I giganti americani della digital economy sono ancora alle prese con i pesanti postumi della sentenza “Schrems II” del 16 luglio 2020 resa dalla Corte di giustizia dell’Unione europea (CGUE) in materia di trasferimenti di dati personali verso paesi terzi il cui ordinamento non fornisce protezione adeguata agli standard di tutela europei.

La sentenza Schrems II, in estrema sintesi (qui un analisi più esaustiva del portato), aveva:

  • dichiarata invalida la decisione di esecuzione (UE) 2016/1250 della Commissione europea del 12 luglio 2016, sull’adeguatezza delle tutele offerte dal regime del Privacy Shield, l’accordo UE-USA per la protezione dei dati personali oggetto di trasferimento transatlantico;
  • confermato la validità delle standard contractual clauses (SCC) previste dalla Commissione, precisando tuttavia che resta imposto all’esportatore ed all’importatore dei dati l’obbligo di verificare, attraverso un audit/due diligence, prima di qualsiasi trasferimento, se nel paese terzo in questione sia rispettato un livello di protezione sostanzialmente analogo a quello garantito dal GDPR nell’Unione europea;
  • reso di fatto inutilizzabili le SCC per legittimare i trasferimenti negli Stati Uniti, quantomeno per i destinatari/importatori che sono soggetti ai programmi di sorveglianza governativa descritti in sentenza (come il cd. FISA702).

La sentenza della CGUE, essendo immediatamente esecutiva, ha di fatto reso non più fruibili i principali strumenti di legittimazione di gran parte dei trasferimenti di dati verso gli USA, sia in ambito B2B che B2C, esponendo una moltitudine di operatori alle pesanti sanzioni del GDPR. Un vero sconquasso per la data economy, un problema serio da gestire per le aziende UE che trasferiscono i dati a fornitori americani e per le compagnie a stelle e strisce che vi accedono per fornire i propri servizi.

Il problema è tale che urge l’avvio di una concertazione politica a livello transatlantico nel tentativo di trovare un nuovo punto d’accordo sulle garanzie per i data transfer senza le quali gli attuali assetti dell’universo digitale potrebbero essere rivoluzionati (Facebook ha ipotizzato di lasciare l’Europa perché “non sa più come offrire i servizi” alla luce della sentenza).

In attesa di trovare un punto di convergenza, le istituzioni dei due “blocchi continentali” stanno cercando di supportare le proprie realtà socioeconomiche con chiarimenti e soluzioni percorribili in questo periodo che si spera transitorio.

Il Dipartimento del Commercio degli Stati Uniti (DOC), il Dipartimento di Giustizia (DOJ) e l’Ufficio del Direttore dell’Intelligence Nazionale (ODNI) hanno pubblicato congiuntamente un White Paper contenente informazioni sulla protezione della privacy ai sensi della normativa statunitense per l’accesso alla sicurezza nazionale, con particolare attenzione alle questioni sollevate dalla CGUE. Il documento fornisce una serie di informazioni che le aziende coinvolte in data transfer basati su SCC o Binding Corporate Rules (BCR) possono prendere in considerazione negli assessment tesi a verificare se i trasferimenti offrono agli individui dell’UE una protezione adeguata e coerente con il diritto dell’UE.

Il Comitato Europeo per la Protezione dei Dati (EDPB) ha, dal canto suo, annunciato una duplice iniziativa per fornire adeguato riscontro allo scenario creatosi:

  • una task force per gestire i postumi della sentenza Schrems II (oltre 100 reclami – identici tra loro – presentati alle autorità per la protezione dei dati UE nei confronti di diversi titolari continentali in merito al loro utilizzo di servizi di Google/Facebook che comportano il trasferimento di dati personali);
  • una seconda task force tesa a fornire un supporto interpretativo a quelle società europee che, a seguito della sentenza Schrems II, non sanno se e come potranno continuare a trasferire dati verso fornitori extra UE senza incorrere nelle responsabilità previste dal GDPR.

Lo scenario magmatico che si è venuto a creare non esenta i big player dal dover affrontare – col supporto di team legali pagati profumatamente – la problematica in modo tale da trovare rimedi legali alternativi e, quantomeno, da poter spiegare agli interessati cosa accade ai loro dati personali.

