Maximillian Schrems, cittadino austriaco e utente Facebook di lungo corso, è riuscito ancora una volta a fare la storia dei rapporti tra USA e UE sul terreno della privacy: sulla base di un suo ricorso, infatti, la Corte di Giustizia Europea ha invalidato il cd. Privacy Shield, ossia il principale strumento giuridico che regolava il passaggio dei dati personali degli utenti da un lato all’altro dell’Atlantico.
Va premesso che, in base al GDPR, è possibile trasferire dati a un destinatario specifico, soggetto ad una giurisdizione extra UE, se sussistono delle decisioni di adeguatezza, ossia delle decisioni mediante i quali la Commissione europea riconosce l’adeguatezza del sistema di protezione della privacy in quella giurisdizione. Se manca tale riconoscimento, l’esportatore di dati deve fornire una serie di garanzie, indicate negli artt. 44 e seguenti del GDPR.
Il problema, enorme, si pone ovviamente con riferimento agli Stati Uniti: nei server dei giganti del web a stelle e strisce vengono inviati continuamente pacchetti di dati raccolti nei nostri Paesi. Ed è noto come oltreoceano la filosofia della protezione dei dati personali sia ben diversa dalla nostra.
Un primo tentativo di gestire tale complessa situazione è naufragato insieme al cd. Safe Harbour, prima decisione di adeguatezza concessa dalla Commissione (decisione 2000/520/C). Con sentenza del 6 ottobre 2015, (C 362/14, EU:C:2015:650), la Corte ha annullato tale decisione, e anche in quel caso, tutto era partito da un ricorso di Maximillian Schrems, ormai nemesi dei grandi operatori.
Nel 2016 il Safe Harbour è stato sostituito dal Privacy Shield, che sembrava aver superato indenne anche la prova del GDPR. Tale “scudo” si fondava su un sistema di autocertificazione in base al quale le società statunitensi interessate s’impegnavano a rispettare un insieme di principi in materia di privacy. Tali società venivano inserite nella lista delle società certificate (“Privacy Shield List”) da parte del Dipartimento del Commercio statunitense e potevano importare dati da qualunque Paese UE, a determinate condizioni previste nella decisione (UE) 2016/1250.
La sentenza 16.7.2020, in causa C-311/18 (Data Protection Commissioner vs Facebook Ireland/Maximillian Schrems) della Corte di Giustizia (ormai correntemente richiamata come “Schrems II”) ha, come detto, invalidato il Privacy Shield, riportando a zero il livello di regolazione generale dei trasferimenti di dati UE/USA.
È venuto quindi meno uno scudo generale, che a molti appariva più una soluzione di compromesso che la vera strada per regolare i rapporti interatlantici nella guerra dei dati, e si è aperta una fase in cui la legittimità del trasferimento, o esportazione, dovrà essere valutata caso per caso in base alle norme del GDPR.
Nel frattempo, però, Facebook continua a trasferire dati esattamente come prima, basandosi sulle cd. SSC, ossia le clausole standard fissate dalla Commissione e applicate dagli operatori, che la Corte ha ritenuto ancora valide e adeguate (in particolare quelle della decisione 2010/87/EU).
Nulla è cambiato allora?
Non sembra proprio, dato che il tema non è quello della validità di tali clausole, ma della loro effettività.
La Corte ha affermato infatti che, a meno che esista una decisione di adeguatezza validamente adottata dalla Commissione europea (e abbiamo visto che per gli USA non c’è più), l’autorità di controllo competente è tenuta a sospendere o a vietare un trasferimento di dati verso un Paese terzo effettuato sulla base di clausole tipo di protezione dei dati adottate dalla Commissione, qualora detta autorità di controllo ritenga, alla luce del complesso delle circostanze proprie di tale trasferimento, che le suddette clausole non siano o non possano essere rispettate in tale Paese terzo e che la protezione dei dati trasferiti richiesta dal diritto dell’Unione non possa essere garantita con altri mezzi.
