Num. Verde 800 11 28 25

Paola Zambon sul privacy shield

Privacy Shield bocciato, intervista a Paola Zambon

L'Unione Europea ha bocciato il Privacy Shield. L'esperta GDPR Paola Zambon ci racconta cosa vuol dire e quale impatto avrà la decisione sulla vita delle aziende
Indice dei contenuti

L’esperta GDPR ci spiega cosa cambia per le aziende dopo la bocciatura europea dello “scudo” con cui gli USA potevano ricevere dati dall’UE

E’ recentissima e forse sottovalutata ma è invece una notizia molto importante: la Corte di giustizia dell’UE ha dichiarato invalido il Privacy Shield, l’accordo che avrebbe dovuto regolamentare il trasferimento dei dati tra i Paesi dell’UE agli USA.

Una decisione che avrà un impatto importante sulle aziende italiane ed europee.

Vista la rilevanza ma anche la complessità del tema, ne abbiamo parlato direttamente con l’esperta, la dott.ssa Paola Zambon: Presidente dell’Associazione ICT Dottori Commercialisti, DPO, Partner TaxLawPlanet (con uffici a Torino, Milano e Londra),  la nota commercialista ha insegnato e organizza convegni anche al Politecnico di Torino e ha collaborato con testate importanti come Il Sole 24 Ore, La Stampa ed Il Fisco.

Referente GDPR dell’Ordine dei Dottori Commercialisti di Torino, è stata coordinatrice del gruppo privacy del Consiglio Nazionale Dottori Commercialisti.

Privacy Shield: la sentenza, cosa c’entra Schrems e gli scenari futuri

Dott.ssa Zambon, in cosa consiste il Privacy Shield e perché l’Europa lo ha bocciato?

«Il Privacy Shield era l’accordo che regolamentava il trasferimento di dati tra Unione europea e gli USA, in modo che i diritti fondamentali delle persone nell’Unione Europea delle quali il trasferimento dati personali venisse effettuato negli Stati Uniti, avessero potuto essere garantiti. 

La Corte con questa sentenza ha ritenuto che alcune norme e programmi che consentono l’accesso delle autorità pubbliche statunitensi ai dati personali trasferiti dall’UE agli Stati Uniti a fini della sicurezza nazionale, comportino di fatto limitazioni alla protezione dei dati personali e che pertanto non vi sia equivalenza rispetto a quanto previsto dal diritto dell’UE. In particolare, la legislazione statunitense non concede agli interessati diritti perseguibili contro le autorità statunitensi dinanzi ai tribunali o l’esistenza di garanzie adeguate per le persone non statunitensi.

La sentenza è complessa e tratta di diversi argomenti ma ciò ha, in estrema sintesi, causato la “bocciatura” della garanzia di adeguatezza del rispetto dei diritti fondamentali delle persone i cui dati personali vengano trasferiti negli USA. Di conseguenza è stata anche invalidata la decisione di adeguatezza per il Privacy Shield (o scudo per la privacy).

Dopo la sentenza, dunque, i trasferimenti di dati personali negli USA devono cessare a meno che non si reperiscano nuove basi di liceità e misure supplementari appropriate per garantire la conformità dei diritti in questione ed il livello di protezione adeguato».

Cosa c’entra con questa sentenza la vicenda che vede coinvolto l’avvocato austriaco Maximillian Schrems?

«Maximilian Schrems (più conosciuto come Max Schrems) è un giovane e brillante avvocato austriaco che dai tempi universitari appassionandosi degli argomenti inerenti la privacy, ha dato vita ad un vero e proprio gruppo di attivisti a tutela dei relativi diritti e libertà delle persone contro il modus operandi di Facebook, a suo avviso poco trasparente verso gli utenti interessati e non in linea con quanto prevedeva la norma europea in tema di trattamento di dati personali.

Provo a fare una breve sintesi dei fatti che lo riguardano.

Dopo il caso Snowden, Schrems  (allora studente di giurisprudenza) aveva presentato una denuncia contro Facebook Ireland Ltd innanzi all’Irish Data Protection Commissioner.

