Il trasferimento di dati tra l'UE e gli Stati Uniti è uno dei temi più discussi nell'ambito della legge sulla protezione dei dati. Innumerevoli aziende e agenzie governative in tutta Europa dipendono in qualche modo da un elaboratore con sede negli Stati Uniti per le loro attività. Tuttavia, questi trasferimenti di dati comportano rischi per la privacy che sono difficili, se non impossibili, da mitigare.
Abbiamo già parlato dei trasferimenti di dati in un blog che riassume la lunga storia delle decisioni della DPA contro Google Analytics. Questa volta, tuttavia, esamineremo i trasferimenti di dati da un punto di vista più generale e cercheremo di spiegare più dettagliatamente le questioni legali in gioco.
- Come funzionano i trasferimenti di dati ai sensi del GDPR?
- Trasferimenti di dati negli Stati Uniti. Una storia lunga e breve
- Misure supplementari per il trasferimento dei dati
- L'approccio basato sul rischio
- E ora?
- Aggiornamenti
- Conclusioni
Come funzionano i trasferimenti di dati ai sensi del GDPR?
Il GDPR contiene ogni sorta di regole per proteggere i diritti dei dati delle persone. Ma cosa succede quando i vostri dati vengono trasferiti in un Paese terzo al di fuori del SEE?
Il GDPR contiene un capitolo specifico sul trasferimento dei dati, composto da sette articoli (44-50). Queste norme mirano a garantire che i dati personali godano dello stesso livello di protezione quando vengono trasferiti1.
In termini pratici, un trasferimento di dati verso un Paese terzo è lecito solo se si basa su uno dei diversi meccanismi elencati dal GDPR. Per essere brevi, ci concentreremo su quelli che contano davvero nella pratica: le decisioni di adeguatezza e le clausole contrattuali standard.
Decisioni di adeguatezza
Le decisioni di adeguatezza sono decisioni della Commissione europea che sostanzialmente danno il via libera ai trasferimenti di dati verso un determinato Paese2. Prima di prendere una decisione di adeguatezza, l'ordinamento giuridico del paese in questione viene esaminato in modo approfondito e si accerta che garantisca un livello di protezione sufficiente3.
Se avete una decisione di adeguatezza per il trasferimento di cui avete bisogno, siete fortunati. Le decisioni di adeguatezza sono un modo semplice e senza problemi per trasferire i dati. Tuttavia, esse coprono solo un numero limitato di Paesi.
Tenete presente che le decisioni di adeguatezza non sono decisioni politiche. In altre parole, la Commissione non è libera di dichiarare un Paese adeguato solo perché le piace o perché è un alleato politico; deve assicurarsi che i trasferimenti di dati verso quel Paese siano effettivamente sicuri e deve tenere conto di alcuni criteri specifici. La Corte di giustizia può invalidare una decisione di adeguatezza per un Paese che non soddisfa questi criteri, come è accaduto due volte per gli Stati Uniti.
Clausole contrattuali standard
Quando non si può fare affidamento su una decisione di adeguatezza, è necessario un altro meccanismo per il trasferimento dei dati. L'articolo 46 ne elenca sei, ma in pratica probabilmente utilizzerete le clausole contrattuali standard (SCC)4.
Le SCC sono un insieme di clausole standard redatte dalla Commissione europea5. Quando qualcuno trasferisce dati a un paese terzo, deve includere queste clausole in un accordo giuridicamente vincolante con il destinatario. Le SCC, quindi, rendono idealmente sicuro un trasferimento, implementando le norme sulla protezione dei dati in un contratto tra le parti.
La principale lacuna delle SCC è che non vincolano lo Stato destinatario. Per questo motivo, forniscono una protezione minima o nulla contro la sorveglianza dello Stato. Ciò non significa che le SCC non possano essere utilizzate quando si ha a che fare con Paesi "non sicuri". In tal caso, saranno necessarie "misure supplementari", come nel caso dei trasferimenti di dati dagli Stati Uniti.
