-
Intro, i dati prima del 2000
Nell’era primordiale di Internet , il trasferimento dei dati avveniva principalmente attraverso reti private, come reti aziendali o connessioni dedicate. Le organizzazioni dovevano garantire la sicurezza dei dati durante il trasferimento e rispettare le leggi sulla privacy -eventualmente adottate — dai Paesi coinvolti.
Dalla seconda metà degli anni ’90, vista la crescita dei dati in circolazione e la necessità di scambiare informazioni tra Europa e USA, si è resa necessaria una regolamentazione più specifica per proteggere i dati personali e garantire la privacy degli individui.
Prima dell’adozione del Safe Harbor Framework nel 2000, il trasferimento dei dati tra Europa e USA era regolamentato principalmente dalle leggi nazionali sulla privacy e dalla Direttiva europea sulla protezione dei dati del 1995 (Direttiva 95/46/CE del Parlamento e del Consiglio d’Europa).
La direttiva europea sulla protezione dei dati stabiliva che i dati personali potessero essere trasferiti solo verso paesi terzi che garantivano un livello adeguato di protezione dei dati, sulla base di una valutazione di “adeguatezza” svolta dalla Commissione. Tuttavia, non esisteva un meccanismo specifico per regolare i trasferimenti di dati tra Europa e USA.
Di conseguenza, le aziende che desideravano trasferire dati personali dall’UE agli Stati Uniti, come previsto dall’art. 26 della Direttiva, dovevano adottare clausole contrattuali standard approvate dalla Commissione o fare affidamento sulle seguenti esigenze: la salvaguardia di interessi pubblici o vitali dell’interessato, il consenso esplicito da parte degli individui interessati, la necessità di dare esecuzione a un contratto; l’adozione di clausole contrattuali idonee ad assicurare un adeguato livello di protezione. Questi strumenti legali fornivano una base per il trasferimento dei dati, ma non garantivano un livello uniforme di protezione dei dati come richiesto dalla direttiva europea.
Questa situazione ha portato a una situazione di incertezza e di mancanza di uniformità nella protezione dei dati personali durante i trasferimenti tra Europa e USA, prima del 2000. La necessità di un quadro legale più solido e uniforme ha portato all’adozione del Safe Harbor Framework nel 2000, che ha cercato di fornire una soluzione per regolare i trasferimenti di dati tra le due regioni.
2. Safe Harbor
Nel 2000 la Commissione Europea ha adottato una decisione sul cd. Safe Harbor, un insieme di principi (e di sistemi per assicurarne il loro rispetto) per garantire un adeguato livello di protezione dei dati da parte delle imprese statunitensi che aderivano a tale accordo. Questa decisione fu però invalidata il 6 ottobre 2015 dalla Corte di Giustizia dell’Unione Europea, tramite la sentenza cd. Schrems.
3. Privacy Shield
Il 12 luglio 2016, la Commissione ha approvato il modello del cd. Privacy Shield che prevedeva una serie di principi e impegni al fine di garantire un livello adeguato di protezione dei dati personali trasferiti dall’UE a organizzazioni aventi sede negli Stati Uniti.
Il 16 luglio 2020, una nuova Sentenza della Corte di Giustizia Europea, nota con il nome di Sentenza Schrems II, ha dichiarato illegittimo il presupposto di equivalenza attribuito dalla Commissione Europea all’ordinamento US, alla base del Privacy Shield.
Nello specifico, la Corte stabiliva che le normative degli Stati Uniti, in materia di accesso e utilizzo dei dati provenienti dall’UE, presentavano forti limitazioni rispetto agli standard richiesti dal diritto dell’UE.
4. Europa: garanzie per la privacy
Tra le aziende più esposte sul tema della violazione di queste norme vi sono le cosiddette Big Tech, da Google a Meta, che basano sui dati gran parte del proprio business pubblicitario e che, tendenzialmente, hanno necessità di portare i dati raccolti verso server fuori dai confini europei.
