La problematica dei trasferimenti di dati personali fuori dall'Unione europea - Chi dovrebbe farsi carico di trovare soluzioni?

Con la Sentenza C-311/2018, nota come Schrems II, la Corte di Giustizia ha dichiarato, invalido il c.d. Privacy Shield e ha evidenziato la possibile inadeguatezza, al ricorre di determinate condizioni, della c.d. Standard Contractual Clauses (SCCs) della Commissione europea.

Al di là delle evidenti conseguenze derivanti dall'invalidazione del Privacy Shield - certamente gravi ma sostanzialmente pari a quelle già affrontate in occasione della precedente invalidazione del Safe Harbor – la vera novità e l'ulteriore e forse maggior problema che detta sentenza comporta e che ormai ogni azienda europea è chiamata ad affrontare, indipendentemente dalle proprie dimensioni e volume di affari, è quello di regolare gli eventuali trasferimenti dei propri dati non solo verso gli Stati Uniti, ma verso tutti i c.d. Paesi Terzi considerati non sicuri, dovendo, nei casi in cui intenda fare ricorso all'utilizzo di SCCs, procedere ad approfondite e costanti verifiche sull'adeguatezza della normativa del Paese Terzo verso il quale i dati sono trasferiti.

La portata del problema è decisamente rilevante considerato che nell'attuale mondo globalizzato e interconnesso anche medie e piccole imprese potrebbero subire impatti che potrebbero rilevarsi anche insostenibili, sia dal punto di vista organizzativo che economico.
Il 10 novembre scorso, il Comitato europeo per la protezione dei dati (E uropean Data Protection Board – EDPB) ha adottato - e l'11 novembre posto in consultazione pubblica - le raccomandazioni n. 01/2020 e n. 02/2020, con l'intento di identificare e indicare soluzioni in grado di garantire il trasferimento di dati personali dall'Europa verso i Paesi Terzi.

Ebbene, seppur l'intento e il fine di dette raccomandazioni siano decisamente apprezzabili, le indicazioni fornite purtroppo non appaiono adeguate a fornire un concreto supporto a coloro i quali si stanno misurando con le problematiche connesse al trasferimento di dati personali oltre i confini europei. L'impressione che si ha leggendo tali raccomandazioni è che nonostante i buoni intenti, vi sia uno scollamento tra istituzioni e destinatari dei provvedimenti e una deriva verso un ricorso eccessivo ed improprio al principio di accountability, snaturandone però l'originaria finalità, dettato probabilmente dalla necessità di sopperire alla mancanza di regole di maggior dettaglio, sufficientemente precise e applicabili che dovrebbero pervenire dalle istituzioni.

Chi scrive è sempre stato un sostenitore del principio di accountability quale strumento per mantenere nel tempo adeguata e non obsoleta la normativa in materia di trattamento dei dati personali. Tuttavia, come detto, in questo momento si ha la sensazione di veder svanire il concetto di certezza del diritto e assistere sempre più a ad un ribaltamento dei ruoli, dove coloro che sarebbero tenuti a rispettare le regole si trovano di fatto occuparsi di doverle individuare e rispettare - spesso con sforzi sproporzionati – rimanendo esposti alla spada di Damocle delle istituzioni che potrebbero in qualsiasi momento effettuare valutazioni diverse, sindacare l'operato e eventualmente sanzionare.

Ma tornando alle suddette raccomandazioni dell'EDPB, si ritiene innanzitutto che, in un'ottica costruttiva e di collaborazione, sia doverosa e comunque auspicabile una numerosa partecipazione da parte di tutti gli operatori del settore alla consultazione pubblica, al fine di effettuare in quella, che è la sede opportuna, ogni eventuale osservazione tecnica e far sentire la voce di chi – aziende in primis, ma anche legali e tecnici – si trova quotidianamente a dover affrontare in concreto la problematica, facendo i conti con le proprie disponibilità anche in termini di capacità, disponibilità organizzative e risorse economiche.

