Diritti Digitali Post

La Corte europea invalida l’accordo Privacy Shield sul trasferimento dei dati europei e declassa gli Usa

17 Luglio 2020 9 min lettura

author:

La Corte europea invalida l’accordo Privacy Shield sul trasferimento dei dati europei e declassa gli Usa

Iscriviti alla nostra Newsletter

8 min lettura

Il 16 luglio 2020 la Corte di Giustizia europea si è pronunciata (qui il comunicato stampa) su una serie di ricorsi presentati dal legale Maximilian Schrems, invalidando l’accordo “Privacy Shield” tra l’Unione europea e gli Usa (qui annuncio di Noyb).

Il quadro politico

Il Privacy Shield è un accordo tra la Commissione europea e il Segretario al Commercio USA che consentiva un regime privilegiato per le aziende americane aderenti, nel caso di trasferimento dei dati personali dei cittadini europei verso gli Usa. Il Privacy Shield in realtà nasce sulle ceneri del Safe Harbour, che era stato invalidato dalla Corte di Giustizia europea nel 2015, anche qui a seguito del ricorso del legale Schrems.

Leggi anche >> Privacy Shield, ovvero come l’Europa ha svenduto i diritti europei agli Usa

Operativo dal primo agosto 2016, secondo le dichiarazioni della Commissione europea il Privacy Shield avrebbe dovuto garantire una protezione solida per i diritti dei cittadini, nonché la certezza del diritto per le imprese che lo adottavano.

In realtà già il Safe Harbour nasceva in base ad una decisione, della Commissione, esclusivamente politica, per permettere alle aziende Usa di fare affari con gli europei. Decisione che di fatto impegnava le imprese americane a rispettare una versione annacquata delle norme europee. Inoltre, la semplice esistenza della Decisione Safe Harbor impediva ai Garanti europei di indagare su eventuali denunce di violazione dei dati personali. Da qui l’invalidazione e la correlata reprimenda della Corte verso la Commissione europea, rea di aver ecceduto i poteri conferiti dalla Direttiva europea 95/46 adottando il Safe Harbour.

Ma alla base rimane sempre un ostacolo insormontabile costituito dalle norme americane di trattamento dei dati, decisamente meno tutelanti rispetto a quelle europee. In particolare, nonostante varie modifiche (per lo più formali) negli Usa le leggi obbligano le imprese americane a consentire l’accesso ai dati, spesso impedendo una trasparenza su tali accessi. Questo obbligo è in contrasto con le norme europee e ha portato all’annullamento della direttiva Data Retention europea.

Il Privacy Shield, nonostante alcune modifiche rispetto al precedente Safe Harbor, quindi si porta indietro il peccato originale che dipende non dall’accordo in sé ma dalle norme americane ancora presenti, quelle che consentono la sorveglianza di massa anche sui cittadini non americani, anzi, soprattutto, visto che i cittadini americani godono delle tutele costituzionali, mentre i non-Usa (alieni) non godono di uguale prerogative.

In una situazione di costante spionaggio degli Usa verso gli europei, l’accordo Usa-Ue del 2016 ha sorpreso un po’ tutti, rivelandosi una subordinazione dell’Europa agli interessi americani.

La Commissione sostenne e difese il suo accordo, ma fin da subito si comprese che l’Europa ci avrebbe perso. Nell’ambito della legislazione americana, la protezione dei dati personali è solo un’eccezione alla libertà di commercio, e non un diritto fondamentale dei cittadini.

Leggi anche >> Usa vs Unione europea: l’escalation della guerra dei dati

Infatti, alcune delle iniziative europee in materia, di fatto, non sono altro che l’applicazione dei desiderata delle industrie americane, come ad esempio il PNR (Passeger Name Records), una direttiva che impone una vera e propria sorveglianza di massa nel territorio europee con obbligo di passare i dati alle autorità americane, o il TFTP (Terrorist Finance Tracking Programme).

La decisione 1250/2016, o Privacy Shield, è stata messa sotto accusa dal Parlamento europeo con la risoluzione dell’aprile 2017. E questo dopo che nel maggio del 2016 il Parlamento aveva già espresso dubbi e preoccupazioni per la fase di negoziati, temendo una svendita dei diritti dei cittadini. E se qualcuno (forse la Commissione?) sperava che negli anni il governo Usa avrebbe alleggerito gli oneri a carico delle aziende, è rimasto deluso, viste le numerose incursioni nel campo della protezione dei dati personali che hanno inserito nuovi obblighi e limato ulteriormente le tutele dei cittadini. E lo stesso Judicial Redress Act e l’accordo Umbrella, che avrebbero dovuto colmare le lacune tra norme Usa e europee, si sono rivelati praticamente inutili.