In altre parole, il responsabile del trattamento deve assicurarsi che le SCC garantiscano una protezione sufficiente nella pratica e, in caso contrario, deve adottare misure supplementari per mantenere la riservatezza dei dati. Come vedremo, questo è molto difficile quando si tratta di sorveglianza statale.
Che dire di altri meccanismi?
Come abbiamo detto, il GDPR prevede strumenti di trasferimento diversi dalle decisioni di adeguatezza6, ma nella pratica non vengono utilizzati di frequente. Le norme vincolanti d'impresa (BCR) sono utilizzate per trasferire i dati all'interno delle filiali di una società. Tuttavia, le grandi aziende di solito preferiscono costituire società separate nel SEE e controllarle attraverso la proprietà del capitale (si pensi a Google Ireland e Meta Ireland). Le certificazioni e i codici di condotta potrebbero affermarsi in futuro, ma al momento non sono molto utilizzati.
In particolare, tutti questi strumenti soffrono degli stessi problemi delle SCC quando si tratta di Stati "non sicuri", perché non vincolano lo Stato destinatario (gli strumenti giuridicamente vincolanti tra enti pubblici sono un'eccezione, ma i soggetti privati non possono fare affidamento su di essi).
Trasferimenti di dati negli Stati Uniti. Una storia lunga e breve
Per capire a che punto siamo oggi con i trasferimenti di dati negli Stati Uniti, dobbiamo dare una rapida occhiata a una storia decennale di battaglie legali.
Schrems I
Dal 2000 al 2015, i trasferimenti di dati tra l'UE e gli Stati Uniti sono stati coperti da un accordo di trasferimento dati chiamato Safe Harbor.
Nel 2013 il whistleblower americano Edward Snowden ha divulgato documenti riservati sulle operazioni della CIA e della NSA. Le rivelazioni contenevano documenti sulle operazioni di raccolta di dati in massa che avevano come obiettivo cittadini stranieri su larga scala e si basavano sulla sezione 702 della legge FISA e sull'ordine esecutivo 12333.
Poco dopo le rivelazioni di Snowden, il cittadino austriaco Max Schrems ha presentato un reclamo contro Facebook Ireland presso l'autorità di vigilanza irlandese (DPC). Egli sosteneva che il trasferimento dei suoi dati personali a Facebook Inc. non era sicuro e illegale a causa dell'estensione e della pervasività della sorveglianza di Stato negli Stati Uniti, come documentato dai file di Snowden.
Nel 2015 il caso è approdato alla Corte di giustizia dell'UE, che ha dato ragione a Schrem e ha invalidato il regime Safe Harbor.
Schrems II
Il caso di Schrems è proseguito ed è stato rinviato alla CGUE una seconda volta. Nel 2020 la Corte si è nuovamente pronunciata a favore di Schrems. Ha invalidato il Privacy Shield, un altro quadro per il trasferimento dei dati che ha sostituito il regime Safe Harbor tra le due sentenze Schrems.
Nel caso è stata messa in discussione anche la validità delle SCC come meccanismo di trasferimento. Nella sentenza, la Corte non ha invalidato i centri di cooperazione transfrontaliera. Tuttavia, ha dichiarato che erano necessarie misure supplementari per proteggere i dati dalle pratiche di sorveglianza in Paesi "non sicuri" come gli Stati Uniti. In altre parole, la Corte ha "risparmiato" le SCC, ma ne ha anche reso più complicato e oneroso l'utilizzo.
Nel complesso, la sentenza Schrems II ha reso molto più complicati i trasferimenti di dati verso gli Stati Uniti. Dopo l'invalidazione dello Scudo per la privacy, le aziende non possono più fare affidamento su una decisione di adeguatezza e devono ricorrere ad altri strumenti (in genere i CS). Devono inoltre implementare misure supplementari adeguate per contrastare il rischio di sorveglianza da parte dello Stato.
I 101 reclami
Nonostante il panico diffuso per i trasferimenti di dati, la maggior parte delle aziende ha continuato a lavorare come al solito e a trasferire dati negli Stati Uniti come se lo Schrems II non fosse esistito.
