Con una recentissima sentenza datata 16 Luglio 2020, la Corte di Giustizia UE (massimo organo giurisdizionale europeo) ha sentenziato l’invalidità del “Privacy Shield” o meglio lo Scudo USA-UE per il trasferimento dei dati personali dei cittadini europei e persone stabilite nell’UE.
Per comprendere la portata di questa decisione, è necessario un breve passo indietro. La circolazione di dati personali è libera all’interno dell’UE dove vige un livello di protezione degli individui piuttosto elevato (ed uniforme, grazie all’entrata in vigore, nel 2018, del GDPR). Il trasferimento di dati personali al di fuori dell’Unione Europea può essere invece problematico. Questo perché dal trasferimento può derivare una diminuzione delle tutele a favore degli individui (si badi bene, si tratta sempre di individui residenti o stabiliti in Europa). Poiché l’Unione Europea difficilmente può esercitare poteri coercitivi e sanzionatori verso soggetti che sono al di fuori del suo territorio, agisce in tal caso responsabilizzando l'”esportatore” di dati. Come? Obbligandolo ad effettuare una serie di controlli prima di procedere all’esportazione ed a garantire una serie di presidi.
Facciamo un esempio semplice, che possa essere compreso facilmente. Poniamo che un negozio di prodotti di bellezza raccolga gli indirizzi e-mail dei clienti per poter inviare periodicamente comunicazioni promozionali. Il negozio si trova in Italia e, di conseguenza, i clienti sono per la maggior parte stabiliti nell’UE. Per inviare le comunicazioni promozionali, il gestore del negozio utilizza un servizio online. Poniamo che questo servizio sia fornito (magari gratuitamente) da un’azienda che ha sede negli Stati Uniti, e i cui server si trovano negli Stati Uniti. Questo significa ovviamente che i dati di contatto dei clienti sono esportati, per iniziativa del gestore del negozio, negli Stati Uniti. E qui nascono i problemi. Il primo: la facilità di utilizzo di questo tipo di strumenti spesso fa sì che chi esporta i dati non se ne renda neppure conto. Il secondo: nel conferire i dati a terzi, spesso non ci preoccupiamo di verificare se questi terzi fanno un utilizzo dei dati autonomo al di fuori del nostro controllo. Il terzo: non sempre siamo in grado di comprendere se affidando a soggetti terzi i dati dei nostri clienti (ma potrebbero essere dipendenti, fornitori, target, e chissà cos’altro) i dati sono adeguatamente protetti.
Per ovviare (soprattutto) a quest’ultimo problema, e facilitare il business sulle due sponde dell’Atlantico la Commissione Europea ed il Governo USA hanno alcuni anni fa stipulato un accordo, per l’appunto, il Privacy Shield. L’accordo prevede che le aziende americane che intendono trattare dati provenienti da imprese ed organizzazioni europee autocertifichino la sussistenza di standard minimi di protezione. Queste imprese vengono inserite in una lista pubblica consultabile online. Di conseguenza, le imprese ed organizzazioni europee che intendono trasferire dati negli USA, non faranno altro che verificare l’iscrizione dell’impresa importatrice alla Privacy Shield List. L’iscrizione a detta lista fa prova della diligenza dell’esportatore, al quale non viene imposto alcun obbligo di verifica sostanziale. Insomma, un’autostrada preferenziale il cui obiettivo (neppure troppo celato) è quello di non ostacolare il business tra Europa ed America (con un’America in grado di offrire prodotti digitali più evoluti ed un’Europa bisognosa di usufruirne per agganciare il treno della digitalizzazione).
Un trattamento di favore che, fin dall’origine, ha fatto storcere il naso a non pochi tecnici della privacy. Perché? Il motivo non risiede tanto (come si potrebbe credere) nella aggressività di molte corporations americane nel fare uso dei dati personali senza rispettare i diritti degli individui. Piuttosto, il motivo risiede nella sempre più forte invadenza degli USA, come governo o, più in generale, entità pubblica, nei dati delle persone. Una invadenza ed ingerenza che ha origine nelle misure post-11 settembre ma che non è mai uscita dallo stato di emergenza di allora. Insomma, quello che sostiene la Corte di Giustizia è che i dati dei cittadini e residenti UE, una volta entrati in un server che ha sede negli USA, sono in balia del controllo da parte delle autorità americane, e che questo controllo, dai poteri vastissimi, non è neppure bilanciato da adeguate forme di tutela amministrativa o extra-giudiziale. Questa valutazione ha portato la Corte di Giustizia ad annullare, e quindi rendere inefficace, l’accordo.
Cosa resta da fare alle aziende italiane ed europee che si trovano, di punto in bianco, orfane del Privacy Shield? Prima di tutto, mappare la collocazione dei dati personali e verificare se e quali dati si trovano negli USA (molti provider, pur americani, utilizzano server nella UE dedicati ai clienti europei; in questo caso ovviamente, il problema non sussiste, almeno per il momento). Non è un lavoro facilissimo perché, come detto, spesso ci sfugge che utilizzare un servizio web può significare condividere dati. In seconda battuta, contattare i provider di servizi per comprendere se stanno modificando (o hanno intenzione di farlo) la loro politica di allocazione dei dati, oppure se offrono già dei servizi equivalenti appoggiandosi su server nell’UE. Infine, risolvere il problema e rientrare nella legalità perduta. Come? Il GDPR offre, come possibilità alternativa, l’utilizzo di clausole contrattuali standard (SCC) tra esportatore ed importatore, ma tutti gli oneri di controllo e le responsabilità ricadono sempre sull’esportatore, cioè sull’impresa italiana. Ma questa sarebbe una mezza soluzione, perché se il problema di esportare dati negli USA è l’ingerenza dello Stato, sarà difficile proteggere di fatto i dati esportati semplicemente adottando delle clausole contrattuali con l’importatore. La verità è che, in assenza di una risposta proattiva da parte dei provider di servizi l’unica alternativa sarà abbandonare i provider stessi a fronte dell’adozione di soluzioni “europee”. Potrebbe essere un importante stimolo alla crescita dell’economia digitale made in EU. Ma, a breve periodo, una brutta tegola per le imprese e startup abituate ad utilizzare servizi veloci, efficienti e low cost che in molti ambiti solo il mercato americano è oggi in grado di offrire.