1
29 Settembre 2020/ in Focus / di

Cosa succede ai trasferimenti dei dati effettuati per via elettronica extra-UE dopo la sentenza Schrems II  e l’esempio di Google

di Agnese Micozzi

Con il presente articolo si vuole trattare la spinosa questione attinente alla sentenza Schrems II emessa dalla Corte di Giustizia europea il 16 luglio 2020 (causa C-311/18) avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dalla High Court (Alta Corte, Irlanda), con decisione del 4 maggio 2018.
Come noto, il procedimento di rinvio pregiudiziale riguarda l’interpretazione o la validità del diritto europeo nell’ambito di un contenzioso pendente presso una giurisdizione interna di uno Stato membro ed è uno strumento essenziale per garantire l’uniforme applicazione del diritto europeo stesso.
Nel caso in esame, il giudizio riguarda svariate decisioni, fra cui in particolare quella di adeguatezza della Commissione Europea sul Privacy Shield.
La sentenza Schrems II emessa dalla Corte di Giustizia Europea ha scosso notevolmente gli animi dei titolari dei trattamenti in materia di privacy, come avvenuto già nel 2015 al momento della decisione analoga con cui la Corte dichiarava invalido il Safe Harbour.
Ed infatti, nel 2020 la storia si ripete e il sig. Max Schrems ottiene nuovamente una vittoria a seguito del procedimento attivato contro Facebook Irlanda e, tramite un rinvio pregiudiziale del giudice da quest’ultimo adito, la Corte di Giustizia dichiara invalida anche la decisione di adeguatezza della Commissione Europea sul Privacy Shield.
Il ragionamento logico-giuridico seguito è impeccabile, considerando che la sentenza prende le mosse dalla valutazione delle SCC (Standard Contractual Clauses) sulla base della decisione n. 2010/87/CE della Commissione Europea (quale ulteriore normativa oggetto dell’analisi in via pregiudiziale).
Su questi tipi di strumenti, utilizzabili come noto ai fini del trasferimento dei dati personali, al di fuori dell’Unione Europea, la Corte ne conferma la validità, seppur aggiungendo come debbano essere al contempo presenti dei meccanismi efficaci che consentano di assicurare un livello di protezione in concreto equivalente al Regolamento UE suddetto, quale principio stabilito dall’art. 44 del regolamento stesso.
Ne consegue che sempre tali requisiti ulteriori devono garantire anche la sospensione ovvero il blocco in caso di violazione delle clausole quando non è possibile garantirne il precipuo rispetto.
Il ragionamento così chiarito viene applicato del pari nell’analisi del Privacy Shield, per cui quest’ultimo è risultato poi invalido: determinati programmi interni agli Stati Uniti d’America, secondo le normative della FISA, art. 702 e l’Executive Order (EO) 12333, consentendo a determinate autorità pubbliche di accedere ai dati personali trasferiti dall’Unione Europea per esigenze di sicurezza nazionale, non possono assicurare una posizione del privato che sia nella sostanza equivalente a quella del Reg. UE 679/2016, in special modo riguardo la tutela giurisdizionale effettiva; pertanto la decisione di adeguatezza della Commissione europea sul punto non può considerarsi valida.
La conseguenza è che ogni trasferimento verso gli U.S.A. per via elettronica deve ritenersi illegale se effettuato sulla base del Privacy Shield, salvo la sussistenza di garanzie supplementari, che appunto possano permettere di garantire una protezione equivalente a quella fornita dal RGPD, come detto sopra.
Non avendo previsto un periodo transitorio per adeguarsi a tale decisione, vale la regola suddetta, ossia l’immediata applicazione di quanto deciso in sentenza, perché, secondo la Corte, l’art. 49 riesce a colmare l’eventuale lacuna giuridica così provocata.
Infine, risulta espressamente enunciato il principio per cui ogni trasferimento effettuato extra UE deve perseguire un livello di protezione in via sostanziale equivalente al RGPD e pertanto solo all’esito di questo tipo di valutazione è possibile decidere se il trasferimento è realizzabile o meno.
