Il caso Schrems II e lo Scudo per la Privacy – Sentenza UE sul trasferimento di dati UE-USA

Panoramica

Schrems II, lo Scudo per la Privacy e il flusso di dati EU-USA

Giovedì 16 luglio 2020 la Corte di giustizia dell’UE (CGUE) si pronuncia nella causa nota come Schrems II (C-3111/18), nella quale i criteri per il trasferimento dei dati personali tra l’UE e gli USA sono stati contestati, invocando l’argomentazione che la legislazione statunitense non può garantire in modo adeguato la protezione dei dati personali dell’UE, calpestando così uno dei diritti garantiti dalla Carte dei diritti fondamentali, quello alla privacy dei propri dati.

Con una decisione storica, la CGUE elimina il cosiddetto “Privacy Shield” (Scudo per la Privacy), uno dei più diffusi sistemi che consentono alle società commerciali statunitensi di trasferire e conservare i dati personali dell’UE negli Stati Uniti.

La decisione della CGUE di annullare lo Scudo per la Privacy rende gli Stati Uniti un paese non adeguato, privo di alcun accesso speciale ai flussi di dati personali europei.

Inoltre, la CGUE approva le Clausole contrattuali standard (SCC, dall’inglese Standard Contractual Clauses), un altro meccanismo comunemente utilizzato per i trasferimenti transatlantici di dati, affermando che questo sistema permette sostanzialmente di garantire il rispetto del livello di protezione richiesto dal diritto dell’Unione europea.

Tale decisione, tuttavia, prevede anche che i titolari del trattamento dei dati valutino il livello di protezione dei dati nel paese del destinatario dei dati, sospendendo il trasferimento in caso di non adeguatezza. Enfatizza inoltre il chiaro obbligo a carico di ciascuna autorità di protezione dei dati, in tutti i paesi membri dell’UE, di sospendere la trasmissione dei dati personali qualora i destinatari si trovino in nazioni ritenute non sicure in base ai requisiti dell’UE in materia di protezione dei dati.

Raccomandazioni dell’EDPB per l’invio di dati al di fuori dell’UE

Il 10 novembre 2020, il Comitato europeo per la protezione dei dati (EDPB) pubblica delle raccomandazioni sull’invio di dati al di fuori dell’UE in una guida dettagliata per le aziende e le organizzazioni, facendo chiarezza sulla confusione che si è creata nel settore da quando lo Scudo per la Privacy è stato abrogato all’inizio del 2020, e ricordando che il trattamento dei dati deve essere basato su regole chiare, precise e accessibili.

Le indicazioni dell’EDPB aiutano i proprietari e gli operatori dei siti web a orientarsi nell’infinità di leggi sull’invio di dati verso paesi non adeguati al di fuori dell’UE, come gli Stati Uniti, assicurandosi che i dati rimangano comunque protetti.

L’EDPB ha anche pubblicato un secondo documento – “EU Essential Guarantees”, cioè Garanzie Essenziali UE – che può essere utilizzato come supporto per i proprietari e gli operatori dei siti web nel momento in cui si trovano a valutare se i trasferimenti di dati verso un paese sono sicuri o meno.

Nella parte seguente dell’articolo esamineremo le raccomandazioni dell’EDPB sul trasferimento sicuro di dati al di fuori dall’UE, soffermandoci sulle conseguenze che esse possono avere sull’utilizzo dei cookie da parte del tuo sito web e sul trattamento dei dati personali dei tuoi utenti finali.

N.B. tieni presente che i siti internet possono inviare dati anche in modi diversi dai cookie e i tracker.

Step 1 – Qual è la destinazione geografica dei tuoi dati?

Devi conoscere la destinazione geografica dei dati personali degli utenti raccolti e trasferiti dal tuo sito – questo è il primo passo.

Questa è la chiave di tutto il resto: se ad esempio scopri che il tuo sito web invia dati personali degli utenti verso paesi extra UE, allora ti sarà necessario adottare ulteriori misure per garantire la conformità.

La mappatura del flusso di dati del tuo sito web può essere un compito piuttosto complesso ma, utilizzando il potente scanner di siti web di Cookiebot, potrai individuare automaticamente tutti i cookie e i tracker del tuo sito e ricevere un report dettagliato su che parte del mondo il tuo sito web invia dati. 

Step 2 – Quali sono le tue modalità di trasferimento dei dati?

Una volta che hai capito in che parte del mondo il tuo sito web invia le informazioni personali dei tuoi utenti, il secondo punto delle raccomandazioni dell’EDPB consiste nel fare in modo di utilizzare il corretto meccanismo di trasferimento.

Se il tuo sito invia dati personali a paesi con un accordo di adeguatezza con l’UE (ad es. il Giappone), non è necessario adottare ulteriori misure in relazione a questi trasferimenti di dati.

Se però il tuo sito invia dati personali anche a paesi senza un accordo di adeguatezza con l’UE (ad esempio gli Stati Uniti), devi assicurarti di utilizzare uno degli strumenti di trasferimento elencati nell’Articolo 46 del GDPR.

E ricorda: occorre sempre avere il consenso degli utenti finali per poter raccogliere o trattare dati personali, anche se non li invii a paesi extra UE.

Step 3 – I dati saranno protetti dopo l’invio?

Il terzo passaggio del manuale di raccomandazioni dell’EDPB consiste nel valutare se in un paese esistono leggi o meccanismi di controllo per la tutela della privacy in grado di garantire un livello equiparabile di protezione per gli utenti del tuo sito web e per i loro dati personali.

Questo step potrebbe sembrare un po’ insidioso – magari non hai molta dimestichezza con la legislazione statunitense in materia di privacy?

Andiamo a vedere in che modo le Garanzie Essenziali UE dell’EDPB possono darti una mano a determinare il livello di protezione dei dati di un paese.

Le EU Essential Guarantees possono aiutarti a comprendere come effettuare una valutazione di questo tipo sui paesi verso i quali il tuo sito web invia dati, ad esempio verificando se:

• il trattamento dei dati nel paese si basa su regole chiare, precise e accessibili
• gli obiettivi legittimi per il trattamento dei dati sono conformi alla legislazione europea
• il paese dispone di un meccanismo di controllo indipendente, ad esempio un’autorità per la protezione dei dati
• i tuoi utenti dispongono di mezzi legali a cui ricorrere se i loro diritti garantiti dal GDPR vengono violati.

Step 4 – Adotta ulteriori protezioni per il trasferimento dei dati

Se scopri che il tuo sito web invia dati personali di utenti finali, ad esempio verso paesi extra UE dove non è garantito un livello adeguato di protezione dei dati, il quarto punto delle raccomandazioni dell’EDPB illustra come è possibile assicurarsi una maggiore sicurezza per quanto riguarda i trasferimenti di dati, in modo che siano conformi agli standard di equivalenza dell’UE.

Tra queste disposizioni supplementari contenute nelle raccomandazioni dell’EDPB ci sono:

• salvaguardie tecniche (come protocolli di cifratura e pseudonimizzazione)
• garanzie contrattuali (come impegni di trasparenza degli importatori e controlli rafforzati)
• provvedimenti organizzativi (come politiche interne di governance dei trasferimenti).

Queste misure supplementari sono contenute nell’Allegato 2 delle raccomandazioni dell’EDPB.

Step 5 & 6 – Documenta e riesamina

Nello step 5 e lo step 6 della guida contenente le raccomandazioni dell’EDPB, vieni incoraggiato a documentare le tue pratiche di trasferimento dei dati e il meccanismo di controllo con cui garantisci un’adeguata tutela agli utenti finali del tuo sito.

Sei inoltre esortato a riesaminare ad intervalli regolari le tue modalità di trasferimento dei dati, così da mantenerti sempre aggiornato sugli ultimi sviluppi in materia nei vari paesi verso cui invii i dati.

Qual è la destinazione geografica dei dati raccolti dal tuo sito web?

Scansiona gratuitamente il tuo sito internet con Cookiebot

Esegui la scansione del tuo sito web per avere una panoramica completa di tutti i cookie e le attività di tracciamento in funzione sul tuo dominio, per averne il pieno controllo.

La tecnologia di scansione di Cookiebot, leader mondiale nel settore, ti permette di identificare il tipo di dati che il tuo sito elabora e verso quali parti del mondo invia i dati degli utenti.

Richiedi un report di scansione gratuito da Cookiebot: scoprirai non solo a quali paesi ciascun cookie del tuo sito invia i dati degli utenti, ma anche se questi paesi sono considerati adeguati dall’Unione Europea.

Con Cookiebot, ti assicuri la totale trasparenza dei flussi di dati del tuo sito web e il pieno controllo dei cookie di terzi, come i cookie di Facebook e Google dagli Stati Uniti.

La piattaforma per la gestione del consenso di Cookiebot offre agli utenti finali la possibilità di esprimere un vero e proprio consenso ai diversi tipi di cookie. Ciò è possibile grazie a un cookie banner che raggruppa automaticamente tutti i tracker in quattro categorie di cookie semplici ed intuitive, che gli utenti finali possono attivare e disattivare in modo granulare, a garanzia di un consenso valido ai sensi del GDPR.

Assoluta trasparenza

La tecnologia di scansione di Cookiebot trova tutti i cookie e i tracker del tuo sito web e mappa con precisione le tipologie di dati personali elaborati e le destinazioni in cui essi vengono inviati, consentendoti in tempi rapidi di conoscere appieno il livello di conformità del tuo dominio e il grado di protezione dei dati dell’utente finale.

Conformità

La piattaforma per la gestione del consenso di Cookiebot conferisce pieno controllo all’utente finale, permettendogli di prestare il consenso granulare per ciascuna specifica finalità di trattamento dei dati, così come richiesto dal GDPR per garantire una completa protezione dei dati personali.

Massima personalizzazione

Cookiebot è completamente personalizzabile, dando così al tuo sito web la possibilità di informare gli utenti sulla tua specifica configurazione dei cookie e del tracciamento, coinvolgendoli in un dialogo onesto e trasparente su quali dati vengono elaborati, e su come, per quale scopo e dove nel mondo vengono inviati.

Prova Cookiebot gratuitamente per 14 giorni… o per sempre, se il tuo sito web è di dimensioni contenute.

Di cosa tratta il caso Schrems II?

Il caso Schrems II, che prende il nome dell’avvocato attivista per la privacy austriaco Maximilian Schrems di NOYB, ha messo in discussione due dei meccanismi più utilizzati per il trasferimento di dati personali dall’UE agli Stati Uniti, ovvero le Clausole contrattuali standard (SCC) e il principio dello Scudo per la Privacy.

Il Regolamento generale sulla protezione dei dati (GDPR) dell’UE prevede che un paese debba avere un livello adeguato di protezione dei dati, prima che possano esservi trasmessi dati personali dall’UE. Le decisioni di adeguatezza prese dalla Commissione UE stabiliscono se i dati personali possono essere legalmente inviati a un paese al di fuori dell’UE.

Fino al 2022, la Corte di giustizia europea non ha ritenuto che le autorità statunitensi offrano garanzie adeguate alla protezione dei dati; tuttavia, diversi sistemi di trasferimento consentono alle società e alle organizzazioni commerciali negli Stati Uniti di inviare di dati personali dall’UE agli USA, dove questi dati vengono poi conservati.

Tra questi vi sono le Clausole contrattuali standard (SCC), lo Scudo per la Privacy e le Norme vincolanti d’impresa (BCR, dall’inglese Binding Corporate Rules).

I dati personali dell’UE vengono protetti in maniera adeguata dopo il trasferimento negli USA?

Il caso Schrems II giunge alla CGUE a seguito di una richiesta presentata nel 2015 da Max Schrems al garante per la protezione dei dati (Data Protection Commissioner) irlandese di imporre a Facebook la sospensione dei trasferimenti di dati dall’UE agli Stati Uniti.

Le procedure di Facebook per la trasmissione dei dati personali dell’UE verso gli Stati Uniti, passando per la sede centrale in Irlanda, si basano sulle SCC.

Il caso Schrems II mette in discussione la legalità di questo sistema, sostenendo che Facebook non può garantire un livello di protezione dei dati che sia adeguato agli standard dell’UE, poiché le leggi statunitensi (come la FISA 702 e l’EO 12.333) impongono una sorveglianza massiccia, in netto contrasto con la legislazione eurounitaria (come il GDPR), che prevede invece una forte tutela della privacy dei dati.

La richiesta di Schrems di vietare il trasferimento dei dati di Facebook dall’UE agli Stati Uniti passa poi dall’Alta Corte irlandese alla CGUE. La Corte di giustizia europea, massima autorità giuridica dell’UE, formula undici domande, tutte se e come i dati personali dei cittadini dell’UE possano essere protetti negli Stati Uniti, il cui panorama giuridico è radicalmente diverso.

La sentenza della CGUE nella causa Schrems II del 16 luglio 2020 si è sostanzialmente schierata con Max Schrems, rendendo invalido lo Scudo per la Privacy come meccanismo per il trasferimento UE-USA dei dati personali e stabilendo severi obblighi per i titolari del trattamento dei dati e per le autorità preposte alla protezione dei dati in ogni Stato membro dell’UE, al fine di garantire un’adeguata protezione dei trasferimenti di dati personali laddove si utilizzino le clausole contrattuali standard come meccanismo.

Annullato anche il Privacy Shield Svizzera-USA

L’8 settembre 2020, in seguito a un’attenta valutazione dello Scudo per la Privacy Svizzera-USA, finalizzato a garantire il trasferimento di dati tra la Svizzera e gli Stati Uniti, l’Incaricato Federale della Protezione dei Dati e della Trasparenza (IFPDT) dichiara inadeguato il suddetto regime di trasferimento.

L’IFPDT ha giudicato inadeguato il livello di protezione dei dati negli Stati Uniti, invalidando di conseguenza il meccanismo di trasferimento del basato sul Privacy Shield Svizzera-USA – una decisione simile a quella della CGUE, che ha annullato lo Scudo Privacy UE-USA.

Gli ultimi sviluppi

Il trattamento dei dati personali tra paesi di regioni e giurisdizioni diverse è saltato alla ribalta nel 2018 con l’eclatante caso di Cambridge Analitica, che ha reso noto al pubblico le tante faglie nel sistema di protezione della privacy dei navigatori web durante il trasferimento di dati di utenti internet a paesi terzi. Tuttavia, il dialogo tra le istituzioni europee e statunitensi risale agli anni precedenti lo scandalo di Facebook. Il percorso non è sempre stato facile e senza ostacoli, ma le parti coinvolte sembrano essere finalmente giunte ad un accordo per la protezione delle informazioni degli utenti in materia di trasferimento di dati a paesi terzi, con la dichiarazione d’adeguatezza approvata il 10 luglio del 2023 e il susseguente quadro UE-USA. Ma ripercorriamo le tappe che hanno portato a questa decisione.

Cronistoria da Safe Harbor alla dichiarazione d’adeguatezza post-sentenza Schrems II

2000 – Le trattative tra UE e USA cominciano con l’accordo Safe Harbour

L’Accordo Safe Harbor è un accordo sul trasferimento di dati tra l’Unione Europea e gli Stati Uniti che consente alle aziende di trasferire dati personali dall’Europa agli Stati Uniti. L’accordo, ratificato in Italia il 10 ottobre 2001, viene concepito per garantire che le aziende che trasferiscono dati negli Stati Uniti forniscano un’adeguata protezione della privacy dei cittadini europei. I sette principi cardinali dell’accordo sono:

• notifica con regole chiare
• scelta
• trasferimento esterno
• sicurezza
• integrità dei dati
• accesso
• applicazione dei suddetti principi

2015 – La Corte di giustizia europea annulla l’accordo con la sentenza Schrems I.Dopo gli eventi terroristici dell’11 settembre, il governo statunitense emana una serie di provvedimenti per la sicurezza nazionale che consentono all’intelligence di effettuare una sorveglianza di massa accedendo alle informazioni elaborate e conservate dai provider con sede sul territorio nazionale anche per i cittadini europei. È a questo punto che l’Unione europea stabilisce che, con questi cambiamenti, non ci sono più le condizioni per fornire un adeguato livello di protezione della privacy dei propri cittadini. Conseguentemente, la Corte di giustizia annulla l’accordo in quanto la decisione assunta dalla Commissione nel 2000 non è più idonea ad autorizzare il trasferimento dei dati dall’Europa verso gli USA. I trasferimenti di dati verso gli Stati Uniti vengono interrotti fino a che le autorità statunitensi non propongono garanzie adeguate.

2016 – Viene approvato il Privacy Shield. Grazie ad un meccanismo di autocertificazione che permette di essere inserite in un registro del Dipartimento del commercio statunitense, le aziende con sede negli Stati Uniti possono ricevere dati dei cittadini dell’Unione europea. L’adesione a questo registro è volontaria, ma comporta l’impegno di aderire ai principi di tutela della privacy sottoscritti.

2020 – La Corte di giustizia europea emette la sentenza Schrems II, invalidando il Privacy Shield.

La sentenza Schrems II ha un impatto particolarmente negativo sull’economia digitale, che ormai è parte integrante e fondamentale dell’economia globale. Per questo, le parti interessate lavorano alacremente per raggiungere un accordo di principio, che si realizza nel marzo del 2022 con il Data Privacy Framework con l’impegno da parte degli Stati Uniti di approvare alcune riforme per aumentare il livello di protezione richiesto dall’Unione europea per tutelare la privacy e i diritti individuali rispetto all’uso dei dati degli utenti da parte dei servizi d’intelligence.

Ottobre 2022 – Con un ordine esecutivo, il presidente degli Stati Uniti, Biden, rende operativi i principi del Data Privacy Framework.

Luglio 2023 – La Corte di giustizia europea emana una dichiarazione d’adeguatezza, stabilendo che gli Stati Uniti hanno implementato un meccanismo di controllo adeguato a garantire la protezione dei dati degli utenti web europei e si adotta il nuovo quadro UE-USA per la protezione dei dati personali. Come la Presidente Ursula von der Leyen ha dichiarato: “Il nuovo quadro UE-USA per la protezione dei dati personali garantirà flussi di dati sicuri per i cittadini europei e apporterà certezza giuridica alle imprese su entrambe le sponde dell’Atlantico. A seguito dell’accordo di principio che ho raggiunto lo scorso anno con il Presidente Biden, gli Stati Uniti hanno attuato impegni senza precedenti per istituire il nuovo quadro. Oggi compiamo un passo importante per rassicurare i cittadini sul fatto che i loro dati sono al sicuro, per approfondire i legami economici tra l’UE e gli Stati Uniti e nel contempo per riaffermare i nostri valori condivisi.[…].”

Con il nuovo quadro UE-USA le azienda statunitensi che aderiscono si impegnano a rispettare la privacy dei dati dei cittadini dell’Unione europea con misure quali la cancellazione dei dati raccolti una volta assolta la finalità della raccolta stessa e la continua protezione dei dati se trasferiti a terze parti, e tutta una serie di garanzie per i cittadini e meccanismi di ricorso per gli stessi.

FAQ