Sulla spinta dei 101 reclami presentati da NOYB – European Center for Digitale Rights (organizzazione non governativa fondata da Maximilian Schrems, www.noyb.eu), l’anno 2022 ha visto diversi Garanti europei pronunciarsi sul tema di Google Universal Analytics (GA3), qualificandolo non conforme al Regolamento europeo n. 679/2016 (GDPR).
La società statunitense ha immesso nel mercato Google Analytics 4 (GA4), che non è una semplice evoluzione di GA3, ma un prodotto completamente nuovo.
Gli addetti ai lavori sono ancora oggi divisi tra chi lo ritiene conforme al GDPR e chi no. Nel frattempo, solamente Datatilsynet, il Garante danese, ha preso posizione sul tema pubblicando delle FAQ (Frequently Asked Questions), reperibili all’indirizzo https://www.datatilsynet.dk/english/google-analytics.
Quali dati tratta e trasferisce Google?
Una delle principali soluzioni presentate da Google per garantire la conformità di GA4 al GDPR è la mancata registrazione dell’indirizzo IP dell’utente-interessato: secondo la società statunitense, non vi sarebbe più un trasferimento di dati personali in quanto l’utente non sarebbe più identificabile.
Le pronunce dei Garanti europei su GA3 avevano evidenziato come il troncamento dell’ultimo ottetto dell’indirizzo IP non fosse un trattamento di pseudonimizzazione adeguato. Infatti, Google ha il controllo di numerosi dati che, analizzati nel loro insieme, permettono di re-identificare l’utente. Questo è ancora più vero nel caso in cui l’utente navighi utilizzando il proprio profilo Google, ipotesi frequente nella realtà odierna: la società statunitense può incrociare i dati raccolti dal servizio di Analytics con l’identità del profilo dell’utente che sta navigando nel sito (o app) sottoposto ad analisi.
La soluzione prevista da GA4 di non procedere alla registrazione dell’indirizzo IP potrebbe sembrare efficace. L’indirizzo IP viene infatti elaborato solamente per poter localizzare l’utente al fine di indirizzare i flussi di dati verso il server più vicino, ma non viene conservato.
Tuttavia, tale soluzione non risulta sufficiente e adeguata.
Alla luce della recente approvazione del testo del Data Governance Act, avvenuta il 6 aprile 2022, se ne tracciano dapprima brevemente i punti nodali, per poi soffermarsi sul tema dell’Altruismo dei dati. Questo concetto e le sue estrinsecazioni rappresentano uno snodo fondamentale di questo regolamento. La domanda principale che bisogna porsi però è: le sue previsioni sul tema impatteranno davvero la realtà o resteranno lettera morta?
Il Data Governance Act
Il Data Governance Act[1] è un regolamento che va ad innestarsi in un ambizioso progetto europeo di armonizzazione e regolamentazione dei dati personali e del loro utilizzo. La società odierna poggia ormai le sue basi sul concetto di dati che, come definiti dall’art. 2 del DGA, includono “ogni rappresentazione digitale di atti, fatti o informazioni e ogni raccolta di tali atti, fatti o informazioni, incluse le registrazioni sonore, visive o audiovisive”[2]. Risulta consequenzialmente opportuno procedere ad una pianificazione quanto più condivisa ed organica sul tema, seguendo l’approccio che l’Unione ha sempre avuto riguardo tale materia: regolamentare non per inibire, ma bensì per incentivare un uso consapevole dei dati.
Dopo un discreto periodo di gestazione, il suo testo è stato approvato dal Parlamento Europeo il 6 aprile 2022[3] e si fonda su tre pilastri fondamentali. Il primo di essi è il riutilizzo dei dati nel settore pubblico, strumento chiave al fine di consentire una digitalizzazione efficiente e proficua degli apparati statali che, sempre di più, si affidano a sistemi basati su algoritmi e intelligenze artificiali, i quali richiedono, ai fini del loro fisiologico processo di learning, una grande mole di dati da processare.
Il secondo pilastro si basa, invece, sulla diffusione dei dati attraverso intermediari. La scelta di questo tipo di sistema di condivisione poggia il suo sostrato sulla possibilità di poter garantire maggiori standard sia qualitativi, in riferimento alla bontà dei database stessi, sia di sicurezza ed accountability nel processo di raccolta, gestione e concessione di questi ultimi, nonché di trasparenza per quanto concerne il diritto di accesso e i costi ad esso connessi.
L’ultimo pilastro, fulcro di questo articolo, si pone un obiettivo di grande levatura sociale e morale ed è menzionato sotto il concetto di “Altruismo dei dati”. Esso viene definito dall’art. 2 co. 16 del DGA come “la volontaria diffusione di dati, sulla base del consenso dell’interessato nel trattare i dati personali che lo riguardano o l’autorizzazione del Titolare all’utilizzo dei suoi dati non personali senza ricercare o ricevere un compenso che vada oltre alla compensazione dei costi in cui incorre al fine di rendere tali dati disponibili per obiettivi di interesse generale come previsto dal diritto nazionale, ove applicabile, come ad esempio: sanità, contrasto al cambiamento climatico, miglioramento della mobilità, facilitazione dello sviluppo, produzione e diffusione di statistiche ufficiali, miglioramento della fornitura di servizi pubblici, dell’elaborazione di politiche pubbliche o della ricerca scientifica nell’interesse generale”[4].