Alla luce di quanto considerato, occorre precisare cosa s’intende con garanzie supplementari, condizioni divenute determinanti ai fini della valutazione del parametro dell’equivalenza sostanziale, come chiarite dalle F.A.Q. preparate dall’EDPB (European Data Protection Board).
Si tratta in generale di ogni misura verificabile dai soggetti interessati (denominati importatore ed esportatore) al fine di garantire detto parametro e quindi di conseguenza un livello di protezione adeguato affine al Reg. UE 679/2016.
Questo tipo di misure, nonché la valutazione secondo il principio di equivalenza sostanziale, vengono messe in pratica anche in caso di SCC, come accennato sopra.
Residuano poi le eccezioni previste dall’art. 49 Reg. UE 679/2016, ossia la possibilità di procedere al trasferimenti in mancanza di una decisione ex art. 45 o di garanzie adeguate ex art. 46, fra cui spicca il consenso, relativo all’ipotesi in cui è proprio il soggetto interessato ad autorizzare il trattamento, purché sussistano determinate condizioni.
Sul punto l’EDPB nelle suddette F.A.Q. cerca di fare chiarezza, partendo in primis dalla valutazione dell’utilizzo del consenso quale strumento valido ex art. 49 Reg. UE 679/2016.
L’istituto in questione spiega chiaramente che il consenso può essere utilizzato quando ritenuto valido nella sua formazione, ossia esplicito, specifico e informato; nei casi ulteriori di cui all’art. 49 suddetto, come quello dell’esecuzione di un contratto, tale trasferimento deve essere occasionale, nonché nel caso di motivi di interesse pubblico, l’EDPB chiarisce che detti motivi devono essere rilevanti e limitati nella quantità, evitando il trasferimento su larga scala e in modo sistematico.
Ad ogni modo, l’EDPB richiama sul punto le proprie linee guida.
Rimane inoltre chiaro che anche in questo caso il principio dell’equivalenza sostanziale deve poter trovare applicazione.
Una volta analizzata la sentenza e il suo contesto ci si chiede quali siano le conseguenze per le grandi imprese: come intenderanno trattare il trasferimento dei dati all’estero colossi come Google?
Si ritiene doveroso premettere che la questione, per quanto la sentenza Schrems II abbia effetti immediati, è doverosa di profonde riflessioni e revisioni degli strumenti finora analizzati: probabilmente siamo ancora in una fase in divenire, se si pensa alle opportunità di miglioramento che sono sviluppabili dai soggetti interessati, nonché quelle di vedere accrescere la cultura in materia e la stessa mentalità a ciò relativa.
Per questo, s’intende qui analizzare quale spunto di riflessione quanto finora realizzato da Google, come verificabile dall’aggiornamento dell’informativa privacy del 28 agosto 2020.
L’informativa in particolare, nella parte relativa appunto ai trasferimenti dei dati al di fuori dell’UE, non sembra aver profondamente innovato il suo approccio ad una prima lettura, richiamando ancora il Privacy Shield.
Proseguendo nella lettura, l’informativa specifica che i paesi all’interno dello Spazio Economico Europeo, nella parte “Requisiti giuridici europei” vedono quale soggetto titolare del trattamento Google Ireland Limited, ossia una consociata di Google, avente sede all’interno dell’UE.
Tale informazione è del tutto insufficiente, dal momento che viene anche specificato che i server di Google sono situati in tutto il mondo, pertanto, vengono poi indicate le basi giuridiche del trasferimento: consenso dell’interessato, obblighi legali, interessi legittimi, fornitura di servizi.
L’art. 49 prevede espressamente la possibilità di usufruire del consenso, dell’esigenza di difesa in sede giudiziaria, dei motivi di interesse pubbliche e della necessità di eseguire un contratto: ciò significa che le basi legali individuate da Google nella parte “Requisiti europei” tentano di adeguarsi all’art. 49, proponendo l’applicazione dei casi di eccezione ivi indicati.