Leggi anche >> Nuova politica di Trump sulla privacy. A rischio la fiducia tra Ue e Usa?

Leggi anche >> Il Congresso USA svende la privacy degli americani

L’unica vera novità è stata, con l’Umbrella, una modifica nelle definizioni: finalmente la sola raccolta dei dati è stata considerata anche negli Usa un “trattamento” e quindi soggetto alle leggi, mentre prima trattamento era considerato solo l’"utilizzo", per cui era ammesso raccogliere tutti i dati possibili e immaginabili (vedi NSA) per poi valutare cosa era possibile o meno farne.

L’ordine esecutivo del Presidente Trump mostrò chiaramente che gli Usa non avevano alcuna intenzione di rispettare gli accordi politici presi con l’Unione europea, e così il Privacy Shield è arrivato al capolinea.

Il Privacy Shield, di fatto, è un insieme di documenti proveniente da varie amministrazioni Usa. Questi documenti contengono una traccia delle garanzie applicabili ai dati dei cittadini europei trasferiti negli Usa, e sono alla base della certificazione di “equivalenza” della tutela americana rispetto a quella europea. Più che altro si potrebbero definire come una raccolta di promesse non rispettate alle quali la Commissione europea ha finto di credere.

I problemi del Privacy Shield immediatamente emersi sono:

  • Assenza di limiti per le agenzie americane di raccolta indiscriminata di dati non mirata (bulk collection) in contrasto coi i criteri di necessità e proporzionalità, anche se l’Office of the Director of National Intelligence raccomanda di dare priorità ai “targeted signals intelligence”;
  • Differenza di target, in Europa l’obiettivo è la persona, negli Usa è l’informazione, così è possibile raccogliere dati senza nemmeno specificare i soggetti sorvegliati;
  • Insufficiente indipendenza del Difensore Civico rispetto all’esecutivo americano (dipende dal Segretario di Stato) e quindi dubbi sull’efficacia della sua azione per la tutela degli europei;
  • Complessità dei meccanismi di ricorso ritenuti insufficienti ed inefficaci.

La decisione della Corte Ue

Ecco perché il 16 luglio la Corte europea ha invalidato il Privacy Shield. La Corte, chiamata in causa dall’Alta Corte irlandese, sostiene che il trattamento dei dati operato dalle agenzie americane di per sé non preclude il trasferimento dei dati verso gli Usa, ma il fatto che tale trattamento non sia circoscritto in maniera equivalente a quanto accade in Europa, viola la protezione dei dati personali dei cittadini europei.

“Are not circumscribed in a way that satisfies requirements that are essentially equivalent to those required under EU law, by the principle of proportionality, in so far as the surveillance programmes based on those provisions are not limited to what is strictly necessary”.

In breve gli Usa devono modificare le proprie norme in modo da conformarsi agli obblighi previsti da quelle europee perché un’azienda americana possa trasferire i dati degli europei nel territorio Usa, in particolare rispettando i principi di proporzionalità e necessità e prevedendo un meccanismo di ricorso adeguato per i cittadini europei contro le agenzie americane.

“The Ombudsperson mechanism referred to in that decision does not provide data subjects with any cause of action before a body which offers guarantees substantially equivalent to those required by EU law, such as to ensure both the independence of the Ombudsperson provided for by that mechanism and the existence of rules empowering the Ombudsperson to adopt decisions that are binding on the US intelligence services”

Quindi, la Corte invalida il Privacy Shield.

“On all those grounds, the Court declares Decision 2016/1250 invalid”

Le conseguenze

Il trasferimento dei dati verso un paese non europeo può avvenire in base ad una serie di strumenti previsti dal GDPR:

  • Le decisioni di adeguatezza (come il Privacy Shield);
  • Le clausole standard (accordi contrattuali tra azienda esportatore e aziende con sede estera);
  • Le norme vincolanti di impresa (per i gruppi societari).

