Da Wired.it :
La sentenza Schrems II ha fatto saltare l’accordo detto Privacy Shield tra Unione europea e Stati Uniti. Ecco come organizzare oggi un trasferimento in regola
La sentenza della Corte di giustizia europea dello scorso luglio, meglio conosciuta come Schrems II (Caso C-311/18), ha lasciato molti addetti ai lavori con l’amaro in bocca. La Corte ha invalidato per la seconda volta gli accordi stipulati tra Unione europea e Stati Uniti, il cosiddetto Privacy Shield, che garantivano un salvacondotto per quelle imprese europee e americane impegnate nel trasferimento di dati personali tra i due continenti.
La sentenza ha stabilito che seppur si possa contare ancora sulle Standard Contractual Clauses, sarà necessario una reale valutazione d’impatto (impact assessment) per valutare se il Paese terzo in cui si trasferiscono i dati personali garantisca realmente un livello di protezione adeguato a quello offerto dal Gdpr, il regolamento generale comunitario per la protezione dei dati.
A parte alcune risposte pubblicate dal comitato dei garanti europei (Edpb) qualche giorno dopo la sentenza, nulla più era stato detto con il timore per molti che tutti quei trattamenti che fanno affidamento su provider americani fossero passibili di multa. Qualche giorno fa però l’Edpb ha pubblicato alcuni documenti con alcune indicazioni molto utili su come procedere in questo momento di transizione. Tali raccomandazioni valgono non solo per gli Stati Uniti, ma per qualsiasi Paese terzo.
Le raccomandazioni dell’Edpb
L’Edpb ha pubblicato due raccomandazioni, già per sé una novità visto che solitamente si limita a pubblicare delle linee guida. In entrambi i casi parliamo di strumenti di soft law, non norme vincolanti di primo grado, ma, come precisato da Isabelle Vereecken, a capo del segretariato, le raccomandazioni sono su un gradino superiore rispetto alle linee guida e indicano quello che secondo i garanti europei è il percorso da fare per non essere colti in fallo.
Il primo documento, cui si può mandare un feedback entro il 21 dicembre, raccoglie le misure da adottare quando si trasmettono dati personali al di fuori del territorio dell’Unione europea, in particolare in un Paese terzo con cui la Commissione non abbia stipulato un accordo di adeguatezza. È il caso degli Stati Uniti dopo la sentenza Schrems II. Cosa prevede il documento? La raccomandazione prevede sei passaggi da seguire.
Primo: conoscere la propria situazione
Prima di tutto occorre che chi esporta i dati (che chiameremo “esportatore”) sappia quali dati trasferisce e se tale trasferimento sia necessario e adeguato allo scopo perseguito. Per chi abbia un’azienda da tempo e si è dunque già adeguato al Gdpr, questa non sarà un’attività nuova ma piuttosto un’occasione per rivedere quali e quanti dati si trattano, se viene rispettato il principio di minimizzazione dei dati (per esempio, se per lo scopo X ho bisogno di 3 dati, non ne devo chiedere 6 solo perché potrebbero essere utili in futuro), se è necessario e in quali Paesi terzi questi dati sono trasferiti.
Secondo: scegliere uno strumento giuridico per giustificare il trasferimento dei dati
A quel punto l’esportatore deve verificare se il Paese in cui trasferisce i dati è tra quelli con cui la Commissione ha stipulato un accordo (decisione di adeguatezza, ex articolo 45 Gdpr). Tale lista è in continuo aggiornamento e al momento include Paesi come il Canada, la Nuova Zelanda, la Svizzera, il Giappone, l’Uruguay e altri.
Se vi rientra si può essere un po’ più sereni ma senza abbassare troppo la guardia visto che anche gli Stati Uniti ce l’avevano fino a pochi mesi fa. Se non vi rientra l’esportatore deve valutare l’adozione di uno degli altri strumenti giuridici previsti dall’articolo 46 Gdpr, ricordando che i casi particolari previsti dall’articolo 49, come il consenso dell’interessato, potranno essere usati solamente come eccezioni, per trasferimenti occasionali. Pensare quindi di trasferire enormi quantità di dati dell’interessato semplicemente basandosi sul fatto che questi vi abbia dato il consenso non riparerebbe facilmente da sanzioni.
Terzo: la verifica delle norme del Paese terzo
A quel punto l’esportatore deve verificare il quadro normativo dello Stato terzo in cui trasferisce i dati. Per farlo l’Edpb consiglia di fare riferimento all’altra raccomandazione che ha pubblicato, quella che riporta le garanzie essenziali che un Paese deve avere per poter raggiungere un livello minimo paragonabile allo standard europeo.
Le garanzie essenziali individuate dal comitato sono quattro e si basano sui principi della Carta dei diritti fondamentali dell’Unione europea: il trattamento dei dati che porta a una compressione del diritto alla privacy va giustificato da norme chiare, precise ed accessibili; legittimi motivi di necessità e urgenza provati; un organo indipendente che controlli questo bilanciamento dei diritti; un rimedio effettivo in caso di violazione.
Una valutazione necessaria, per esempio, è proprio quella che riguarda l’invasività e la proporzionalità delle leggi che regolano le intercettazioni da parte delle autorità. Ovviamente in tutti i Paesi, Italia inclusa, esisteranno delle norme che regolano le intercettazioni ma tale possibilità, essendo ampiamente invasiva della privacy degli indagati, prevede sempre dei contrappesi, propri di uno stato democratico.