Il termine Industria 4.0 è entrato nel linguaggio comune, complici gli ingenti fondi stanziati dal Piano Nazionale Industria 4.0 e dal PNRR in ottica di Transizione 4.0. Ma cosa si intende per Industria 4.0? E soprattutto, a fronte dei gradi benefici in termini di produttività e competitività, quali sono le principali criticità legali da affrontare prima di innovare il proprio modello produttivo?
Il concetto di Industria 4.0
Per Industria 4.0 si è soliti fare riferimento ad un nuovo paradigma nella produzione e gestione aziendale che si caratterizza per la trasformazione digitale del processo produttivo in tutte le sue fasi. L’automazione dei processi e l’utilizzo di macchinari connessi ad Internet consentono di monitorare in tempo reale la produzione, di efficientarne la gestione e, in ultima istanza, di incidere sulla produttività e sulla competitività. La digitalizzazione in azienda si basa sull’introduzione di tecnologie innovative, come il ricorso a nuovi materiali, alla robotica, alla meccatronica, a tecnologie ICT, ai Big Data e alla Data Analytics, a dispositivi interconnessi (IoT) e sensori intelligenti.
Le risorse stanziate per la Transizione 4.0
Si assiste in questi anni ad una vera e propria corsa agli investimenti in tale settore, tanto in Italia, quanto nel contesto internazionale, con importanti ripercussioni sul piano della competitività delle imprese su scala globale. In questa logica si comprende la mole degli incentivi con i quali si intende garantire innovazione e competitività alle imprese italiane, specie nel settore manifatturiero. Basti ricordare come il PNRR, in linea con la politica intrapresa dal MISE con l’adozione del Piano Nazionale Industria 4.0, ha previsto lo stanziamento di ben 13 miliardi di euro con l’obbiettivo di promuovere la trasformazione digitale nei processi produttivi delle imprese italiane.
La pandemia e la globalizzazione tecnologica hanno contribuito ad una vera e propria esplosione del commercio elettronico. Si calcola che soltanto nei primi mesi del 2021 le vendite on line in Italia siano aumentate di oltre il 50%, con una previsione di crescita per l’intero anno di oltre il 70%.
Non c’è alcun dubbio che i vantaggi del commercio elettronico siano innumerevoli e che lo stesso, soprattutto negli ultimi due anni, ha rappresentato per molti, sia imprese offerenti sia consumatori, l’unico modo per vendere e acquistare beni e servizi.
I vantaggi dell’e-commerce
Per il venditore, i vantaggi dell’e-commerce si traducono in: i) riduzione dei costi della rete distributiva, ii) riduzione dei tempi di vendita, iii) bacino di clienti potenzialmente illimitato.
Per il destinatario del servizio invece, l’e-commerce si traduce in: i) possibilità di acquistare in qualsiasi momento e in qualsiasi luogo prodotti e servizi offerti da aziende di qualsiasi parte del mondo, ii) possibilità di risparmiare sui costi e tempi di acquisto, iii) acquisire facilmente informazioni su prodotti e fornitori, iv) comparare in maniera veloce le condizioni di vendita applicate dai diversi venditori.
Numerosi sono però gli adempimenti che il legislatore, europeo e italiano, ha imposto ai “venditori elettronici”.
In particolare, il soggetto che intende vendere i propri beni e servizi on-line ha un vero e proprio dovere di informazione, dovendo fornire all’utente una serie di informazioni sia a carattere generale sia a carattere specifico per la tutela dell’utente stesso.
Obblighi informativi generali
Il dovere di informazione del venditore si esplicita nella previsione di diversi obblighi informativi, che derivano da diverse norme, ognuna mirante a tutelare determinati interessi e/o categorie di “acquirenti”.
Un primo gruppo di obblighi riguarda quelli a carattere generale.
Infatti, ai sensi dell’art. 7 del D. Lgs. 70/2003, deve essere possibile per l’utente e per le autorità competenti conoscere in maniera semplice alcuni dati che permettono di identificare l’attività svolta e il soggetto che la offre. Si tratta quindi di indicare nome, denominazione o ragione sociale della società venditrice, numero di iscrizione al REA e partita Iva, i contatti di cui l’utente può servirsi in caso di necessità, prezzi e tariffe dei prodotti o dei servizi resi, e simili.
