Il 16 luglio 2020 la Corte di Giustizia Europea ha giudicato illeciti i trattamenti dei dati da parte di aziende statunitensi quali Google, Amazon, Microsoft, Apple. Se sei un’azienda e utilizzi questi servizi, c’è una soluzione per evitare le sanzioni.

Partiamo da un presupposto: i Big Player high tech statunitensi non possono trattare i dati che vengono loro affidati in modo adeguato al GDPR.

Sembra un’affermazione forte ma è esattamente quanto deriva dall’applicazione della sentenza Scherms II ( Sentenza della Corte di Giustizia Europea del 16.7.2020 nella causa C-311/18), riassunta nel comunicato stampa della Corte di Giustizia Europea.

I Big Player statunitensi non possono più ricevere dati personali dalla UE: il Privacy Shield è stato giudicato non idoneo; servizi quali e-mail, telefonia ip, sms, social media, cloud gestiti attraverso aziende basate negli USA non rispettano più la normativa vigente

Sino al 16 luglio 2020 l’adeguatezza nella gestione dei dati da parte dei Big Player statunitensi era garantita dalla Decisione della Commissione Europea n.1250/2016, detta Privacy Shield, in forza della quale veniva introdotto un meccanismo di autocertificazione per le società stabilite negli USA che intendessero ricevere dati personali dalla UE. In particolare le società per essere certificate e comparire nella Privacy Shield List dovevano impegnarsi a rispettare i principi contenuti nel Privacy Shield che di fatto richiamavano le tutele previste dal GDPR.

La sentenza Scherms II, dichiarando di fatto l’illegittimità della Decisione della Commissione Europea n.1250/2016 (Privacy Shield), ha evidenziato come il contesto normativo vigente negli Stati Uniti non sia idoneo ad assicurare tutele e garanzie previste dal GDPR.

Il contesto normativo statunitense: le ragioni della non idoneità

Il contesto normativo cui la sentenza fa riferimento è dato dall’insieme delle seguenti norme:

Clarifying Lawful Overseas of Data (C.L.O.U.D.) Act,

– Sezione 702 Foreign Intelligence Surveillance Act (F.I.S.A),

Excecutive Order 12333

In estrema sintesi la previsione congiunta di tali norme, consente al Governo Statunitense di effettuare attività di controllo fisico ed informatico su soggetti privati – anche se non sospettati di essere coinvolti in attività terroristiche.

In particolare il Cloud Act introduce una modifica al codice penale americano secondo cui i provider di servizi di comunicazioni elettroniche quali e-mail, telefonia ip, sms, social media (ECS) e i provider di servizi di archivio ed elaborazione dati da remoto, quali i cloud provider (RCS) devono “preservare, registrare o comunicare dati e informazioni trattati e riguardanti i propri clienti, a prescindere dal fatto che i dati stessi siano localizzati all’interno o all’esterno degli Stati Uniti

Forze dell’ordine e agenzie d’intelligence statunitensi, quindi, hanno il diritto di acquisire qualunque dato informatico a prescindere dal luogo in cui questi siano fisicamente archiviati, essendo sufficiente che i provider di tali servizi siano sottoposti alla giurisdizione degli Stati Uniti, quindi non solo società americane(Google, Microsoft, Amazon, Apple per elencarne alcune) ma anche società controllate da società americane (le controllate europee di Google, Microsoft, Amazon, Apple per elencarne alcune) e pure società europee abbiano una filiale negli Stati Uniti.

Il framework giuridico descritto ha portato la Corte di Giustizia Europea a dichiarare la non adeguatezza degli Stati Uniti rispetto alle tutele e garanzie previste dal GDPR e di conseguenza, l’illegittimità dei trattamenti da parte delle aziende che direttamente o indirettamente siano soggette all’applicazione di tale framework giuridico.