Nel corso del tempo, in Europa abbiamo assistito a diversi interventi da parte delle Autorità di controllo in materia di trasferimento di dati al di fuori dell’UE, in primo luogo nei confronti di Google Analytics, uno dei sistemi di web analytics più utilizzati al mondo.
Il 22 dicembre 2021, il Garante austriaco (DSB) ha ritenuto l’editore di un preciso sito web in violazione rispetto alla normativa europea sulla protezione dei dati personali, per aver esportato i dati degli IP dei cittadini europei — principalmente austriaci — in USA, attraverso l’utilizzo di Google Analytics, in assenza di adeguate misure supplementari per la protezione dei dati stessi.
A febbraio 2022, la CNIL, ovvero l’Autorità di controllo francese — partendo sempre dall’analisi di un caso specifico — ha dichiarato che le misure aggiuntive di Google per il trasferimento dei dati in Google Analytics non sono sufficienti per escludere l’accessibilità di questi dati ai servizi segreti americani, ritenendole, allo stesso modo dell’autorità austriaca, non sufficienti per il trasferimento oltreoceano. Il 23 giugno 2022 il Garante per la privacy italiano, accodandosi a quanto espresso dai colleghi europei, ha dichiarato illegale la configurazione standard di Google Analytics, perché i server di Google si trovano negli Stati Uniti e, dunque, avviene un trasferimento di dati personali dall’Europa agli USA.
Il 29 Dicembre 2022 la CNIL Francese ha sanzionato Apple per 8 milioni di euro per la mancata richiesta di consenso all’advertising su iPhone di utenti francesi. La causa scatenante risulta essere un problema della versione iOS 14.6, sulla quale venivano attivati annunci personalizzati e raccolte di dati a scopi profilati su App Store, senza alcun consenso da parte dell’utente.
Durante i primi giorni del 2023, un altro grande player del mondo tech è stato sanzionato: si tratta di Meta, che ha ricevuto una sanzione da 390 milioni di euro da parte della Commissione per la protezione dei dati (DPC), Autorità Garante irlandese.
L’Autorità irlandese, a seguito anche del coinvolgimento dell’EDPB (Il Comitato europeo per la protezione dei dati, composto dai responsabile di ciascuna autorità per la protezione dei dati degli stati membri e dal Garante europeo) nella vicenda, ha contestato a Meta diverse violazioni del GDPR, ma in particolare è stato confermato che la Società non può utilizzare la base giuridica del contratto per finalità di personalizzazione dei servizi di pubblicità e di advertising comportamentale.
I cosiddetti Gatekeeper -ovvero le piattaforme online di grandi dimensioni- così definite perché riconosciute come punto unico di accesso per i consumatori, posizione da cui potrebbero godere di privilegi rispetto alle regole del mercato, sono sotto la lente di ingrandimento per quanto riguarda il tema della privacy e dell’utilizzo dei dati.
In senso più ampio, per tutelare sicurezza ed equità di trattamento per i consumatori dalle possibili pratiche sleali operate da Gatekeeper nell’economia delle piattaforme online, l’Unione Europea ha emesso un nuovo regolamento sui mercati digitali: il Digital Markets Act (DMA) entrato in vigore a novembre 2022 e la cui applicazione effettiva è iniziata il 2 maggio 2023. Entro due mesi da tale data, le società che forniscono servizi principali della piattaforma dovevano notificare alla Commissione il soddisfacimento delle soglie quantitative e fornire tutte le informazioni pertinenti.
La Commissione ha avuto ulteriori 45 giorni lavorativi per adottare una decisione che designa uno specifico Gatekeeper.
I Gatekeeper designati avranno un massimo di sei mesi dalla decisione della Commissione per garantire il rispetto degli obblighi e dei divieti stabiliti nella DMA, ossia saranno soggetti alle obbligazioni previste dal DMA a partire dal marzo 2024.