Maximillian Schrems – l’avvocato e attivista austriaco che aveva demolito l’accordo Safe Harbor e, ora, il suo successore Privacy Schield – ha deciso di testare la capacità di reazione alla sentenza della CGUE delle principali compagnie tecnologiche. Come? Coinvolgendo diversi membri di NOYB – l’organizzazione non-profit per la tutela dei diritti digitali di cui è fondatore – che hanno inviato a proprio nome una lettera a 33 big tech esercitando i diritti di informazione sanciti agli artt. 12-15 del GDPR.

Questo il testo della richiesta:

Gentile signore/signora,

Sono uno dei vostri clienti. In conformità agli articoli 12, 13, 14 e 15 del GDPR, faccio le seguenti richieste:

  • Trasferite dati al di fuori dell’UE? Se sì, in quali paesi?
  • Qual è la base giuridica su cui si basa ogni trasferimento (ad es. decisione di adeguatezza, SCC, BCR, deroghe…)? Se avete utilizzato SCC o BCR, siete pregati di fornire una copia dei SCC o BCR utilizzati per ogni trasferimento.
  • In caso di invio di dati personali negli Stati Uniti, uno dei vostri partner rientra nella 50 USC §1881a (“FISA 702”) o fornisce dati al governo degli Stati Uniti ai sensi della norma EO 12.333?
  • Se inviate dati personali negli Stati Uniti, quali misure tecniche state adottando affinché i miei dati personali non siano esposti a intercettazioni da parte del governo americano in transito?

Si prega di rispondere entro una settimana, poiché il GDPR richiede di rispondere “senza indebito ritardo”. Si tratta di una semplice richiesta che non richiede un’analisi approfondita. Un’ulteriore identificazione al di là della mia e-mail non sembra necessaria, dato che non richiedo una copia dei miei dati personali. Se avete bisogno di ulteriori informazioni, non esitate a contattarmi.

Cordiali saluti, ….

I risultati sono stati definiti da NOYB sconcertanti. Alcune aziende – come Airbnb, Netflix e WhatsApp – non hanno fornito alcuna risposta, mentre altre hanno semplicemente reindirizzato gli interessati alle loro politiche sulla privacy. Una pratica, quest’ultima, non propriamente corretta perché lo spirito del GDPR prevede che il titolare che riceva un’istanza di chiarimenti da parte di un interessato debba agevolarne proattivamente la comprensione di informazioni, diritti e limitazioni (rimanendo in tema, abbiamo affrontato di recente su Business Insider un caso di scarsa collaborazione). Rispedire seccamente il mittente ad una privacy policy – spesso sterminata, complessa e stratificata – non può rappresentare un riscontro adeguato. A domanda precisa deve rispondere risposta precisa. Ad ogni buon conto, NOYB segnala che, il più delle volte, le informative cui il richiedente veniva rimandato mancavano di una spiegazione che potesse soddisfare le domande avanzate nella missiva elettronica.

Altri operatori si sono impegnati per fornire ai richiedenti informazioni ma senza tuttavia evadere correttamente la questione: NOYB porta l’esempio di Slack (nota piattaforma utilizzata nelle aziende per gestire instant messaging e team working) ha dichiarato di non fornire “volontariamente” ai governi l’accesso ai dati: un’affermazione che non risponde alla domanda se siano obbligati a farlo in base a norme di sorveglianza come la FISA702.

Altre aziende hanno risposto in modo compiuto, come Virgin Media che ha inviato ai richiedenti una copia delle clausole contrattuali standard adottate per legittimare il trasferimento di dati. Microsoft ha fornito una feedback ad ogni domanda, anche se alcune risposte non hanno convinto NOYB che nota come Microsoft continui a sostenere di poter legittimamente trasferire dati personali negli Stati Uniti nonostante sia una delle società chiaramente assoggettate al FISA702 del governo americano.

Per capire come ciascuna delle numerose compagnie interpellate abbia replicato alle richieste di chiarimenti, è possibile consultare un report di sintesi pubblicato da NOYB.

Maximillian Schrems ha commentato così gli esiti di quella che può esser definita come un’indagine conoscitiva sul modo in cui i colossi del web stiano affrontando la tematica: “nel complesso, siamo rimasti stupiti da quante aziende non sono state in grado di fornire poco più di una risposta. Sembra che la maggior parte del settore non abbia ancora un piano su come procedere”.

NOYB ha anche predisposto una pagina con istruzioni e template per chi volesse esercitare i propri diritti GDPR di informazione e/o opposizione in relazione ai trasferimenti di dati extra UE nei postumi della sentenza della CGUE.