Il “Garante Europeo” e la sfida del trasferimento dei dati all’estero

19 Novembre 2020

dati

Due raccomandazioni sotto consultazione e un enorme problema aperto. La Sentenza Schrems II, di cui abbiamo ampiamente parlato, e che ha invalidato il Privacy Shield (l’accordo che consentiva un libero passaggio di dati dai server del vecchio continente a quelli di una serie di specifiche aziende USA), continua a turbare i sonni dei grandi del web e a interrogare gli specialisti su una possibile soluzione per salvare la capra (la volontà di lasciar operare gli OTT sul territorio europeo) e i cavoli (la necessità di tutelare i dati degli europei da trasferimenti che ne possono mettere a rischio la protezione).

L’European Data Protection Board (EDPB), che riunisce l’Autorità di protezione dei dati personali nazionali che operano in tutta Europa, lo scorso 10 novembre ha lanciato una consultazione pubblica su uno schema di raccomandazione che intende cercare una soluzione ai problemi che il nuovo quadro giuridico ha posto dopo la richiamata sentenza.

Il provvedimento, denominato “Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data”, prevede che i soggetti i quali intendano effettuare il trasferimento dei dati all’estero, debbano adottare le cautele descritte in sei “steps”, dedicati: alla conoscenza dei processi che interessano i dati, alla verifica degli strumenti di trasferimento, all’analisi delle normative e delle prassi del paese terzo in cui deve effettuarsi il trasferimento, all’adozione di misure supplementari e di procedure formali, alla continua verifica dei livelli di protezione dei dati.

Ad una prima lettura, non si può che apprezzare il tenore rigoroso del documento, che senza dubbio (salvi gli aggiustamenti che verranno all’esito della consultazione) costituirà uno strumento prezioso per le future attività dei titolari dei trattamenti. Tuttavia, esso non sembra risolvere affatto il concreto problema che ha portato al pronunciamento della Schrems II.

Leggendo tale ultima sentenza, infatti, appare piuttosto chiaro che una analisi della normativa e delle prassi di uno specifico paese terzo, gli USA, sia stata già operata dai giudici della Corte di Giustizia, e abbia dato esito negativo riguardo al sufficiente livello di protezione dei dati, specialmente con riguardo alla possibilità per il Governo di accedere ai files riservati, e alla insufficiente indipendenza dell’organo di controllo.

Insomma, un OTT che volesse portare i dati degli utenti europei in USA, dovrebbe arrestarsi al terzo step, e rinunciare. Ciò a rigore di quanto lo schema di raccomandazione prevede, laddove specifica (punto 30), che il titolare, con la collaborazione dell’importatore, deve verificare se “c’è qualcosa, nella legge o nella prassi del paese terzo che può inficiare l’effettività delle adeguate cautele di cui all’art. 46 GDPR”. Ancora più chiara è, in proposito la raccomandazione “gemella” n. 2/2020 (“on the European Essential Guarantees for surveillance measures”) adottata dall’EDPB, che, nello specificare ulteriormente cosa si intenda per livello di protezione simile a quello garantito dal GDPR, cita, tra l’altro, la necessità che esista un meccanismo di sorveglianza indipendente (punto 24).

Ci troviamo, sembra, di fronte a un’impasse. Come è stato autorevolmente osservato da Guido Scorza, componente del Collegio del Garante per la protezione dei dati personali, in un recente articolo, la Corte di Giustizia dell’Unione europea con la Sentenza Schrems II ha accertato che le leggi americane non riconoscono agli interessati un livello di tutela equivalente rispetto a quello loro riconosciuti dalla disciplina europea in materia di protezione di dati personali. Esiste dunque un problema di disallineamento tra due Ordinamenti risolvibile solo intervenendo su uno o entrambi. Non vi sono infatti altre soluzioni decisive, e certo non sono tali le clausole contrattuali o i mezzi tecnologici, comunque strutturati, che le piattaforme possano porre in essere. Lo stesso autore rileva che il problema sarebbe risolvibile solo laddove il destinatario dei dati godesse, in USA, di un rigido regime di segreto tale da porlo al riparo dal rischio di accessi da parte del Governo, ovvero i sistemi tecnologici consentissero comunque di impedire l’accesso ai dati degli utenti europei. Entrambe le ipotesi appaiono poco realistiche.

In conclusione, sembra a chi scrive che la questione si ponga sostanzialmente in termini di level playing field tra le grandi piattaforme on line e le imprese europee. Queste ultime operano in un contesto legale che offre una delle più severe protezioni ai dati personali dei cittadini, ma ciò non deve risolversi in uno svantaggio competitivo in favore di operatori che possono (in virtù della facilità di trasferimento digitale) sfruttare la possibilità di tenere i piedi sia sulla staffa del vecchio continente, con il suo enorme serbatoio di utenti, sia nella madrepatria, ove vigono diversi livelli di tutela della riservatezza delle persone.

Avv. Giuseppe Colaiacomo

 

Print Friendly, PDF & Email
Tags | , ,

Articoli correlati

direttiva copyright

Copyright, art. 17: l’Avvocatura Generale UE chiede l’archiviazione del ricorso polacco

16 Luglio 2021
social

L’impegno del Garante privacy sul fronte dei social

27 Gennaio 2021
privacy shield

La Corte UE invalida il Privacy Shield, le conseguenze per le piattaforme

20 Luglio 2020

Privacy e Coronavirus: quali controlli sulla salute dei lavoratori

16 Marzo 2020