La conseguenza evidente per gli utenti riguarda la diversità di strumenti da valutare, oltre ad una lettura attenta e ragionata dell’informativa privacy in questione, che sono: la valutazione delle richieste di consenso di Google, ad esempio nella fornitura dei servizi di Google Chrome, allorquando richiede il consenso a fini pubblicitari, per la conservazione della cronologia Youtube e per poter fornire annunci secondo i propri interessi (entrando qui in un’area scivolosa come quella della profilazione); il controllo privacy eseguibile sulla base dei servizi che vengono effettivamente utilizzati e la possibilità di gestire secondo le proprie esigenze il livello di protezione dei dati e quindi di privacy (ad esempio per evitare di condividere determinati dati o per chiederne la cancellazione).
Risulta chiaro che tali strumenti non possono essere considerati risolutivi perché poco chiari e dettagliati e ad ogni modo non sempre di facile comprensione per ogni tipologia di soggetto, per quanto si apprezzi il tentativo di maggiore trasparenza (ad es. nella pagina relativa agli annunci pubblicitari).
Sul punto è sempre bene ricordare che l’informativa ha ben altri parametri per la sua redazione, come ad esempio la chiarezza e facile comprensibilità per chiunque, nonché la sinteticità.
Una problematica non da poco quindi è quella della dispersione con cui le informazioni relative alla privacy vengono fornite, se si pensa che per comprendere e approfondire determinati concetti (ad es. su come i dati vengono mantenuti in sicurezza) è necessario aprire ulteriore schede tramite appositi link; alle volte ci sono richiami ulteriori ad altre schede, ingenerando in questo modo una confusione generale su quanto effettivamente viene realizzato in materia di privacy.
Le stesse domande frequenti (F.A.Q.) non rispondono affatto alla questione in oggetto, per quanto invece essa sia di precipua importanza e di sicuro foriera di dubbi.
Per concludere, ulteriore strumento in mano all’utente che usufruisce i servizi di Google ed esporta dati può essere una richiesta espressa di contatto con Google, al fine di avere precisi chiarimenti sull’adozione di tali misure (ricercando i relativi moduli web forniti da Google), con successivo onere di decidere se perseguire o meno il rapporto con detta società, a seconda dei riscontri ricevuti.
L’auspicio ad ogni modo è quello di ulteriori aggiornamenti e revisioni da parte delle società americane coinvolte, come Google, ma sono solo: si spera in un intervento legislativo veramente risolutivo a livelli più alti negli U.S.A. e un intervento dell’EDPB con specifiche Linee Guida.
E’ evidente altrimenti il procrastinarsi di una situazione di incertezza circa il da farsi e tutte le difficoltà nel comprendere la validità delle decisioni intraprese, circostanze che si ripercuotono pesantemente sui titolari e responsabili dei trattamenti, onerati di decisioni oltremodo importanti ai fini dell’esigenza di proteggere i dati personali, ossia dei diritti fondamentali.

Bibliografia
– F.A.Q. formulate dall’EDPB, tradotte dal Garante Privacy italiano disponibili qui
https://www.garanteprivacy.it/documents/10160/0/FAQ+dell%27EDPB+sulla+sentenza+della+Corte+di+giustizia+dell%27Unione+europea+nella+causa+C-311_18.pdf/d2f928b2-ab57-ae7c-8f17-390664610d2c?version=3.0
– Sentenza Schrems II del 16 luglio 2020, causa C-311/18 emessa dalla Corte di Giustizia UE disponibile qui http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=IT&mode=lst&dir=&occ=first&part=1&cid=11388612
– Informativa privacy Google del 28 agosto 2020 disponibile qui https://policies.google.com/privacy
– modulo web di Google per domande sul tema del Privacy Shield disponibile qui https://support.google.com/policies/contact/general_privacy_form

Tags: / / / / /