Si poteva immaginare che persino il Parlamento Europeo non fosse in regola con la normativa privacy? È del 5 gennaio scorso una decisione del Garante europeo per la protezione dei dati, proprio avverso il Parlamento, in merito a violazioni privacy concernenti cookie e trasferimenti di dati negli USA, tramite un portale web dedicato ai test Covid dei parlamentari stessi.
Non è la prima volta che l’EDPS, cioè lo European Data Protection Supervisor, sorvegliante privacy delle istituzioni dell’Unione, ravvisa mancanze in ambito privacy, anche grossolane, da parte delle maggiori istituzioni: ricordiamo ad es. quanto emerso l’anno scorso circa l’uso di newsletter da parte della Corte di Giustizia.
Con questo provvedimento, però, l’EDPS ha portato alla luce una condotta più delicata e potenzialmente “allarmante”. In primis perché la condotta riguarda l’uso di due utilizzatissimi fornitori: Stripe (leader nei servizi di pagamento online) e Google (leader nel digital advertising e servizi web), ma vedremo meglio come tutto sommato il caso riguardi fornitori in generale di diritto USA. In secondo luogo per la condotta pressapochista del Parlamento, come emersa dall’indagine, nel curare la propria accountability.
Indice degli argomenti
I fatti: la gestione del portale COVID del Parlamento UE
Gli accertamenti hanno riguardato il sito web, per condotte praticate a partire dal 30 settembre 2020, lamentate da alcuni europarlamentari e dalla NOYB di Max Schrems. Il sito è stato creato dal fornitore Ecolog Deutschland GmbH, incaricato dal Parlamento di fornire – ai deputati e al personale del Parlamento europeo – la possibilità di essere testati, in modo efficiente e rapido, nel contesto della pandemia di COVID-19, con servizi annessi.
Lo scopo ultimo è dunque condurre test COVID-19, il predetto sito web è marginale e utilizzato solo per far registrare gli esaminandi online.
Come evinto dalle indagini dell’EDPS, Ecolog agiva fattivamente come responsabile del trattamento per conto del titolare, cioè il Parlamento – ciononostante “a titolo di cortesia” (!) era stata Ecolog a fornire un proprio testo di informativa agli utenti del sito del Parlamento.
In merito al ruolo, si badi che l’EDPS ha rilevato nel Parlamento mancanza della diligenza richiesta nella scelta e gestione di un responsabile del trattamento, ad es. non fornendo le dovute istruzioni circa ad es. l’informativa da adottare, sull’uso dei cookie e persino approvando formalmente il lavoro (rivelatosi palesemente errato) svolto da Ecolog.
Utilizzando alcuni software open source, alcuni eurodeputati hanno scoperto che sul sito approntato da Ecolog erano presenti cookie di Stripe e Google Analytics e l’hanno segnalato al Parlamento e al relativo DPO.
A seguito di vari scambi informativi, il Parlamento ha segnalato di aver disabilitato i cookie, i parlamentari hanno chiesto per quanto tempo e per quali dati siano avvenuti trasferimenti di dati alle due società, dunque è intervenuto l’EDPS per fare chiarezza, con subentro di NOYB che ha richiesto l’accesso la fascicolo del caso per supportare le doglianze dei parlamentari interessati.
Il Parlamento, in replica alle richieste, ha precisato che “il cookie Stripe (per pagamenti sicuri) nella pagina web non era mai stato attivo, poiché la registrazione per i test per il personale e i membri dell’UE non richiedeva alcuna forma di pagamento. Inoltre, i tracker sono stati utilizzati solo per garantire che l’applicazione fosse “chiamata” solo dal dominio ecolog-international.com”, cioè il dominio della società responsabile del trattamento, Ecolog, per conto del Parlamento.
Da accertamenti dell’EDPS si è appurato così che il cookie di Stripe fosse stato adottato per un errore del fornitore, non avendo mai avuto alcuna funzione di pagamento attiva.
Il Parlamento ha sostenuto che “nessun dato personale dei deputati al Parlamento europeo e del personale del Parlamento, registrato per i test COVID-19 attraverso il sito web, è stato trasferito al di fuori dell’UE”, per poi di fatto contraddirsi ammettendo che “Ecolog non ha fornito ai servizi del Parlamento la massima certezza in merito all’assenza di trasferimenti di dati verso gli Stati Uniti”. Giustificandosi apoditticamente, infine, affermando che “il rischio per gli interessati era basso, tenuto conto dei tipi di dati personali trattati e della quantità di utenti interessati”.
