Trasferimento dati verso USA: le regole da seguire che impariamo dal caso Facebook e Instagram

La notizia, subito smentita da Meta, secondo cui Facebook e Instagram avrebbero lasciato l’Europa per difficolta nell’adeguamento alla normativa sul trasferimento dei dati personali verso gli USA, ha creato scompiglio tra le aziende e i consumatori italiani ed europei.

Proviamo, quindi, a capire cosa è accaduto realmente.

GDPR, tutto quello che bisogna sapere sul trasferimento dei dati extra UE: lo stato dell’arte

Facebook e Instagram lasciano veramente l’Europa?

Il Sole 24 Ore spiega: “Tutto è nato da un documento inviato da Meta Inc. alla Sec (Security and Exchange Commission), l’autorità americana garante del mercato. All’interno di questo documento c’è una frase ballerina che si presta alle interpretazioni, quando da Meta scrivono che in assenza di nuove regole che consentano il flusso dei dati tra Europa e Stati Uniti, probabilmente «non saremo più in grado di offrire alcuni dei nostri prodotti e servizi più importanti, compresi Facebook e Instagram, in Europa, fatto che influirebbe materialmente e negativamente sulla nostra attività, sulla nostra condizione finanziaria e sui risultati delle nostre operazioni»”.

Il documento è stato interpretato in maniera semplicistica, infatti Meta smentisce subito spiegando: «Non abbiamo assolutamente alcun desiderio e alcun piano di ritirarci dall’Europa. Semplicemente Meta, come molte altre aziende, organizzazioni e servizi si basa sul trasferimento di dati tra l’Ue e gli Stati Uniti per poter offrire servizi globali. Come altre aziende, per fornire un servizio globale, seguiamo le regole europee e ci basiamo sulle clausole contrattuali tipo (Standard Contractual Clauses) e su adeguate misure di protezione dei dati».

In poche parole, Meta sta apertamente sollevando il problema relativo al trasferimento dei dati tra Europa e Stati Uniti, le cui regole sono state stravolte dalla cosiddetta “Sentenza Schrems II” che la Corte di Giustizia Europea ha emesso nel luglio 2020 e ha abolito l’accordo definito “Privacy Shield”.

La CGUE ha dichiarato che la decisione relativa al “Privacy Shield” è incompatibile con l’articolo 45, paragrafo 1, RGPD, alla luce degli articoli 7, 8 e 47 della Carta.

In cosa consisteva il Privacy Shield

Il Privacy Shield era un accordo fra UE e USA che imponeva alle imprese americane obblighi più stringenti di tutela dei dati personali dei cittadini europei; prevedeva che le autorità americane vigilassero e assicurassero il rispetto dell’accordo e che collaborassero con le Autorità europee per la protezione dei dati.

In altre parole:

1. l’Amministrazione USA aveva garantito formalmente che l’accesso delle autorità pubbliche ai dati personali sarà soggetto a limiti, garanzie e meccanismi di controllo specifici e definiti;
2. le Autorità USA affermavano che non vi sarebbero state attività di sorveglianza indiscriminata o massiva;
3. le imprese avrebbero potuto dichiarare il numero approssimativo di richieste di accesso ricevute;
4. era stato reso disponibile un nuovo strumento di tutela giuridica attraverso il cosiddetto «difensore civico» (Ombudsperson) creato per il Privacy Shield: un soggetto indipendente incaricato di ricevere e decidere i reclami presentati dagli interessati.

Cosa ha comportato per le aziende la sua abolizione

La Corte di Giustizia Europea, con la sua sentenza, ha ritenuto che i requisiti del diritto interno degli Stati Uniti (in particolare determinati programmi che consentono alle autorità pubbliche degli Stati Uniti di accedere ai dati personali trasferiti dall’UE agli Stati Uniti ai fini della sicurezza nazionale) comportino limitazioni alla protezione dei dati personali dei cittadini della UE.

Queste limitazioni non sono configurate in modo da soddisfare requisiti sostanzialmente equivalenti a quelli previsti dal diritto dell’UE e che questi programmi USA non consentono ai soggetti interessati diritti azionabili in sede giudiziaria nei confronti delle autorità statunitensi.

A tal proposito, la Corte ha sottolineato che taluni programmi di sorveglianza che consentono alle autorità pubbliche statunitensi di accedere ai dati personali trasferiti dall’UE agli Stati Uniti per motivi di sicurezza nazionale non prevedono limitazioni al potere conferito alle autorità statunitensi né garanzie per soggetti non statunitensi potenzialmente sottoposti a tale sorveglianza (che si applica a qualsiasi trasferimento dati verso gli Stati Uniti per via elettronica che rientra nell’ambito di applicazione della suddetta normativa, indipendentemente dallo strumento utilizzato per il trasferimento).

La normativa statunitense cui fa riferimento la Corte riguarda l’articolo 702 della FISA e l’Executive Order (EO) 12333; ad essi si deve aggiungere anche il “Clarifying Lawful Overseas Use of Data (CLOUD) Act”, approvato dal governo Usa nel 2019.

Esso consente alle autorità statunitensi, forze dell’ordine e agenzie di intelligence di acquisire dati informatici dagli operatori di servizi di cloud computing a prescindere dal posto dove questi dati si trovano; quindi, anche su server che si trovano fuori dagli Usa. La sola condizione è che questi operatori siano sottoposti alla giurisdizione degli Stati Uniti oppure anche siano società europee con una filiale negli Stati Uniti o che operano nel mercato americano.

Dal punto di vista pratico, le aziende devono stare attente agli strumenti che usano per trattare i dati e devono verificare se i dati vengono esportati anche per consentire elaborazioni successive negli Stati Uniti.

Facebook lascia l’Europa? No, ma il nodo privacy colpisce tutta l’industria tech

I suggerimenti dell’EDPB

Come suggerisce l’EDPB si deve: “Essere consapevoli di come trasferiamo i dati personali perché questa consapevolezza è necessaria per garantire che sia offerto un livello di protezione sostanzialmente equivalente a quello offerto nello SEE dal GDPR”.

E, in particolare, analizzare il trasferimento dei dati seguendo i 6 passi sottostanti:

1. Effettuare una mappatura dei trasferimenti dei dati. Si deve essere consapevoli della destinazione dei dati personali e dell’adeguatezza (dell’organizzazione e/o del paese) relativamente alla protezione dei dati; si deve, inoltre, verificare che i dati trasferiti siano adeguati, pertinenti e limitati a quanto necessario in relazione alle finalità per le quali vengono trasferiti e trattati nel paese terzo.
2. Verificare lo strumento di trasferimento su cui si basa il vostro trasferimento tra quelli elencati al capo V del RGPD.
3. Valutare se vi sia qualcosa nella legge o nella prassi del paese terzo che possa incidere sull’efficacia delle garanzie adeguate degli strumenti di trasferimento su cui fate affidamento, nel contesto del vostro specifico trasferimento.
4. Individuare e adottare le misure supplementari necessarie per portare il livello di protezione dei dati trasferiti a un livello sostanzialmente equivalente a quello dell’UE.
5. Adottare eventuali passi procedurali formali richiesti dall’adozione della vostra misura supplementare, a seconda dello strumento di trasferimento di cui all’articolo 46 del RGPD su cui fate affidamento.
6. Periodicamente rivalutare il livello di protezione dei dati che trasferite verso paesi terzi e controllare se ci sono stati o ci saranno sviluppi che possano influire in questo senso.