Anche alla luce delle garanzie essenziali sopra riportate, l’esportatore dovrà dunque verificare che questa proporzionalità ci sia per poter considerare quello Stato come non rischioso per la tutela dei dati personali dei suoi utenti e clienti. Nel caso degli Stati Uniti l’unico modo per continuare a trasferire i dati personali è adottare misure tecniche come la crittografia in modo da impedire tecnicamente l’accesso a tali dati anche da parte delle forze dell’ordine.
Quarto: adottare delle misure aggiuntive
Se si valuta di voler comunque proseguire col trasferimento verso quel Paese, bisognerà individuare delle misure aggiuntive di protezione che garantiscano un livello di privacy adeguato. Tali misure potrebbero variare da caso a caso, a seconda del tipo di dati che si trasferisce, del numero di soggetti cui questi dati passano, della legislazione vigente nel Paese.
Per esempio la crittografia: in alcuni casi infatti un’azienda potrebbe dover consegnare non solo i dati ma anche la chiave crittografica per decifrarli. Per questo la massima sicurezza si avrebbe quando è chi esporta i dati da un Paese europeo a tenere la chiave di decifrazione. Se però i dati sono crittografati e trasmessi ad esempio ad un medico nel Paese terzo, poiché questi sono trasmessi in modo sicuro e il medico può opporre il segreto professionale ad un’eventuale indagine, in questo caso il medico potrebbe custodire la chiave per decifrarli anche se si trova in un Paese terzo.
In altri casi potrebbe essere sufficiente nel caso concreto trasmettere dati pseudonimizzati. In tal caso sarà opportuno che le informazioni aggiuntive utili a ricondurre il dato pseudonimo (es. X9OP6T) alla persona (es. Mario Rossi) siano custodite dall’esportatore e non trasmesse.
Nelle indicazioni dell’Edpb si aggiunge che l’importatore potrebbe dover garantire di non aver creato delle backdoor e che ciò non gli è richiesto né dalla legge né dal governo. Se però le legge gli impedisse di poterlo rivelare, questa clausola sarebbe nulla e di conseguenza il rapporto tra i due dovrebbe interrompersi.
La soluzione suggerita per questa eventualità è presa in prestito proprio dagli Stati Uniti, si tratta del cosiddetto warrant canary. L’importatore dovrebbe almeno ogni 24 ore mandare un messaggio criptato all’esportatore dicendo che non ha ricevuto richieste di accesso ai dati dalle autorità. Se questo messaggio non viene spedito, l’esportatore sa che l’importatore ha ricevuto l’ordine. Tale sistema permette di comunicare attraverso un’omissione ciò che la legge vieterebbe di fare attivamente, salvaguardando entrambe le parti.
L’importatore in generale dovrebbe fare tutto quanto gli è consentito, incluso opporsi in giudizio all’ordine, per impedire l’accesso ai dati personali provenienti dall’Europa. In caso di rischio dunque dovrebbe, d’accordo con l’importatore, poterli cancellare o crittografare e rispedire all’importatore.
Quinto: ricorrere a procedure formali
Una volta scelte le misure aggiuntive idonee, si dovrebbero adottare una serie di procedure formali a seconda dello strumento giuridico che si utilizza. In alcuni casi potrebbe essere necessario chiedere una consultazione al Garante.
Tra gli strumenti previsti dall’articolo 46 ci sono le clausole di contratto standard che la Commissione ha pubblicato un giorno dopo le raccomandazioni dell’Edpb e a cui è possibile mandare un feedback entro il 10 dicembre. Esse disciplinano in modo modulare vari scenari come i rapporti tra titolari, tra titolare e responsabile e viceversa, e tra i responsabili.
Tra le clausole previste troviamo la previsione che chi importa i dati accetti di sottostare alle decisioni vincolanti dello stato membro dell’esportatore, alle decisioni del Garante nazionale, multe incluse, e ad audit di verifica. L’importatore dei dati dovrebbe poi avvisare l’esportatore ogni volta che riceve una richiesta di accesso ai dati da parte dell’autorità riportando come si è comportato e quali effetti ha avuto la richiesta.
L’Edpb ha pensato non solo ai rapporti tra imprese ma anche ovviamente agli utenti, gli “interessati”. Per tutelarli in caso di accesso da parte delle autorità, si può prevedere che importatore ed esportatore debbano notificare la notizia agli interessati e assisterli legalmente quando vogliano far valere i propri diritti nella giurisdizione di un Paese terzo. Il Gdpr con l’articolo 80 ha introdotto la possibilità di farsi rappresentare da un’organizzazione attiva nel campo della privacy come potrebbe essere una associazione dei consumatori.
Sesto: vigilare, vigilare, vigilare
Da ultimo l’Edpb si raccomanda di vigilare a intervalli regolari che non ci siano modifiche al quadro legislativo dello Stato terzo e che dal punto di vista tecnologico le misure adottate restino efficaci nel tempo. Se oggi, per esempio. ci vogliono anni a violare una password di 10 caratteri alfanumerici, con un quantum computer basteranno dei minuti. Ogni misura tecnica ha le sue debolezze ed è sempre solo una questione di tempo prima che queste siano note e che nuove misure di prevenzione siano inventate. Allo stesso modo le norme dei Paesi cambiano, a volte con lentezza a volte con urgenza spinte da eventi eccezionali (come fu l’11 settembre per gli Stati Uniti).
C’è qualche controindicazione?
Da un lato la crittografia resta lo strumento tecnico migliore per tutelare i dati personali, dall’altro gli stessi Paesi dell’Unione europea chiedono accessi privilegiati alle forze dell’ordine per le loro indagini, oggi rallentate dall’uso massiccio di servizi di chat che adottano la crittografia end-to-end impedendo le intercettazioni classiche. Il conflitto tra privacy e sicurezza non è dunque solo terreno di discussione al di là dell’Atlantico.
Potrebbe interessarti anche