Il quadro iniziale
Come ormai sanno anche i muri, a luglio, la CJEU con la sentenza C-311/18 ha deciso che, a causa delle normative sulla sicurezza interne degli States (1), non poteva essere garantita ai cittadini europei (i cui dati personali fossero stati oggetto di trasferimento oltre oceano) una protezione sostanzialmente equiparabile a quella garantita loro nei confini dell’Unione. Pertanto, lo strumento che consentiva il trasferimento dei dati è stato dichiarato non più adatto.
Alternativa? Le Clausole Contrattuali Tipo. Bene si potrebbe dire, no diremo noi: perché è stato fornito un ombrello di cartapesta per ripararsi da un fall-out nucleare. Cerchiamo di capire perché il quadro assuma tinte così fosche. Iniziamo a prendere nota di quali siano le fonti del diritto in questa articolata vicenda.
Le fonti del diritto europeo
In prima istanza, chiaramente, dobbiamo fare riferimento a quella che costituisce le fondamenta di tutta la struttura dell’Unione, la Carta dei Diritti Fondamentali dell’Unione Europea dai cui articoli 7 e 8 si ha la scaturigine di tutta la legislazione relativa alla privacy e alla protezione dei dati personali (2).
Secondariamente, viene il GDPR stesso. Il punto di vista sul quale vorremo porre l’accento è duplice: non solo l’articolo 32 e la sua pretesa di sicurezza tecnica e organizzativa, ma anche il 5 con quei diritti che dalla Carta originano.
A seguire possiamo fare riferimento a: la sentenza che possiamo reperire qui, le FAQ sulla sentenza emesse in tutta fretta dall’EDPB e tradotte dal Garante per la Protezione dei dati personali in italiano, infine ultime in ordine di arrivo le Raccomandazioni di cui abbiamo già parlato in una breve news qualche giorno addietro.
Il nodo cruciale della vicenda
Tutta la querelle che ruota attorno alla sentenza Schrems II può essere analizzata in molti modi, sotto molteplici punti di vista. Uno che ritengo essere (nella mia esperienza sul campo) degno di attenzione è quello relativo al concetto stesso di trasferimento dei dati personali. Il nocciolo sta tutto qui. Se già concepissimo il concetto di trasferimento come prendere una cosa e portarla altrove, la sentenza avrebbe un impatto molto forte. Ma l’interpretazione che sta prevalendo non è questa.
Infatti, come desumiamo anche dalle raccomandazioni dell’EDPB, l’interpretazione che sta avendo più spazio è quella per la quale anche solo vedere dei dati personali dall’estero è un trasferimento.
Ora, stanti così le cose, tutto, in un mondo ormai cloudizzato (mi si passi il neologismo), diventa trasferimento di dati personali fuori del territorio UE. Ogni gesto, click, tap, gesture. Inciampiamo nel trasferimento a ogni piè sospinto. Ma a questo punto dobbiamo fare delle riflessioni, perché ogni applicazione pratica di una certa logica porta con sé delle conseguenze.
Tutto questo al netto dell’affermazione (parimenti importante) per la quale le Standard Clauses non sono sempre lo strumento efficace che si pensa, lo vedremo nel prossimo paragrafo.
Alcuni casi pratici
Cosa significa che tutto o quasi è trasferimento? Significa, in prima istanza, che dovendo scegliere, per esempio, un servizio informatico per la posta elettronica dovremo farci delle domande e compiere analisi che prima non erano necessarie. Facciamo degli esempi.
GOOGLE GSUITE
Google si è affrettata a mettere addendum vari e assortiti alla sua complicatissima DPA (per leggere la quale oltre a dover conoscere l’inglese giuridico serve anche molto tempo). Alla faccia delle informative semplici e scritte con un linguaggio comprensibile. Ma sorvoliamo il dettaglio. Google è a posto? Chi usa il servizio GSuite e scrive nelle sue informative che il trasferimento estero avviene sulla base giuridica delle SCC è a posto? Perché la sola domanda veramente importante è se siamo o no in compliance.