Inoltre, l'articolo 49 prevede delle deroghe al regime normale di divieto di trasferimento dei dati, se:

a) L’interessato abbia esplicitamente acconsentito al trasferimento proposto;
b) Il trasferimento sia necessario all’esecuzione di un contratto concluso tra l’interessato e il titolare del trattamento ovvero all’esecuzione di misure precontrattuali adottate su istanza dell’interessato;
c) Il trasferimento sia necessario per la conclusione o l’esecuzione di un contratto stipulato tra il titolare del trattamento e un’altra persona fisica o giuridica a favore dell’interessato;
d) Il trasferimento sia necessario per importanti motivi di interesse pubblico riconosciuto dal diritto dello Stato membro del titolare o dal diritto dell’Ue;
e) Il trasferimento sia necessario per accertare, esercitare o difendere un diritto in sede giudiziaria;
f) Il trasferimento sia necessario per tutelare gli interessi vitali dell’interessato o di altre persone, qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
g) Il trasferimento sia effettuato a partire da un registro che, a norma del diritto dell’Unione o degli Stati membri, mira a fornire informazioni al pubblico e può esser consultato tanto dal pubblico in generale quanto da chiunque sia in grado di dimostrare un legittimo interesse, solo a condizione che sussistano i requisiti per la consultazione previsti dal diritto dell’Unione o degli Stati membri.

Per cui, i trasferimenti “necessari” o basati su accordi contrattuali (es. mail, prenotazione viaggi, acquisti) sono comunque possibili. Il provvedimento della Corte impatta, invece, su tutti quei trasferimenti che sono realizzati per mera convenienza e comodità. Ad esempio, se una piattaforma sposta i dati negli Usa perché ha lì i propri server e ritiene più comodo elaborarli al di fuori dell’Europa. In questi casi l’azienda potrà comunque continuare a trasferire i dati al di fuori dell’Unione europea, ma dovrà fornire ulteriori garanzie, non potendo più basarsi sull’adesione al Privacy Shield. Potrà eventualmente utilizzare clausole standard di trasferimento che però dovranno fornire all’interessato una adeguata tutela, compreso un mezzo di ricorso efficace, cosa comunque piuttosto difficile considerando le leggi americane che ovviamente non possono essere aggirate da un contratto. E soprattutto, in questo caso i Garanti potranno indagare per eventuali violazioni della protezione dei dati personali nell’applicare tali clausole, aprendo la strada a rischi commerciali elevatissimi per le aziende. Saranno queste, quindi, a doversi preoccupare di verificare il livello di protezione nel paese di importazione dei dati.

In particolare, per quanto riguarda le piattaforme del web che forniscono servizi digitali (es. Google, Facebook, Twitter), queste si appoggiano già tutte su consociate europee (Irlanda per Google e Facebook, Lussemburgo per Microsoft e Amazon), quindi il trattamento dei dati per lo più avviene in Europa. Però, le aziende dovranno accertarsi che eventuali flussi verso gli Usa siano conformi alle norme europee. Cosa che porterà quasi sicuramente a una riorganizzazione del trattamento dei dati, e conseguente maggiore utilizzo di server europei (probabilmente anche differenziazione di trattamento tra dati europei e dati americani).

Le aziende europee, ovviamente, dovranno accuratamente valutare se esternalizzare i loro trattamenti di dati negli Usa, in quanto saranno responsabili della valutazione di adeguatezza rispetto ai fornitori di cui si servono (se questi rientrano nelle categorie di fornitori soggetti agli obblighi di comunicazione alle agenzie americane). I consumatori, invece, possono continuare a usare i servizi digitali, se decidono liberamente (consenso) di trasferire i dati negli Usa.

Iscriviti alla nostra Newsletter


Come revocare il consenso: Puoi revocare il consenso all’invio della newsletter in ogni momento, utilizzando l’apposito link di cancellazione nella email o scrivendo a info@valigiablu.it. Per maggiori informazioni leggi l’informativa privacy su www.valigiablu.it.

Come si può vedere la decisione della Corte di fatto declassa gli Usa da partner commerciale privilegiato e li pone allo stesso livello di tutti gli altri Stati per i quali non esistono decisioni di adeguatezza. Le conseguenze per gli Usa potrebbero essere importanti, poiché è immaginabile che molte aziende (sono circa 5000 che finora si sono basate sul Privacy Shield), per commerciare con l’Europa, preferiranno aprire sedi e server in territorio Ue. E questo potrebbe rilanciare anche progetti di cloud federati europei, finora non avviati per l’economicità dei cloud statunitensi.

Un’ultima annotazione. Come precisa Max Schrems, il Garante irlandese ha contrastato i ricorsi da lui presentati, arrivando, in tal modo, a spendere circa 2,9 milioni di euro di soldi dei contribuenti, piuttosto che intraprendere azioni a tutela dei diritti degli europei. Cosa che dimostra che la tutela della protezione dei dati personali in Europa è ancora lontana dall’essere effettiva. Per poter continuare la sua battaglia Schrems ha dovuto costituire Noyb e avviare un crowdfunding. Per un cittadino normale tutto questo sarebbe stato impossibile.

Immagine anteprima via Pixabay

Segnala un errore

Array