterrei molto felice la pubblicazione sui social delle fotografie dei lavoratori alla luce del disfavore con cui è considerato il consenso del lavoratore in quanto soggetto vulnerabile.
  8. Rivedete  le Vostre informative privacy e spiegate per bene i rischi derivanti dal trasferimento dei dati personali al di fuori dello Spazio Economico Europeo. Anche qui, buon divertimento!
  9. Controllate attentamente i Vostri atti di nomina a responsabile esterno del trattamento ex art. 28 GDPR, prevedendo clausole specifiche ed efficaci in materia di trasferimenti di dati Extra Ue, sempre che abbiate la forza contrattuale per farlo.
  10. Aggiornate il Vostro Registro dei Trattamenti e le Vostre procedure privacy.
  11. I decaloghi dovrebbero avere 10 punti. Mi spiace, ho bisogno di aggiungere l’undicesimo: se salvate su Cloud, dovreste prendere in considerazione la possibilità di crittografare tutto preventivamente.
Consigli per chi fa marketing diretto

Usavate il legittimo interesse per fare soft marketing al Vostro portafoglio Clienti.

Fantastico! ora però dovrete fare molta più attenzione. Se caricate le Vostre Mailing list su piattaforme come Mailchimp i cui server sono anche oltre oceano, direi che con il legittimo interesse andrete veramente poco lontano, o meglio, potrete ancora volare negli Usa, ma espatrierete senza passaporto cioè da clandestini.

Come dite? nessun problema, si acquisisce il consenso degli interessati.

Beh, non mi sentirei così tranquillo; francamente in un giudizio di bilanciamento tra i diritti fondamentali degli interessati ed il mio interesse a fare marketing, la richiesta di consenso per una siffatta finalità a me pare un pò fuori luogo.

Chi usa Mailchimp per le sue campagne di marketing attraverso newsletter, dovrà, pertanto, fare qualche riflessione e domandarsi  se non sia il caso di passare a qualche altra piattaforma con server all’interno dello Spazio Economico Europeo.

Le valutazioni andranno fatte caso per caso; nel frattempo vederemo come si attrezzeranno le grandi multinazionali della Silicon Valley, tenendo peraltro ben presente che le grandi big tech sono già massicciamente presenti con i loro server all’interno dell’Europa.

Il paradosso finale

Finora abbiamo utilizzato G Suit, Amazon Aws, Micrsoft Teams e compagnia perchè sono più performanti ed economici dei competitors europei. Il gap con i servizi offerti dalle Big Tech molto spesso è un salto quantico, anche in termini di sicurezza informatica.

Ebbene vi abbiamo suggerito, fra le varie cose, lo spostamento dei dati su piattaforme i cui server si trovino all’interno della Spazio Economico Europeo.

Ma così facendo, avremo veramente messo in cassaforte i dati personali degli interessati? E soprattutto qual è lo standard europeo in termini reali, ovvero al di là delle norme scritte.

Tanto per non girarci intorno davvero possiamo credere che scegliendo, per esempio, una piattaforma italiana, cioè del Paese dei captatori informatici a gogò e dei siti istituzionali che si “incartano” ogni secondo giorno, i dati personali saranno più al sicuro che nei server con sede negli Stati Uniti d’America?

A proposito il 3 agosto prossimo entrerà in vigore la nuova normativa sui captatori informatici che, perdonate la semplificazione, equipara i reati di terrorismo e criminalità organizzata ai reati di corruzione di pubblico ufficiale o incaricato di pubblico servizio.

Come dire, anche un bidello in quanto incaricato di pubblico servizio potrebbe ritrovarsi col suo cellulare infettato da un bel trojan per disposizione dell’autorità giudiziaria anche nel caso in cui l’intercettazione avvenga in luoghi di privata dimora e non in flagranza di reato.

Vi sembra proporzionato, conforme allo standard europeo, ammesso che ve ne sia uno?

Che poi equiparare un captatore informatico ad un apparecchio per l’intercettazione telefonica, cosa che ha fatto il legislatore italiano è come dire che Rocco Siffredi a Topo Gigio sono la stessa persona.