In questa sede si evidenzia unicamente che dalla lettura dei testi in consultazione risulta evidente che le indicazioni fornite - consistenti sostanzialmente nel richiedere a coloro i quali intendano trasferire dati verso Paesi Terzi di effettuare un'attenta valutazione delle normative del paese importatore al fine di verificare che non sussista nulla che possa impedire il rispetto degli impegni contrattuali assunti mediante sottoscrizione delle SCCs – risultano nella maggior parte dei casi mere indicazioni di difficile e onerosa perseguibilità per la maggior parte almeno delle piccole e medie imprese. Paradossalmente, infatti, anche un piccolissimo imprenditore laddove si avvalesse, ad esempio, di un fornitore di servizi cloud con server negli Stati Uniti o altri Paesi Terzi, si troverebbe costretto a avviare un'immediata, complessa e probabilmente dispendiosa verifica di tutta la normativa del Paese Terzo ospitante detti server, negoziare complesse clausole contrattuali con il proprio fornitore e organizzarsi per garantire un quotidiano monitoraggio della suddetta normativa per esser certo che non subentrino cambiamenti; il tutto ovviamente dovendo fare ricorso a qualificati supporti esterni, con conseguenti aggravi organizzativi e di costi che potrebbero anche essere rivelarsi insostenibili.

Ovviamente si comprende quanto possa essere complessa la soluzione delle problematiche poste dalla citata sentenza della Corte di Giustizia e certamente si condivide quanto ritenuto dal Garante per la Protezione dei dati Personali, secondo il quale l'approccio maggiormente risolutivo sarebbe quello di avviare "una discussione spedita, nella comunità internazionale, per l'identificazione di uno strumento pattizio capace di garantire la libera circolazione globale dei dati nel rispetto di poche ma insuperabili garanzie per gli interessati". Tuttavia tale strada - certamente auspicabile - è comunque complessa, lunga e con esiti probabilmente non immediati.

Allo stesso modo però non si comprende davvero come possa ritenersi sostenibile chiedere ai singoli titolari del trattamento di farsi carico di approfondite e continuative verifiche e analisi comparative sulle normative dei Paesi terzi verso i quali si esportano dati, quando la stessa Commissione europea per la valutazione necessaria e prodromica all'emissione delle sue decisioni di adeguatezza in relazione ai Paesi Terzi, necessita comprensibilmente di risorse significative e tempi spesso molto lunghi.

Quanto alle proposte dell'EDPB in merito alle clausole contrattuali e alle misure tecniche suggerite nella suddetta raccomandazione 1/2020, appare legittimo domandarsi quanto, nel modo reale, dette proposte siano effettivamente implementabili dalla maggior parte dei soggetti destinatari delle raccomandazioni, soprattutto laddove i medesimi per la fruizione di servizi che comportano esportazioni di dati si interfaccino – come comunemente avviene - con fornitori globali, i quali potrebbero anche avvalersi a loro volta di altri fornitori in altri Paesi extra-europei.

a cura dell'avv. Massimo Maioletti – Head of Data Protection – EVERSHEDS SUTHERLAND

Alla luce di quanto sopra e consci delle oggettive difficoltà provocate anche per le istituzioni europee dalla citata sentenza della Corte di Giustizia, si auspica che la Commissione non lasci sole né le istituzioni preposte a garantire la corretta applicazione della normativa in materia di dati personali - siano esse europee o locali – né tutti coloro tenuti al rispetto della normativa e, con approccio graduale, assuma innanzitutto un ruolo di maggior indirizzo facendosi carico direttamente dell'identificazione dei Paesi Terzi che possano considerarsi sicuri, sollevando così i singoli operatori dal gravoso onere di effettuare valutazioni (che peraltro potrebbero risultare disomogenee tra loro, con conseguenti diversi effetti e rischi per gli interessati) per poi favorire interventi più mirati eventualmente anche in sede negoziale in relazione a quei Paesi i cui ordinamenti non saranno ritenuti in linea con i principi dettati dalla normativa europea.

_________________

*Head of Data Protection – EVERSHEDS SUTHERLAND