Importante, foriera di conseguenze e primo passo di molti che seguiranno, nei rapporti tra Usa ed Europa. Queste le prime valutazioni di alcuni esperti privacy alla notizia secondo cui l’Autorità irlandese per la privacy avrebbe ordinato in via preliminare a Facebook di sospendere il trasferimento dei dati verso gli Usa.
Il provvedimento, la cui notizia è trapelata in giornata e resa pubblica dal Wall Street Journal, sarebbe parte di un’indagine avviata dall’ente in seguito alla bocciatura del Privacy Shield espressa a luglio da parte della Corte di giustizia UE. La vicenda risulta essere rilevante perché può rappresentare un precedente anche per altri social e Big tech: “La decisione del Garante irlandese è uno squillo di tromba indicativo di quanto bolle in pentola su questo fronte, adesso, dopo la sentenza della Corte di Giustizia – spiega Francesco Pizzetti, professore di Diritto costituzionale ed ex presidente del Garante della privacy italiano -. L’autorità irlandese compie il primo passo dato che in questo Paese ci sono le sedi europee di molti big tecnologici”.
Indice degli argomenti
L’antefatto: l’abolizione del Privacy Shield
La Corte di Giustizia europea si è espressa relativamente al Privacy Shield con la sentenza del 16 luglio 2020 nella causa C-311/18 promossa dall’attivista Maximiliam Schrems. Con la sua decisione, la Corte ha dichiarato invalida la decisione di esecuzione UE 2016/1250 della Commissione europea, con cui era stato sancito che il Privacy Shield fosse una normativa adeguata per regolare il trasferimento dei dati dall’UE agli USA. La sentenza ha ovviamente avuto ripercussioni su numerose piattaforme online, ma anche aziende e PA che si servono di soluzioni statunitensi. Prima, le aziende potevano trasferire dati verso gli USA in compliance al Privacy Shield senza doversi anche adeguare alle ulteriori imposizioni previste dal GDPR per il trasferimento di dati verso Paesi extra UE.
Ora, tutto cambia: “È pacifico che dopo la sentenza della Corte di Giustizia il privacy shield non è più una base giuridica legittima per trasferire i dati. Di conseguenza è ovvio che un’autorità come quella irlandese prenda posizioni ora. La cosa notevole è che adesso chi trasferisce i dati è responsabilizzato a chiedere e ottenere garanzie sul loro trattamento”, precisa Francesco Pizzetti.
L’effetto della sentenza della Corte di Giustizia europea dunque colpisce “l’uso del cloud da parte di soggetti che hanno i server su territorio statunitense; colpisce di conseguenza le multinazionali americane ma anche chi si serve di questo cloud per ottenere servizi di trattamento di questi datiLa richiesta del Garante irlandese evidenzia in particolare questo secondo punto. Ed è quello più interessante: cioè che un operatore europeo non può più offrire – come ha fatto finora – servizi a consumatori americani con dati trasferiti negli Usa, dove quei servizi sono prodotti e poi rivenduti da quello stesso operatore europeo. Il soggetto può farlo ora solo se nel trasferimento dati soddisfa alcune garanzie previste dal Gdpr e che le autorità dovranno valutare caso per caso; le garanzie saranno parametrati in base alla tipologia di dati”.
Il ruolo dell’EDPB e i risvolti politico-economici
Pizzetti non ha dubbi: “È come se l’autorità irlandese avesse acceso un riflettore. Tutti avevano capito che la sentenza colpiva i gestori americani di servizi cloud; adesso anche soggetti europei che sfruttano quei gestori. Ora ci dobbiamo aspettare che le autorità riunite nell’EDPB stilino linee guide che i garanti poi dovranno adottare nei propri Paesi. Per ora l’EDPB ha sviluppato le prime FAQ”.
L’avvocato Rocco Panetta commenta che se la notizia venisse ufficialmente confermata “non sarebbe una sorpresa. È chiaro che devono iniziare a farsi vedere delle conseguenze dopo la sentenza di luglio. Sorprende però che un’autorità nazionale da sola possa adottare un provvedimento di sistema a valle di una pronuncia della Corte di giustizia che non inficia un accordo bilaterale tra due Paesi, ma di tutta l’Unione europea. Mi sarei aspettato prima una pronuncia dell’EDPB e della Commissione, non di una sola autorità. È corretto che l’autorità possa fare dei passi per i procedimenti già pendenti, ma è al limite del curioso che una sola autorità possa esprimersi su un tema così sensibile e dai risvolti politici considerato che l’EDPB ha annunciato di aver costituito un gruppo di lavoro tra le varie autorità proprio per occuparsi della vicenda e reagire alla sentenza”.
Le conseguenze
A proposito di di politica economica, Pizzetti sottolinea: “I soggetti europei sono spinti ora a usare soggetti cloud con infrastrutture presenti su territorio europeo e quindi una spinta al cloud europeo. Ma è anche un incentivo all’economia europea, nell’ottica che questa potrà avvalersi dei dati per crescere. Nelle conseguenze immediate, ora è probabile che Facebook avvierà una dialogo con l’autorità irlandese perché siano valutate le garanzie offerte e chiedendo indicazioni per ridurre il rischio di violazione e quindi di sanzione. Teoricamente possibile stipulare un nuovo privacy shield ma praticamente quasi impossibile, come emerge dai primi dialoghi intercorsi; gli Stati Uniti chiedono di poter accedere ai dati, con l’NSA e senza passare da un giudice, per motivi di sicurezza”. L’auspicio, conclude l’ex Garante italiano “è che le autorità europee arrivino a un punto di equilibrio tra di loro che consenta di dire agli operatori europei quali sono le linee guide da tenere conto”.