Le norme: quali violazioni sono state poste in essere
Premettiamo che trattandosi del titolare Parlamento europeo, istituzione dell’Unione, la normativa applicata è il Reg. 2018/1725, omologo del GDPR per le istituzioni, presidiato dall’EDPS in quanto di sua esclusiva competenza.
I principi e gli adempimenti sono i medesimi previsti dal GDPR e dalla Direttiva 2002/58 ivi richiamata, pur rubricati diversamente nell’articolato – ma sussistono importanti seppur limitate differenze, ad es. tra le papabili basi giuridiche di trattamento non troviamo il legittimo interesse.
Vediamo ora di distinguere i profili esaminati dall’EDPS per oggetto, come di seguito.
L’informativa del Parlamento per il portale COVID
Le informative presenti sul sito web in parola danno il polso dell’interesse istituzionale per il tema, e lo si capirà meglio fra poco. Anzitutto distinguiamo tra il banner di accettazione dei cookie e la cookie policy vera e propria, per meglio comprendere la ricca messe di errori commessi dal Parlamento:
- banner di accettazione dei cookie: caso da manuale di mancato coordinamento, poiché è stato rilevato che a seconda della lingua scelta dall’utente web il banner, il suo design e le opzioni disponibili variavano, ovviamente senza alcuna ragione; ad es. la versione inglese del banner mostrava solo una casella di spunta per i cookie essenziali, mentre la versione francese e quella tedesca includevano anche una casella di spunta “media esterni” – differenza non da poco visto che tra i cookie figuravano elencati tracker di Facebook, Google Maps, Instagram, OpenStreetMap, Twitter, Vimeo e YouTube; la discriminazione tra gli utenti è stata palese e ingiustificata, oltre a violare la normativa sulla libertà di scelta (mancava il tasto “rifiuta tutto” nel primo strato, come ormai richiesto da tutte le autorità dell’Unione), presentava pure un comune dark pattern che induceva ad accettare tutti i cookie, senza nemmeno poter revocare il consenso; in breve, i banner erano molteplici, incoerenti, non trasparenti e non in grado di raccogliere un consenso valido ai sensi della normativa, il tutto frutto di probabile non curanza piuttosto che di dolo;
- cookie policy/informativa privacy: l’informativa presente sul sito web recitava espressamente che “le informazioni relative all’utilizzo di questo sito web generate dall’uso di Google Analytics sono trasmesse e memorizzate su un server di Google negli Stati Uniti”; inoltre si è lamentato che – perlomeno fino al 13 gennaio 2021 – vi fossero disponibili due diverse informative sulla protezione dei dati (una nella sezione “protezione dei dati” in homepage e una nella pagina di registrazione utenti del sito web), entrambe riferite al GDPR e non al Reg. 2018/1725, invocanti la base del legittimo interesse (come già detto, non applicabile alle istituzioni); la cosa più imbarazzante è l’ammissione da parte del Parlamento che “nessuno dei due [testi dell’informativa] era “approvato”, in quanto conteneva informazioni errate e fuorvianti”; l’errore, come già detto, derivava da lavoro precedentemente effettuato per terzi privati da parte di Ecolog che, par di sospettare, abbia fatto un mero “cut-and-paste” della struttura del sito (cookie inclusi) e dell’informativa dalla precedente esperienza; altri errori nelle informative riguardavano la menzione di trattamenti di dati sanitari sul test COVID (assenti in realtà dalla piattaforma) e l’assenza delle tempistiche di conservazione dei dati.
Insomma, lato trasparenza le criticità sono numerose, gravi e rozze, non certo degne del ruolo istituzionale del Parlamento – tanto più che sarebbero gravi pure per un titolare privato che effettui trattamenti meno delicati.
Il trasferimento dei dati negli USA in epoca post-Schrems II
Arriviamo al secondo punto caldo del provvedimento. In questa sede non ci dilunghiamo sul perché non sia facile, oggi, utilizzare fornitori che siano soggetti al diritto USA, a fronte di quanto accaduto dopo la sentenza CGUE Schrems II.
Diciamo solo che, ai sensi di quanto richiesto dall’EDPB, si deve effettuare un transfer assessment preventivo, tutt’altro che banale, e se del caso adottare misure supplementari (a prescindere dalla base giuridica adottata per il trasferimento dei dati, che siano clausole standard o altro), per impedire l’accesso ai dati da parte di autorità governative USA. Fornitori di servizi web, che usano i cookie come strumento, sono ugualmente soggetti a questi adempimenti, a far data almeno dalla citata sentenza Schrems II (cioè da luglio 2020).