Ma subito dopo la sentenza Schrems II, noyb (una ONG per la privacy fondata da Schrems) ha presentato 101 reclami incentrati sui trasferimenti di dati. Le denunce sono state presentate alle autorità di protezione dei dati di diversi Stati membri e riguardano siti web che utilizzano i servizi statunitensi Google Analytics e Facebook Connect. Queste denunce rappresentano uno sforzo strategico per indurre le autorità di protezione dei dati europee ad applicare rigorosamente la sentenza Schrems II.
L'EDPB (acronimo di European Data Protection Board, un'istituzione europea che riunisce tutte le DPA europee) ha successivamente creato una task force per coordinare l'approccio delle DPA europee alle denunce di Noyb. A quanto pare, la task force ha fatto un buon lavoro: finora tre DPA hanno accolto i reclami contro Google Analytics e la DPA olandese ha dichiarato che potrebbe seguirla. In un recente comunicato stampa, anche la DPA danese ha adottato lo stesso approccio e ha dichiarato illegale l'uso di Google Analytics.
Ma il problema è più grande di GA. Il ragionamento che ha portato a vietare l'uso di Google Analytics in alcuni Stati membri potrebbe un giorno portare al divieto di molti altri servizi, compresi i servizi cloud che attualmente sono praticamente indispensabili per l'economia europea.
Misure supplementari per il trasferimento dei dati
E ora la domanda da un miliardo di dollari: quali misure supplementari sono efficaci contro la sorveglianza statunitense?
L'EDPD ha suggerito alcune soluzioni nelle sue linee guida sulle misure supplementari, ma sono poche e tutte presentano limiti significativi. Va notato che si tratta solo di suggerimenti generali: non esiste una risposta univoca alla domanda, poiché le misure di sicurezza devono essere scelte e valutate caso per caso.
Crittografia
È necessario fare una distinzione fondamentale tra la crittografia end-to-end e altre forme di crittografia.
Lacrittografia end-to-end può essere una salvaguardia efficace7. Tuttavia, limita anche l 'utilizzo dei dati. Alcune operazioni di elaborazione sono più difficili con i dati crittografati, mentre altre richiedono semplicemente l'accesso ad alcuni dati in chiaro. Ad esempio, il fornitore di un servizio di posta elettronica crittografata end-to-end deve elaborare l'indirizzo del mittente e del destinatario in chiaro per consegnare la posta. Queste informazioni sono ancora dati personali ai sensi del GDPR.
D'altra parte, la crittografia non end-to-end non è mai una salvaguardia efficace. Se il fornitore di servizi possiede una chiave di decodifica8, può essere obbligato a consegnarla ai sensi della FISA insieme ai dati crittografati. In altre parole, i vostri dati sono in una cassaforte, ma le aziende possono essere costrette a consegnare la chiave. Questo è il motivo per cui le autorità di protezione dei dati austriache, francesi e italiane hanno considerato irrilevante la crittografia dei dati di Google Analytics quando hanno trattato le denunce di noyb.
Per essere chiari, la crittografia non end-to-end è ancora una misura di sicurezza informatica utile, in quanto protegge efficacemente dagli attacchi. Ma non è affatto utile per i trasferimenti di dati negli Stati Uniti.
Server proxy
La DPA francese ha proposto i server proxy come una salvaguardia efficace per l'utilizzo di Google Analytics. Lo sono, ma non possono essere utilizzati per tutti i trasferimenti di dati. Sono inoltre onerosi e costosi da implementare, come riconosce la stessa DPA francese.
L'idea è semplice in teoria: invece di inviare i dati direttamente a Google, li si fa passare attraverso un server proxy e si filtrano o anonimizzano tutti i dati personali prima di inviarli a Google.
Il problema è che l'utente deve ospitare ed eseguire Google Analytics sul proprio server. Ciò significa che dovete occuparvi della manutenzione del server e tenere aggiornato manualmente il software, oltre a scrivere il codice per anonimizzare i dati personali. È molto più complicato e costoso che pagare un'alternativa conforme al GDPR.
Inoltre, questa soluzione richiede il controllo completo dell'infrastruttura. Questa non è un'opzione interessante per l'utilizzo di servizi cloud, poiché il vantaggio principale dei cloud è che non è necessaria alcuna infrastruttura fisica, tanto per cominciare.
Pseudonimizzazione
L'EDPB suggerisce anche la pseudonimizzazione9. In poche parole, la pseudonimizzazione significa che è possibile trasferire solo dati che non possono essere utilizzati per identificare nuovamente l'interessato, anche in combinazione con altri dati.
La pseudonimizzazione non è un'anonimizzazione ai sensi del GDPR, ma può sicuramente essere una misura utile per la privacy. Può anche essere difficile da implementare correttamente. Sostituire gli identificatori con pseudonimi non è sufficiente, poiché potrebbe essere necessario elaborare e trasferire molti altri dati potenzialmente identificativi. In alcuni casi, una corretta pseudonimizzazione di tutti i dati trasferiti sarà impossibile o renderà il trattamento praticamente inutile.
Il responsabile del trattamento deve anche considerare il collegamento dei dati, ossia la possibilità che qualcuno possa identificare nuovamente l'interessato combinando i dati esportati con qualsiasi altra informazione in suo possesso. La valutazione del rischio di reidentificazione è difficile quando si tratta di sorveglianza di Stato, perché le agenzie di intelligence raccolgono molte informazioni su molte persone e non sono trasparenti riguardo alle informazioni in loro possesso: dopotutto è il loro lavoro.
L'approccio basato sul rischio
Alcune aziende adottano un approccio al trasferimento dei dati basato sul rischio. Sostanzialmente sostengono che un trasferimento è sicuro e lecito quando la probabilità che i dati trasferiti siano soggetti a sorveglianza è sufficientemente bassa.
Tuttavia, il capitolo V del GDPR non fa mai riferimento alla nozione di rischio10 e la decisione Schrems II non prende mai in considerazione la probabilità che i dati siano sottoposti a sorveglianza. Questo è il motivo per cui l'EDPB, il GEPD11 e le DPA austriache e italiane12 hanno esplicitamente respinto l'approccio basato sul rischio.
Per essere chiari: quando trasferisce dati, un esportatore deve valutare se i dati specifici che sta esportando sono soggetti a una legislazione di sorveglianza "problematica". Questa domanda è necessaria per valutare i trasferimenti di dati e non deve essere confusa con l'approccio basato sul rischio che le autorità di protezione dei dati stanno attualmente rifiutando.
La risposta a questa domanda sarà "sì" per la maggior parte (se non per tutti) i trasferimenti, perché il campo di applicazione della FISA sembra essere piuttosto ampio nella pratica, come confermato dai documenti di Snowden.
E ora?
Come abbiamo visto, i trasferimenti di dati sono un vero e proprio rompicapo giuridico. Le garanzie efficaci sono poche e non sono affatto disponibili per alcuni trasferimenti. Allo stesso tempo, le autorità si stanno muovendo verso un approccio più severo ai trasferimenti di dati.
Ovviamente, la questione non riguarda solo Google Analytics. Una posizione rigida sul trasferimento dei dati potrebbe rendere illegale l'utilizzo di molti fornitori di servizi con sede negli Stati Uniti, compresi i servizi basati su cloud, che al momento sono praticamente insostituibili.
Ecco perché il trasferimento dei dati è una questione molto delicata. Da un lato, le garanzie di privacy del GDPR non dovrebbero essere compromesse dal trasferimento dei dati. D'altro canto, è irragionevole spostare l'onere della conformità interamente sulle aziende. Costringere le aziende ad abbandonare GA a favore di altri strumenti di analisi è una cosa. Aspettarsi che si accontentino di Oracle o AWS è un'altra cosa.
Per questo motivo è necessario trovare una soluzione politica. La Commissione europea e il governo degli Stati Uniti stanno attualmente lavorando a un altro accordo sul trasferimento dei dati e si attende a breve un ordine esecutivo sul trasferimento dei dati da parte del presidente Biden. Tuttavia, gli Stati Uniti non hanno modificato la loro legislazione in materia di sorveglianza dopo la sentenza Schrems II e, in assenza di tali modifiche, un nuovo quadro per il trasferimento dei dati potrebbe non sopravvivere alla sentenza Schrems III.
Aggiornamenti
Il nuovo quadro per il trasferimento dei dati è ben avviato. Il Presidente degli Stati Uniti Joe Biden ha pubblicato un ordine esecutivo sulle attività di sorveglianza nell'ottobre 2022 e la Commissione europea ha pubblicato una bozza di decisione di adeguatezza due mesi dopo. La bozza deve ora essere votata dagli Stati membri dell'UE per diventare effettiva.
Noyb intende impugnare la decisione davanti alla Corte di giustizia dell'UE, quindi si prospetta una prossima sentenza Schrems III. Il nuovo quadro normativo è complesso ed è difficile dire come andrà a finire, ma c'è il rischio che la Corte invalidi l'ennesimo quadro normativo sul trasferimento dei dati. Al momento, il futuro dei trasferimenti di dati è ancora incerto.
In un altro importante sviluppo, una bozza di decisione dell'autorità per la protezione dei dati irlandese per chiudere i trasferimenti di dati di Meta Ireland per Facebook è stata presentata all'EDPB nel gennaio 2023 dopo che altre autorità per la protezione dei dati si sono opposte. L'EDPB risolverà la questione con una decisione vincolante nei prossimi mesi. Si tratta di un caso di alto profilo che probabilmente avrà un impatto sul modo in cui verranno gestiti altri casi di trasferimento di dati in Europa.
Conclusioni
Anche se i problemi relativi al trasferimento dei dati continueranno nel prossimo futuro, le aziende possono proteggersi utilizzando alternative europee ai servizi cloud statunitensi.
Il GDPR serve a proteggere i dati dei cittadini dell'UE. Aderire alla legge dovrebbe essere una priorità per ogni azienda. Inoltre, riteniamo che le aziende debbano andare oltre il semplice rispetto della legge.
Internet sarà un posto migliore se le aziende navigheranno senza affidarsi a strumenti invasivi della privacy come Google Analytics. È la cosa giusta da fare dal punto di vista etico. Per questo motivo abbiamo creato Simple Analytics, un'alternativa a Google Analytics che rispetta la privacy e che non raccoglie dati personali, pur fornendo le informazioni di cui avete bisogno.
Crediamo nella creazione di un web indipendente che sia amichevole per i visitatori dei siti web. Se questo vi sembra un'idea interessante, non esitate a provarci.
#1 Art. 44(2) Gdpr. 44(2) GDPR. [^2]: Art. 45 GDPR. [^3]: Art. 45(2) GDPR [^4]: Art. 46(2)(c) GDPR. [^5]: Tecnicamente un DPA potrebbe redigere le proprie SCC e sottoporle all'approvazione della Commissione (art. 46(2)(d) GDPR). Ma in pratica, quando si parla di SCC, si intendono sempre quelle della Commissione [^6]: Art. 46 GDPR. 46 GDPR. [^7]: Raccomandazioni EDPB 01/2020 sulle misure che integrano gli strumenti di trasferimento per garantire la conformità al livello di protezione dei dati personali dell'UE, versione 2.0, par. 84. [^8]: Raccomandazioni EDPB 01/2020 sulle misure che integrano gli strumenti di trasferimento per garantire la conformità con il livello di protezione dei dati personali dell'UE, Versione 2.0, par. 81. 81. [^9]: Raccomandazioni EDPB 01/2020 sulle misure che integrano gli strumenti di trasferimento per garantire la conformità con il livello di protezione dei dati personali dell'UE, versione 2.0, paragrafo 85. 85. [^10]: Il GDPR adotta un approccio basato sul rischio per alcuni obblighi di conformità (ad esempio, gli obblighi di sicurezza ai sensi dell'art. 32 del GDPR), ma non è il caso dei trasferimenti di dati. [^11]: Parere congiunto EDPB-EDPS 2/2021 sulle clausole contrattuali standard per il trasferimento di dati personali a paesi terzi, paragrafi 86 e 87. 12. 86 e 87. [^12]: L'argomento non è stato sollevato davanti alla CNIL francese.