5. In USA: Il California Privacy Rights Act
Da Gennaio 2023, negli USA, sono entrate in vigore due nuove normative in materia di cookie per garantire maggior tutela agli utenti del web: Il CCPA Californiano, in vigore dal 1° Gennaio 2020, è stato aggiornato e ampliato, dal California Privacy Rights Act (CPRA). Assieme allo Stato della California, anche la Virginia ha emanato una legislazione in materia di protezione dei dati personali, tramite il Virginia Consumer Data Protection Act (VCDPA), su certi aspetti un insieme di normative ancora più simile alle leggi europee.
6. Data Privacy Framework
Il 25 marzo 2022, il Presidente degli Stati Uniti, Joe Biden, e la Presidentessa della Commissione Europea Ursula von der Leyen, hanno annunciato il raggiungimento di un’intesa politica dal nome EU-U.S. Data Privacy Framework. Il 7 Ottobre 2022 con la firma di Biden all’ordine esecutivo “Enhancing Safeguards for United States Signals Intelligence Activities”, gli USA hanno avviato un percorso nella direzione del recepimento dell’accordo in principio già raggiunto con il Data Privacy Framework.
Lunedì 10 luglio 2023, l’Unione Europea ha dato l’approvazione definitiva a questo accordo con il governo degli Stati Uniti che ripristina la possibilità per migliaia di aziende di trasferire facilmente le informazioni personali dei cittadini europei ai server situati negli Stati Uniti e viceversa. Con l’approvazione dell’UE, il nuovo accordo consente nuovamente alle aziende di trasferire dati europei ad aziende situate negli USA aderenti al Data privacy framework, senza l’obbligo di implementare ulteriori salvaguardie sulla privacy.
La decisione giunge alla conclusione che gli Stati Uniti garantiscano un livello di protezione adeguato — comparabile a quello dell’Unione europea — per i dati personali trasferiti dall’UE alle imprese statunitensi nell’ambito del nuovo quadro. Sulla base della nuova decisione di adeguatezza i dati personali possono circolare in modo sicuro dall’UE verso le imprese statunitensi che partecipano al quadro, senza la necessità di ulteriori garanzie per la protezione dei dati.
La cosiddetta “decisione di adeguatezza” della Commissione europea apre la strada alle aziende per aderire al Data Privacy Framework UE-USA, entrato in vigore lo stesso giorno. Questa decisione afferma che gli Stati Uniti garantiscono un adeguato livello di protezione — paragonabile a quello dell’Unione Europea — per i dati personali trasferiti dall’UE alle aziende statunitensi nell’ambito del nuovo quadro. Sulla base di questa nuova decisione di adeguatezza, i dati personali possono fluire in sicurezza dall’UE alle aziende americane che partecipano al Framework, senza la necessità di adottare ulteriori garanzie per la protezione dei dati.
In base a quanto definito dal DPF, le aziende statunitensi dovranno certificare la loro partecipazione al Framework, mostrando di adempiere pienamente a una serie di obblighi in materia di privacy, tra i quali, per esempio, la limitazione delle finalità, la minimizzazione e la conservazione dei dati, obblighi specifici relativi alla sicurezza dei dati e alla condivisione dei dati con terze parti. Il Framework sarà operativamente gestito dalla Federal Trade Commission statunitense che avrà quindi il compito di raccogliere le richieste da parte delle aziende e verificare il rispetto dei requisiti al fine della certificazione.
La nuova trattativa sul Framework inserisce nuove specifiche in materia di utilizzo dei dati:
Tra cui la limitazione dell’accesso ai dati dell’UE da parte dei servizi di intelligence statunitensi a quanto necessario e proporzionato e l’istituzione di un “tribunale del riesame” in materia di protezione dei dati (Data Protection Review Court, DPRC), accessibile ai cittadini dell’UE. Il nuovo quadro introduce miglioramenti significativi rispetto al meccanismo esistente nell’ambito dello scudo per la privacy. Ad esempio, se il DPRC ritiene che i dati siano stati raccolti in violazione delle nuove garanzie potrà ordinarne la cancellazione.
Questo punto inserito dal DPF ha l’obiettivo di andare a limitare l’accesso libero e incondizionato, da parte delle agenzie di intelligence statunitensi, dei dati personali dei cittadini europei. Il DPF istituisce un nuovo organo speciale la Data Protection Review Court, un “tribunale” a cui i cittadini europei potranno fare riferimento in caso di violazioni delle garanzie o di segnalazione di dati ottenuti o utilizzati non in ottemperanza con la nuova regolamentazione.
Il primo riesame della decisione di adeguatezza, allo scopo di convalidare la piena attuazione dei vari elementi, è previsto per il 2024. La Commissione ha poi l’onere di definire la cadenza dei riesami successivi -dopo aver consultato EDPB e Stati membri- con un limite massimo di quattro anni.
7. Dubbi sulla legittimità e sul futuro del Privacy Framework
Se il nuovo Framework offre una tregua ad anni di grande incertezza che hanno messo in crisi sia le Big Tech che le aziende che si basavano sui loro servizi, questa nuova soluzione fa respirare nuovamente il mercato ma non sembra imporsi come una soluzione definitiva.
L’associazione NOYB, guidata dall’attivista e avvocato Max Schrems, si è già esposta, sostenendo che il DPF porta con sé gli stessi problemi dei suoi noti predecessori — Harbor e Shield- e che, come nelle altre occasioni, porterà avanti una causa dinanzi alla Corte di Giustizia dell’Unione Europea (CGUE).
“Ci aspettiamo che la questione torni alla Corte di Giustizia entro l’inizio del 2024 e che l’accordo possa essere sospeso mentre viene esaminato” ha dichiarato Schrems “Negli ultimi 23 anni tutti gli accordi tra Unione Europea e Stati Uniti sono stati dichiarati non validi retroattivamente, rendendo illegali tutti i trasferimenti effettuati in passato, ora sembra che verranno aggiunti altri due anni a questo ping pong.”
L’associazione contesta, tra le altre cose, il concetto di “utilizzo necessario e proporzionato” dei dati che sarà garantito dai servizi di intelligence, suggerendo che questi termini nascondano in realtà grande libertà di interpretazione, a seconda dei fini di utilizzo. Gli Stati Uniti, in questo senso, hanno dimostrato di non voler attivamente mettere mano al Foreign Intelligence Surveillance Act (FISA 702) che esclude i cittadini europei dalla protezione dei diritti costituzionali, tra cui anche quello alla privacy. La Corte di Giustizia dell’Unione Europea, tra le altre cose, ha già stabilito che la sorveglianza di massa FISA 702 al momento non è “proporzionata” ai sensi dell’articolo 52 della Carta dei diritti fondamentali dell’UE (CFR).
In questo senso NOYB segnala, inoltre, che la Data Protection Review Court potrebbe conformarsi come un organo parzialmente indipendente e che, in sostanza, i cittadini europei dovranno comunque ricorrere ai Garanti per la Privacy, fruendo delle tutele solo in maniera molto minore rispetto a quanto ipotizzato.
“Abbiamo avuto “porti”, “ombrelli”, “scudi” e “quadri” (“harbor, umbrella, shield, framework” ndt), ma nessun cambiamento sostanziale nella legge sulla sorveglianza degli Stati Uniti. Le dichiarazioni di oggi alla stampa sono quasi una copia letterale di quelle degli ultimi 23 anni. Il solo fatto di annunciare che qualcosa è “nuovo”, “robusto” o “efficace” non basta, davanti alla Corte di Giustizia. Avremmo bisogno di modifiche alla legge sulla sorveglianza degli Stati Uniti per far funzionare la cosa — e semplicemente non le abbiamo” ha concluso Schrems.