L’utilizzo di cookie di società USA
Dato quanto sopra – ovvero che seppure per parziale errore e per breve tempo (secondo l’EDPS circa per un mese) -, il sito web analizzato ha utilizzato cookie di due società di diritto USA, Stripe e Google, a cui molto probabilmente sono arrivati i dati raccolti dai parlamentari utenti, e il fornitore non ha potuto smentire tale possibilità.
Nonostante l’informativa adottata menzionasse l’uso di basi giuridiche di trasferimento come le SCC, cioè le clausole contrattuali standard della Commissione Europea, l’EDPS ricorda che le istituzioni “devono mantenere il controllo e prendere decisioni informate quando selezionano i responsabili del trattamento e consentono il trasferimento di dati personali al di fuori del SEE”.
Per i trasferimenti di dati negli USA, è possibile procedere solo “se sono fornite garanzie adeguate e a condizione che siano disponibili diritti azionabili degli interessati e mezzi di ricorso efficaci per gli interessati”.
È possibile in tal senso usare le SCC ma sempre garantendo un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’Unione, a fronte di una “valutazione individuale caso per caso che I’istituzione, in qualità di titolare del trattamento, deve effettuare, conformemente alla sentenza Schrems II”.
Se del caso, richiedendo la collaborazione dell’importatore di dati nel Paese terzo per effettuare tale valutazione quanto all’efficacia delle garanzie proposte – tutto ciò prima di effettuare qualsiasi trasferimento o di riprendere un trasferimento sospeso.
Qualora il livello di protezione dei dati trasferiti non sia effettivamente garantito – vuoi perché il diritto o la prassi del Paese terzo incide sull’efficacia delle garanzie appropriate – allora il titolare deve attuare misure contrattuali, tecniche e organizzative (le citate “misure supplementari”) per integrare efficacemente le garanzie nello strumento di trasferimento, se necessario insieme all’importatore dei dati. E la sentenza Schrems II è chiarissima nello stabilire che gli Stati Uniti sono problematici quanto al rispetto tutto questo, a causa della loro normativa con possibile accesso governativo ai dati, necessitando di robuste misure supplementari – e relativa positiva valutazione di efficacia – per potersi procedere da parte del titolare dell’Unione.
Nel nostro caso, il Parlamento non ha fornito all’EDPS nessuna valutazione in merito, né ha comprovato di aver adottato alcuna misura supplementare. Da cui discende la palese violazione delle normative: si è capito che nel caso ha riguardato Google e Stripe ma avrebbe potuto coinvolgere un qualsiasi altro fornitore di diritto statunitense.
Si badi che tutta la vicenda è particolarmente delicata per il fatto di aver coinvolto quali interessati, con i relativi dati, soggetti politici dell’Unione, esposti così a potenziale controllo da parte di istituzioni USA.
Conclusioni
Al termine del suo provvedimento l’EDPS non ha comminato sanzioni ma solo esercitato poteri correttivi, rimproverando il Parlamento per quanto accaduto e intimando la correzione delle condotte non conformi, già in corso.
Possiamo ipotizzare che nel mese di impiego dei cookie “errati” non sia successo chissà cosa con i dati raccolti dei parlamentari, specie in un periodo come quello pandemico, ricco di altre istanze, urgenze eccetera.
Tuttavia la condotta esposta dagli accertamenti EDPS è quantomeno vergognosa per il pressapochismo dimostrato, pur in un caso così limitato, da una delle più importanti istituzioni dell’Unione ove, peraltro, si legifera e si menzionano principi e valori considerati supremi, “tuonando” contro Paesi non adeguati, eccetera.
Se immaginiamo applicata questa condotta ad altri ambiti di pertinenza del Parlamento, cosa dovrebbero temere i parlamentari europei circa il trattamento dei loro dati personali? Chi può dire ora che il Parlamento non stia commettendo errori simili in altri ambiti, con la stessa “perizia”?
E se ne trae una lezione, l’ennesima, sui dirompenti effetti della sentenza Schrems II: chiunque utilizzi fornitori di diritto USA dovrebbe provvedere alle valutazioni sopra indicate, ma quanti effettivamente lo fanno in concreto oggi, se nemmeno il Parlamento ha provveduto?
Ricordiamo che la NOYB di Schrems ha presentato e continua a presentare centinaia di reclami e segnalazioni a tutte le autorità di controllo europee anche su questi temi: prima o poi i nodi verranno al pettine per un certo numero di titolari e vedremo quanti avranno fatto “i compiti a casa” o avranno avuto iniziativa nel cercare fornitori dell’Unione o di altri Paesi considerati adeguati (che comunque, ricordiamo, necessitano sempre di una valutazione individuale).
A proposito di digital sovereignty, la domanda è naturale: il mercato digitale europeo è davvero pronto per essere conforme alle sue stesse normative?