Come si comprende dalla motivazione della sentenza, la preoccupazione che sta dietro a queste parole riguarda il rapporto tra le autorità pubbliche statunitensi e i dati degli utenti europei, ossia il modo in cui le prime possono ingerirsi nella gestione di tali dati. Infatti, per quante clausole possano essere approvate dagli utenti finali, certo non vincolano il Governo statunitense, ma solo gli operatori, che non potrebbero impedire un accesso ai loro server. Inutile dire che gli interessati avrebbero, in questi, casi, scarsissime tutele, a meno di non rivolgersi direttamente alla Giustizia d’oltreoceano (che, ovviamente, applicherebbe le regole d’oltreoceano, con quasi certo rigetto del ricorso).
La soluzione adottata a tale proposito nel Privacy Shield prevedeva la figura di un “mediatore” o “Ombudsman” che si facesse carico dei reclami dei cittadini europei, ma la Corte ha avuto buon gioco nell’osservare che tale figura risponde direttamente al Segretario di Stato USA, e che non ha le garanzie di inamovibilità che sono fondamentali per una piena indipendenza.
Ora che, sulla base di queste considerazioni, lo scudo è venuto meno, la responsabilità di garantire una effettiva tutela agli utenti europei anche quando i loro dati migrano oltre i confini UE verso gli USA grava tutta sugli operatori, che non potranno più nemmeno giovarsi della figura del mediatore come strumento di reclamo da offrire nelle loro clausole contrattuali.
Le conseguenze di tutto ciò non sono state forse del tutto comprese tanto che, come già accennato, i grandi leader del mercato dei servizi online non sembrano aver mutato i loro comportamenti.
Tale situazione non durerà per molto. Il Comitato dei garanti europei (EDPB), in uno “statement” del 17 luglio scorso ha chiarito che, in base alla sentenza citata, l’importatore e l’esportatore di dati devono valutare se nel Paese di destinazione gli utenti godranno dello stesso livello di protezione che in Europa. “Se il risultato di questa valutazione è che il Paese dell’importatore non fornisce un livello di protezione sostanzialmente equivalente, l’esportatore potrebbe dover prendere in considerazione l’adozione di misure aggiuntive rispetto a quelle incluse negli SCC”. Su quali possano essere queste misure l’EDPB sta ancora riflettendo, ma intanto ha dato campo libero alle Autorità privacy affinché prendano in considerazione la possibilità di “sospendere o vietare un trasferimento di dati verso un Paese terzo se, secondo la loro opinione e alla luce di tutte le circostanze di tale trasferimento, tali clausole non sono o non possono essere rispettate nel Paese terzo”.
Orbene, alla luce delle considerazioni contenute nella sentenza della Corte di Giustizia, appare ben difficile che gli USA possano considerarsi “Paese terzo in cui possono essere applicate e rispettate le clausole standard SSC”. I Giudici hanno infatti riconosciuto che l’art. 702 del FISA (Foreign Intelligence and Surveillance Act, che negli USA fissa le procedure per la raccolta delle informazioni di intelligence straniera) non fa emergere in alcun modo l’esistenza di limitazioni rispetto all’attuazione dei programmi di sorveglianza ai fini dell’intelligence esterna, né l’esistenza di garanzie per i cittadini stranieri potenzialmente oggetto di tali programmi.
Insomma, gli USA non sono, a giudizio della Corte, un Paese adeguato a garantire lo stesso livello di protezione dei dati che l’UE garantisce.
L’unica conseguenza logica pare, a chi scrive, che non sia attualmente possibile esportare dati in USA e che l’adozione di clausole standard, o di policy aziendali avanzate, ai sensi del GDPR, non sia sufficiente a garantire la legittimità di tale esportazione, non essendo possibile garantirne l’efficacia e l’effettività nel Paese di destinazione.
La parola passa ora alle Autorità nazionali, che già in diversi casi hanno dimostrato di non voler fare sconti ai grandi social.
Avv. Giuseppe Colaiacomo