Schrems sosteneva che – ai sensi dei principi Safe Harbor allora in essere e che permettevano, in sostanza, il trasferimento dati personali tra UE e USA –i dati personali su Facebook non avrebbero dovuto essere inviati da Facebook Ireland Ltd (dedicata agli utenti di Facebook non negli Stati Uniti ed in Canada) a Facebook Inc. (la società madre statunitense), in quanto Facebook avrebbe potuto concedere all’Agenzia di sicurezza nazionale degli Stati Uniti l’accesso a tali dati.

La Corte di Giustizia, con una sentenza storica e molto dibattuta (C-362/14 o Schrems I) ha così in seguito dichiarato invalido il Safe Harbor sostenendo che:

  • un Paese terzo come gli Stati Uniti deve fornire un livello di protezione “sostanzialmente equivalente” a quello offerto dal diritto dell’UE;
  • una “legislazione che consente alle autorità pubbliche di avere accesso su base generalizzata” viola l’essenza del fondamentale del diritto alla privacy previsto ai sensi dell’art. 7 della Carta dei diritti fondamentali dell’UE;
  • la mancanza di qualsiasi ricorso legale negli Stati Uniti per le persone non statunitensi viola il diritto fondamentale a un ricorso giurisdizionale ai sensi dell’articolo 47 della Carta dei diritti fondamentali dell’Unione europea.
  •  

A seguito di questa sentenza, l’Alta Corte irlandese ha chiuso la procedura dinanzi ai tribunali irlandesi, poiché l’Irish Data Protection Commissioner si era impegnato ad attuare rapidamente la decisione così stabilita dalla sentenza.

Nel novembre 2015, però, l’Irish Data Protection Commissioner ha reso noto che tale decisione rispetto alla denuncia di Schrems non avrebbe avuto rilevanza, poiché Facebook aveva da sempre basato i propri trasferimenti di dati personali negli USA non sulla base dei principi Safe Harbor ma sulle “clausole contrattuali standard” (SCC), informazione taciuta di fatto allo stesso Schrems sino ad allora.

A quel punto Schrems ha deciso di riformulare la propria denuncia aggiungendo anche le SCC o qualsiasi altra base di liceità che potesse essere utilizzata ai fini del trasferimento di dati personali negli USA da parte di Facebook, presentando all’Irish Data Protection Commissioner (DPC) un reclamo nel 2015.

E chiedendogli formalmente di sospendere i trasferimenti di dati personali poiché effettuati in violazione dei diritti fondamentali degli utenti.

Il DPC ha così deciso di intentare una causa sia contro Facebook Ireland Ltd che Schrems, chiedendo sostanzialmente all’Alta Corte irlandese di ricorrere nuovamente alla Corte di Giustizia UE.

Da lì è nato l’attuale caso (Schrems II) tra diverse parti che si sono schierate e hanno chiesto di unirsi anche come come amicus (aiutanti neutrali della corte) al caso (lo stesso governo degli Stati Uniti, EPIC.org e due gruppi di interesse imprenditoriali).

La vicenda è stata lunga e ricca di colpi di scena, così come la sentenza interessante e quasi da trama da film appassionante. La sintesi ormai è nota».

Quale impatto avrà sulle imprese questa recente decisione della Corte Europea di considerarlo invalido?

«L’impatto è certamente più dirompente di quanto superficialmente sia stato al momento compreso e commentato.

Bocciatura Privacy Shield dalla Corte Europea

Di fatto con questa sentenza non solo viene dichiarato invalido il trasferimento dei dati personali negli USA ma non esiste neanche un periodo di “adeguamento” per bloccare il trasferimento di dati personali. Pertanto, chi lo effettua deve agire da subito.

“La sentenza sul Privacy Shield rende di fatto illegale trasferire dati personali negli US e non consente neanche un periodo di adeguamento: i DPO dovranno supportare le aziende nell’analizzare eventuali criticità di esposizione di dati personali all’intercettazione da parte del governo statunitense”

La sentenza, rendendo di fatto illegale qualsiasi trasferimento di dati personali negli Stati Uniti, conduce implicitamente a rivedere da subito le basi di liceità utilizzate, nel tentativo di effettuare le verifiche della sussistenza dei requisiti giuridici dalla stessa richieste.