Le SCC (Standard Contractual Clouses) richiamate da Google e dagli altri operatori in sostituzione del Privacy Shield non rispettano i requisiti del GDPR; non possono essere considerate una soluzione accettabile

In questi giorni, nel tentativo di trovare una soluzione alla questione, Google ha inviato a moltissimi utenti una comunicazione con cui ha dichiarato che successivamente alla sentenza Scherms II, il fondamento giuridico in forza del quale vengono trattati i dati, venuto meno il Privacy Shield, sarebbero le SCC (Standard Contractual Clouses): un accordo negoziale che di fatto impegna gli aderenti a rispettare le modalità di trattamento dei dati e a riconoscere i diritti e le garanzie previste dal GDPR.

Come Google così molte altre aziende e alcuni commentatori hanno ritenuto che la soluzione fosse idonea a riportare i trattamenti dei dati così regolamentati nel perimetro di liceità previsto dal GDPR.

Le SCC però sono esclusivamente accordi contrattuali che vincolano le parti nel rispetto del contesto normativo in cui vengono applicate; cioè devono cedere il passo rispetto a una differente e contraria previsione normativa.

In altre parole le SCC invocate da Google e dagli altri Big Player non potranno essere validamente opposte alla richiesta di accesso e ispezione presentata da un’Agenzia Governativa statunitense formulata sulla base del Cloud Act, della Sezione 702 del Foreign Intelligence Surveillance Act (F.I.S.A) o dell’Excecutive Order 12333.

Le SCC, pertanto, non sono uno strumento di per sé idoneo a garantire il rispetto del GDPR negli Stati Uniti.

La mancanza di alternative equivalenti in Europa

La sentenza Scherms II ha di fatto dichiarato che il trattamento dei dati fatto basandosi su servizi cloud e di comunicazione prestati da provider direttamente o indirettamente sotto la giurisdizione statunitense è illegittimo in quanto non rispetta gli standard di riservatezza previsti dal GDPR, quindi le aziende europee (e quindi soggette al GDPR) che continuano ad avvalersi dei servizi prestati da Google, Microsoft, Amazon, Apple, Facebook per elencarne alcune, sono potenzialmente sanzionabili dai Garanti nazionali.

Inoltre la sentenza Scherms II è immediatamente esecutiva e in mancanza di previsioni contrarie da parte dei Garanti (ad oggi nessuno si è espresso in tal senso) non viene riconosciuto neppure un “temine di grazia”, non viene cioè concesso alle aziende un termine per adeguarsi migrando su provider non soggetti alla giurisdizione statunitense.

E’ inoltre un dato di fatto che ad oggi in Europa non esistano società – che non siano direttamente o indirettamente soggette alla giurisdizione statunitense – in grado di erogare i servizi integrati ed evoluti con pari livello di affidabilità, sicurezza, innovazione e costo dei provider americani più conosciuti.

Questo gap tecnologico colloca oggi le aziende europee tra l’incudine (la sanzionabilità se mantengono i propri dati presso i provider americani) e il martello (la difficoltà di trovare servizi analoghi forniti da provider europei).

Ricerca costante di un’alternativa possibile e programmazione delle attività la soluzione per evitare le sanzioni; il Registro del Titolare il luogo deputato a documentare questa attività

C’è però una buona notizia: il Regolamento UE 2016/679 e l’interpretazione applicativa del Garante richiedono che il processo di adeguamento venga programmato tenendo in considerazione l’infrastruttura aziendale esistente, il budget a disposizione e la tipologia di business; intenzione e finalità del Garante infatti non è sanzionare ma stimolare il percorso di adeguamento.

In questa ottica, tenuta in considerazione la mancanza di provider di servizi svincolati dalla giurisdizione statunitense e tecnologicamente ed economicamente equivalenti ai Big Player, si ritiene che alle aziende europee non resti che intraprendere e aggiornare costantemente un’attività di ricerca di mercato per trovare idonee alternative.

Detta attività, se documentata e tecnicamente argomentata nell’apposita sezione del Registro del Titolare, potrà essere considerata prova di una condotta adeguata al GDPR e questo sino alla migrazione ad un provider compliant o alla sempre possibile nuova pronuncia della Commissione Europea che rimetta in pista i provider “americani”.

8 Ottobre 2020