Nel suo papello, Google concentra tutta l’attenzione sulle misure tecnico organizzative ex articolo 32. Ma non dice nulla (e del resto come potrebbe) dell’articolo 5 e delle sue implicazioni. Non può farlo, perché banalmente, nonostante le SCC (che sono poco più che una foglia di fico), le autorità americane possono tranquillamente intervenire sui dati. Nessun limite, nessuna attenuazione di potere, nessuna tutela.
Così, di sfuggita, ricordo che la maggior parte delle scuole italiane ha come piattaforma per la DaD Google Classroom e in alternativa Microsoft 365 (poco cambia). Qui ha senso ricordare che entrambi i colossi hanno datacenter in EU, il dato non lascia fisicamente il territorio, ma potenzialmente viene visto dagli States, fosse anche solo per ragioni di manutenzione.
MAILCHIMP
Beh, loro ci provano. Dicono nel loro Data Processing Agreement (oggettivamente più comprensibile) che faranno il possibile per essere compliant, che hanno le SCC, che cercheranno di non dare i dati alle pubbliche autorità, ma qualora queste li chiedessero dovrebbero cedere (limitandosi a un avviso all’utente interessato). Di nuovo, la SCC si rivela il famoso ombrellino per ripararsi dal fall-out. Ed ecco che inizia ad avere senso la frase della CJEU quando dice che va analizzato case by case l’uso delle SCC, ogni singola situazione è differente.
IL PARADOSSO iCLOUD
Altro caso assurdo capita a me. Uso il mio cellulare personale (un iPhone) per esigenze di lavoro. Salvo al suo interno numeri di telefono e mail di un numero ormai piuttosto cospicuo di interessati (siano essi clienti, fornitori, consulenti e via così). Ma siccome sono un bravo Titolare e mi curo delle misure tecniche e organizzative ai sensi dell’articolo 32, organizzo un backup per business continuity/disaster recovery usando iCloud di Apple (che non ha datacenter europei per questo servizio). In questo modo i miei dati sono protetti dal rischio di perdita distruzione, ecc. Ma così facendo li sposto in USA. Ed ecco che paradossalmente per tentare di essere in compliance, divento non compliant.
Rischi connessi alla sentenza
I consulenti e i DPO stanno alfabetizzando e scolarizzando un mondo che parlava in modo epilettico di privacy, che blaterava parole senza capirne il senso. Insegnando a capire l’utilità di una Data Protection reale, non fatta di pezzi di carta. La Corte con questa sentenza spazza via tutto questo lavoro. Dura spiegare alle aziende che usare GSuite o Microsoft 365 non è compliant e quindi le imprese sono passibili di sanzioni. Lo strumento Privacy Shield era oggettivamente ridicolo? Sì, siamo tutti d’accordo; poteva essere utile, prima di eliminarlo, trovare uno strumento più rispondente alle necessità? Fate voi.
Il rischio qui è che questi anni vengano vanificati. Sarebbe il fallimento del GDPR.
Due culture opposte
Posso comprendere le ragioni della CJEU, lo scontro di filosofie radicalmente differente: tra gli europei garantisti e i Cowboys che dei diritti non si curano, se non a parole. Ma dando corso a questo scontro culturale a pagarne le conseguenze sarà il GDPR.
Conclusioni
Ancora una volta (come nella sentenza a favore di Google in un caso di richiesta di applicazione worldwide dell’articolo 17 del GDPR), la Corte ha agito in modo arcaico. Non ha considerato il contesto, il cloud, la realtà dell’informatica odierna, non ha considerato che il mondo del lavoro, oggi, non può prescindere da quelle multinazionali dell’informazione e del dato. Banalmente perché l’Europa non è in grado di offrire alcuna valida alternativa.
Abbiamo giusto un servizio alternativo di newsletter (che tra l’altro è stato oggetto di databreach recentemente). La domanda è se il GDPR medesimo sia ancora adeguato o se non necessiti già di un restyling che tenga conto di taluni contesti.
Il boomerang lanciato dalla Corte presto o tardi tornerà indietro, il problema è capire se ci sia a riceverlo qualcuno in grado di afferrarlo con le mani e non con la faccia.
___________________________________________
(1):
Le principali normative americane che consentono alle PA di violare i date personali di cittadini non europei sono:
(2):
Gli articoli della Carta che fondano tutta la logica della privacy europea: