Trasferimenti di dati in USA: la soluzione dell’Autorità del Baden-Württemberg


Il 25 agosto 2020 l’autorità di uno dei 16 stati federati della Germania, è intervenuta cercando di regolare la materia del trasferimento di dati negli Stati Uniti. L’autorità di protezione dei dati del Baden-Württemberg ha emanato le linee guida per il trasferimento internazionale dei dati personali che impongono regole stringenti nell’interazione con Paesi terzi e in particolare con gli USA.

L’intervento si è reso necessario dopo che la sentenza della Corte di Giustizia dell’Unione Europea del 16 luglio 2020 aveva invalidato la precedente decisione 2016/1250 della Commissione sull’adeguatezza della protezione offerta dal Privacy Shield, Sentenza della causa C-311/18 Data Protection Commissioner / Maximilian Schremse Facebook Ireland.

Per la prima volta un’autorità garante europea si espone indicando concretamente quelle che ritiene essere le misure da adottare per effettuare un trasferimento nel rispetto dei diritti degli Interessati. Essa parla infatti di:

  • Un sistema di crittografia che preveda una chiave di lettura solo nella disponibilità dell’esportatore
  • Un sistema di anonimizzazione o pseudonimizzazione, anche in questo caso con chiave di lettura nelle mani del solo esportatore

Inoltre, ulteriori punti interessanti sono le seguenti modifiche che si richiedono all’interno del testo delle clausole:

  • Informare l’Interessato che i suoi dati saranno trasferiti in un Paese che non offre lo stesso livello di protezione previsto dal Reg. UE 2016/679
  • Prevedere l’obbligo per l’importatore di comunicare all’esportatore e all’Interessato tutte le richieste a lui pervenute dalle autorità locali di trasmissione di dati personali. E se ciò fosse in contrasto con la normativa locale, procedere ad informare l’autorità garante del Baden-Württemberg al fine di attendere una sua approvazione alla trasmissione/comunicazione dei dati richiesti.

Trasferimento dati USA: la situazione in Europa

L’intervento dell’autorità del Baden-Württemberg si evidenzia per il fatto di essere ufficialmente la prima pronuncia sul punto.

Eh sì, perché quasi immediatamente alla pronuncia della sentenza, ciò che è apparso evidente era che la problematicità del trasferimento non dipendeva dallo strumento adottato (Privacy shield) ma dal Paese stesso che non era in grado di fornire un livello di protezione corrispondente a quanto fornito dall’Unione Europea.

Di conseguenza anche le clausole contrattuale standard (standard contractual clauses), o le regole vincolanti d’impresa (Binding Corporate Rules) seppur non apparentemente invalidate, non potevano garantire diritti agli Interessati nei casi in cui le autorità di uno specifico Paese erano autorizzate dalla stessa legge ad agire in un determinato modo.

Il problema quindi era molto serio ed aveva determinato un vuoto nella materia dei trasferimenti verso gli Stati Uniti che da quel momento hanno iniziato a diventare il punto più critico per ogni società, un’incertezza di non facile soluzione. Incertezza da parte delle società che non sapevano cos’era loro permesso fare senza violare la normativa. Incertezza da parte dei fornitori di servizio che non sapevano quali potevano essere effettivamente le garanzie da offrire ai clienti per non incorrere in alcun tipo di violazione. Incertezza infine anche per i trasferimenti all’interno dello stesso gruppo societario.

Cosa è meglio fare: risposte e incertezze

Il 23 luglio 2020 lo European Data Protection Board (EDPB) era intervenuto con un documento, dal titolo “Domande più frequenti in merito alla sentenza della Corte di giustizia dell’Unione europea nella causa C-311/18 – DataProtection Commissioner contro Facebook Ireland Ltd e Maximillian Schrems” in cui cercava di dare alcune risposte sul punto.

Lo stesso però chiariva che sarebbe stato oggetto di una necessaria integrazione a mano a mano che avesse proseguito nell’analisi della sentenza che aveva creare un rovesciamento di un equilibrio – o di un apparente equilibrio. Tale situazione era confermata anche dalla precisazione secondo cui “l’EDPB sta analizzando la sentenza della Corte per stabilire il tipo di misure supplementari, di natura giuridica, tecnica o organizzativa, che potrebbero essere previste in aggiunta alle clausole contrattuali tipo o alle norme vincolanti d’impresa”.

L’EDPB, chiarita comunque che la possibilità di applicare le deroghe previste dall’art.49 del Reg. UE 2016/679 per giustificare un trasferimento era una via eccezionale da intraprendere e che se, nonostante il rischio per i diritti degli Interessati, si volesse procedere ad effettuare il trasferimento, era necessario comunicare il tutto all’autorità garante competente.

Dopo quel momento le singole autorità non si erano più pronunciate sul punto, se non per eventualmente ribadire alcuni concetti espressi quali l’importanza di procedere ad una verifica caso per caso del Paese di esportazione, della tipologia di dati interessati, del volume degli stessi, dei soggetti dei cui dati si tratta e delle misure di sicurezza già in essere.

Alcune, quali l’autorità inglese (ICO), chiedevano tempo per capire esattamente come affrontare il problema ben consapevoli che la soluzione avrebbe potuto determinare un cambiamento importante per molte aziende. Così ICO scriveva sul proprio sito: “The judgment says that supervisory authorities have an important role to play in the oversight of international transfers. We are therefore taking the time to consider carefully what this means in practice. We will continue to apply a risk-based and proportionate approach in accordance with our Regulatory Action Policy. The ICO understands the many challenges UK businesses are facing at the present time and we will continue to provide practical and pragmatic advice and support.

Interrogativi ancora aperti

La ricerca di una soluzione ad un problema si muove per piccoli passi e porta sempre con sé ulteriori interrogativi. Possiamo interrogarci per provare a trovare risposte in grado di avvalorare una tesi, possiamo sollevare domande per ottenere alcuni chiarimenti oppure possiamo porre domande su dubbi rimasti tali.

Leggendo le risposte dello European Data Protection Board alle domande sulla sentenza della Corte di Giustizia dell’Unione Europea prima e l’intervento dell’autorità del Baden-Württemberg dopo, le domande che nascono sono:

  • Com’è possibile che queste misure rafforzate di protezione, quali la crittografia, possano effettivamente raggiungere il risultato sperato? Come sarebbe possibile per una società americana raggiungere tale risultato in una situazione in cui, da una parte potrebbe violare la normativa sulla protezione dei dati personali se non applicasse ulteriori misure di sicurezza, e dall’altra potrebbe violare la normativa nazionale in materia di sicurezza nazionale (l’articolo702 del Foreign Intelligence Surveillance Act –FISA- e l’Executive Order –EO 12333) se si rifiutasse di collaborare o comunicasse la richiesta di comunicazione dei dati nonostante le autorità americane ne chiedano il riserbo?
  • Nel caso di trasferimento in USA effettuato verso la società capogruppo del gruppo di appartenenza, come sarà possibile utilizzare un sistema di crittografia o pseudonimizzazione in cui solo l’esportatore – ovvero non la capogruppo – ha la chiave di lettura
  • Qual è lo standard di crittografia di cui parla l’autorità del Baden-Württemberg? O meglio, esiste uno standard di crittografia come misura “sicura” e quindi non decrittabile dagli USA?
  • Come potrebbe pronunciarsi oggi un’autorità garante a cui un soggetto dovesse rivolgersi per notificare un trasferimento non sicuro, nonostante l’implementazione di misure di sicurezza potenzialmente idonee?

Riflessioni e ambiti di miglioramento

L’intervento dell’autorità del Baden-Württemberg si muove sicuramente nella giusta direzione per l’individuazione di una modalità di trasferimento di dati sicura verso gli USA.

Ma ciò non è sufficiente. La questione è infatti di estrema delicatezza non solo perché interessa la maggior parte delle realtà che effettuano differenti tipologie di trasferimenti verso questo Paese, ma anche perché potrebbe portare ad un cambiamento nelle scelte aziendali. Tale cambiamento, che potrebbe comportare una rivalutazione dei fornitori di servizio europei in grado di competere con i più famosi americani, avrebbe comunque impatti economici molto importanti.

Situazioni di tale tipo devono necessariamente essere affrontate in maniera sinergica da tutte le autorità garanti europee al fine di evitare l’insorgenza di una pluralità di disposizioni che altro non farebbero se non creare più confusione sia nei confronti degli Interessati che degli esportatori. Con conseguente maggiore facilità di violazione oltre che riduzione, se non lesione dei processi produttivi, importanti questi ultimi anche per gli Interessati stessi.

Articolo a cura di Alessia Peverelli | Legal Compliance Officer, Labor Project

Se ti è piaciuto l'articolo condividi: