Durante un “Fireside Talk” organizzato da Privacy Provided, questa mattina l’avvocato e attivista della privacy austriaco Max Schrems ha parlato di IT aziendali e di reti. In sintesi, si è giunti alla conclusione che la collaborazione con fornitori europei è spesso la soluzione più semplice e conveniente per gli utenti in termini di conformità al GDPR.
In passato, il trasferimento di dati personali dall’Europa agli Stati Uniti era possibile secondo la legge sulla protezione dei dati grazie agli accordi bilaterali Safe Harbor e successivamente Privacy Shield. Tuttavia, su iniziativa di Max Schrems, la Corte di giustizia dell’UE ha dichiarato entrambi gli accordi non validi perché il livello di protezione dei dati negli Stati Uniti non è paragonabile a quello europeo. Da quel momento, molte aziende europee sono state per necessità costrette a fare ricorso alle cosiddette clausole contrattuali standard per giustificare i trasferimenti di dati.
Clausole contrattuali standard – una soluzione molto complessa
Secondo Max Schrems, le clausole contrattuali standard o SCC, comprese quelle aggiornate a giugno 2021, sono però molto più complicate da applicare perché, in linea di principio, occorre fare ogni volta una valutazione caso per caso. Quanto meno, se l’azienda che riceve i dati negli Stati Uniti non è un fornitore di servizi di comunicazione elettronica, le difficoltà legate alla protezione dei dati sono minori. Prendiamo come esempio un caso citato da Schrems: Se l’acciaieria austriaca Voest trasferisce i dati a una filiale americana che produce acciaio in quel paese, allora il GDPR non è di ostacolo. Tuttavia, occorre sempre verificare se negli USA sono coinvolti dei subappaltatori che possono ricadere nel settore delle comunicazioni elettroniche.
Non è sempre facile valutare la situazione dei fornitori USA con funzioni di elaborazione dei dati dislocate in numerose aree geografiche, condizione questa tipica per le applicazioni dei settori di e-mail, sicurezza o distribuzione dei contenuti. In questo caso, è anche lecito chiedersi se l’elaborazione di dati sia necessaria (cioè inevitabile) o meno ai sensi dell’articolo 49 del GDPR. Tuttavia, ciò che secondo Max Schrems sembra essere chiaro è che, anche se i fornitori cloud USA gestiscono data center in Europa, ciò non implica che i dati memorizzati in questi data center siano protetti contro gli accessi in virtù della legge FISA, la quale non include limitazioni geografiche. Sono sicuri solo i dati che non sono accessibili al fornitore stesso, come ad esempio un backup criptato memorizzato nel cloud per il quale non c’è accesso locale alle chiavi.
Interpretazioni giuridiche diverse
Secondo Max Schrems, per ciò che concerne la protezione dei dati, il diritto americano e quello europeo hanno posizioni diametralmente opposte. A questo si potrebbe rimediare essenzialmente solo modificando le leggi. Nell’UE, ciò riguarderebbe la Carta dei diritti fondamentali, per la quale però una trasformazione sembra essere estremamente improbabile. A medio termine, si potrebbe piuttosto sperare in un ridimensionamento delle leggi di sorveglianza statunitensi FISA e CLOUD Act (che, tra l’altro, potrebbero anche servire a legittimare lo spionaggio industriale).
Ciò troverebbe conferma in un rapporto di Bloomberg di ieri: l’alto dirigente e avvocato di Microsoft, Brad Smith, si è infatti lamentato del fatto che le citazioni segrete delle aziende tecnologiche statunitensi stavano distruggendo la fiducia tra i clienti europei, rendendo più difficile fare affari. La scorsa settimana, i media hanno riferito che sia Apple che Microsoft sono state costrette dalle agenzie governative a consegnare i dati sugli oppositori politici di Donald Trump durante la sua Presidenza. In entrambi questi casi sono state poste condizioni di obbligo alla segretezza, tra cui il divieto di informare le persone interessate.
Incertezza generale
Alla domanda se un’azienda europea potrebbe trasferire i suoi obblighi di protezione dei dati al suo fornitore di servizi americano e mantenersi così indenne, Schrems ha risposto che le promesse di conformità al GDPR potrebbero essere verificate solo a fronte di una grande sforzo e che, finora, nessuno ha verificato questo aspetto né intrapreso azioni legali. Esistono già alcune assicurazioni di responsabilità civile corrispondenti, ma queste sono molto costose e finora non hanno assolutamente dimostrato di essere valide. Nel caso delle cosiddette polizze assicurative D&O per i top manager, bisogna controllare le clausole di protezione dei dati, come nel caso di molte polizze assicurative di protezione giuridica, poiché queste possono essere escluse (già implementate in alcune polizze assicurative).
Max Schrems considera che una modifica del GDPR sia auspicabile, anche perché l’attuale regolamento non prevede alcuna differenziazione in base alle dimensioni dell’azienda. In definitiva, è il settore stesso a essere corresponsabile di questa situazione, perché all’elaborazione di tale regolamento sono state coinvolte solo le grandi aziende dotate di reparti di attività di lobby corrispondentemente grandi. E nessuno a Bruxelles si auspica di vedere prossimamente una nuova spinta lobbistica di tali epiche proporzioni.
Interpellare i fornitori di servizi
Max Schrems consiglia alle aziende che dopo il Privacy Shield si sentono insicure, di non investire nel settore della consulenza legale, ma piuttosto di interpellare i loro stessi fornitori di servizi e metterli alla prova. Sul nostro sito è possibile consultarne gli aspetti essenziali, come pure un questionario (PDF) con cui potete verificare i vostri fornitori di servizi. Nella sua conclusione, Max Schrems sostiene che la soluzione più semplice e conveniente in molti casi sia quella di lavorare con un fornitore di servizi europeo.