Le imprese dovranno analizzare se sussistano misure appropriate in modo che i dati personali in primis non vengano sostanzialmente esposti all’”intercettazione” da parte del governo statunitense. Esercizio non certamente facile, soprattutto per chi non ha chiaro il quadro normativo, in questo senso particolarmente complesso.

Pur essendo ritenute ancora valide le SCC (clausole contrattuali standard), le stesse non potranno continuare ad essere utilizzate tout court come da alcuni frettolosamente sostenuto, ma vi dovrà essere, a mio parere, interpretando correttamente la sentenza ed anche ai fini di una corretta accountability, un’analisi ben strutturata con misure supplementari da adottare, un aggiornamento contrattuale e del registro dei trattamenti e, qualora si decida in ogni caso di continuare il trasferimento, anche un’apposita informativa all’Autorità competente. 

I DPO dovranno subito attivarsi per segnalare la criticità e  supportare nel reperimento di soluzioni percorribili rimanendo aggiornati costantemente sull’evoluzione di questi temi».

Al di là dell’accaduto, che idea si è fatta dello scenario dei diritti sulla privacy in USA? Ritiene che l’approccio europeo tuteli maggiormente i dati personali?

«La normativa europea sulla protezione dei dati personali è, a mio avviso, certamente un felice inno alla tutela dei diritti ed alle libertà delle persone ed in particolare alla protezione di dati personali.

Non dimentichiamo però che è inserita anche nel contesto di una auspicata e vera libertà di circolazione degli stessi dati (personali e non).

Ritengo che l’approccio europeo in questo senso sia stato forte e chiaro solo per il primo punto. 

Mi piace vedere il buono in tutte le parti prese in causa. Credo che, già dopo la causa Schrems I, in realtà gli USA abbiano comunque compiuto alcuni miglioramenti significativi dal passaggio dal Safe Harbor al Privacy Shield e che la trasparenza, in generale, sarebbe auspicabile non solo per i cittadini europei ma anche per i cittadini statunitensi.

Sono certa che si potrà operare ancora migliorando tali rapporti con uno spirito costruttivo anziché proseguire con fazioni contrapposte. Sarebbe dannoso anche per l’economia internazionale.

Gli europei, di fatto, utilizzano i social ed in generale i servizi tecnologici statunitensi (es. cloud, ecc.) nella vita quotidiana e nel lavoro e dunque sarebbe come dire ad un affamato con un bel piatto fumante davanti a sé, di non mangiare più perché “non è poi così buono”. Le persone hanno bisogno di conoscere gli ingredienti in trasparenza per essere liberi di decidere se è il caso di pranzare o meno. 

I legislatori devono aiutarli a discernere se quel piatto contiene ingredienti comunque digeribili che al massimo procurano un leggero fastidio o completamente velenosi e tali da evitarli.

Mantenere il controllo delle proprie informazioni è un diritto umano fondamentale in una società evoluta e democratica.

Un altro importante aspetto da valutare è che questa sentenza, a mio avviso, ha fatto anche emergere un altro fatto indiretto del quale non si parla. Ci si concentra sul trasferimento dei dati personali negli USA ma degli altri Paesi extra UE che non sono parimenti adeguati quali potrebbero essere le basi di liceità più corrette e le misure supplementari da adottare? Con questa sentenza per semplice analogia ci si dovrebbe occupare anche di quelli.

In sintesi, ritengo che è stato aperto il vaso di Pandora e che senza trasparenza “internazionale” questi problemi causino anche un aumento potenziale di rischiosità sanzionatorie per le imprese che continuassero a trasferire i dati personali come se nulla fosse cambiato. 

In ultimo, con il GDPR, non si può improvvisare l’impostazione privacy by design e by default. È e sarà sempre più complesso: occorre sempre essere molto aggiornati per adottare le misure richieste dalle norme ma anche dal mercato.

Ne parleremo anche il 20 novembre 2020 al nostro consueto convegno nazionale organizzato con il gruppo di lavoro dell’Ordine dei Dottori Commercialisti di Torino e con il Politecnico di Torino».

CONDIVIDI SUI SOCIAL

Condividi su linkedin
Condividi su twitter
Condividi su facebook
Condividi su whatsapp
Condividi su email

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

6 + 1 =