Nel caso di svolgimento di particolari attività, inoltre il D. Lgs. 70/2003 impone al prestatore ulteriori obblighi informativi. Ad esempio, nel caso dell’esercizio di professioni regolamentate, dovrà essere indicato l’ordine professionale di appartenenza, il titolo professionale e lo Stato membro in cui è stato rilasciato, oltre ad un riferimento alle norme professionali applicabili e agli eventuali codici di condotta vigenti; nel caso di attività soggette a concessione, licenza o autorizzazione, invece, sarà necessario indicarne gli estremi e la competente autorità di vigilanza.
Obblighi informativi specifici
Per quanto riguarda gli obblighi informativi specifici, invece, lo stesso decreto richiede che all’utente vengano fornite informazioni, ad esempio, in ordine al modo in cui il contratto concluso sarà archiviato e le relative modalità di accesso, ai mezzi e alle modalità di correzione di eventuali errori di inserimento dei dati prima di inoltrare l’ordine, alle lingue a disposizione per concludere il contratto, alla risoluzione delle controversie che possono scaturire dall’acquisto on-line, ai metodi di pagamento di cui può servirsi l’utente in fase di acquisto.
Tutte le informazioni sopra elencate devono essere costantemente aggiornate dal gestore del sito e-commerce e devono essere di facile accesso per l’utente.
L’analisi e valutazione del rischio è un tema che riguarda l’imprenditore in qualsiasi area della propria attività e non soltanto in relazione ai rischi per la salute e la sicurezza dei lavoratori, che devono essere parametrati sulla base del settore di appartenenza dell’impresa e della tipologia di mansioni svolte.
Infatti, il legislatore ha reso l’analisi e valutazione del rischio uno strumento essenziale per guidare l’imprenditore nella scelta di molti tipi di strategie idonee a minimizzare il rischio previsto in un determinato settore, da ultimo anche con la normativa sulla crisi di impresa.
Dal settore assicurativo al Codice della Crisi d’Impresa
L’analisi e valutazione del rischio è un modus operandi tipico del settore assicurativo, dove prima di decidere se assumersi un rischio di un terzo, vengono valutati in modo puntuale l’attività e il settore da assicurare.
In ambito legale, sono molti i settori che hanno fatto propria la metodologia dell’analisi e valutazione del rischio. Si pensi al d.lgs. 231/2001 in materia di responsabilità amministrativa degli enti, al Reg. UE 2016/679 (GDPR) in tema di trattamento dei dati personali, al Codice della Crisi d’Impresa (d.lgs. 14/2019) di cui si continua a rimandare la complessiva entrata in vigore.
Il rischio da mitigare per il d.lgs. 231/2001 è quello relativo alla possibile commissione dei reati presupposto, il quale viene minimizzato mediante la predisposizione e adozione di protocolli organizzativi aziendali (raccolti nel “Modello 231”, di cui vi abbiamo parlato in un precedente articolo), ove sono indicate le modalità operative da porre in essere per evitare la commissione del reato.
Per quanto riguarda il trattamento dei dati personali, il rischio da gestire è quello relativo ai parametri della c.d. CIA, ovvero alla perdita di Confidentiality (da intendersi come perdita di riservatezza del dato), Integrity (da intendersi come perdita di integrità del dato ovvero come perdita di completezza) e Availability (da intendersi come perdita di disponibilità del dato). Al fine di limitare tali rischi, si procede alla definizione di modalità operative aziendali spesso trascritte in policy sul trattamento dei dati personali, in procedure interne o in regolamenti.
Per quanto concerne il rischio di crisi d’impresa, l’art. 2086 c.c. prevede l’obbligo per l’imprenditore di istituire un assetto organizzativo, amministrativo e contabile adeguato alla natura e alle dimensioni dell’impresa, che deve essere anche idoneo alla rilevazione tempestiva della crisi ed alla sua gestione, nell’ottica di assicurare la continuità aziendale. Tale assetto organizzativo si sostanzia in modalità operative interne, spesso codificate, volte ad una corretta amministrazione aziendale.
L’incremento dell’utilizzo degli strumenti tecnologici per lo svolgimento delle prestazioni lavorative già da tempo ha dato luogo ad un acceso dibattito tra le parti in gioco nella ricerca del punto di equilibrio tra i diversi interessi coinvolti.
Da un lato, infatti, troviamo l’esigenza del datore di lavoro di controllare l’attività lavorativa prestata dal proprio dipendente, a cui si aggiunge la necessità di tutelare i dati e le informazioni aziendali; dall’altro, bisogna tenere in considerazione il diritto del lavoratore di difendere la propria privacy e garantire la libertà e dignità dello stesso in conformità con quanto previsto dallo Statuto dei Lavoratori (Legge 20.05.1970, n. 300).
La ricerca di tale punto di equilibrio si è fatta ancora più spasmodica nell’emergenza sanitaria avuta inizio poco più di un anno fa.
Il controllo del lavoro “a distanza”
Come fare dunque a controllare la prestazione lavorativa del lavoratore a distanza e a tutelare, sempre a distanza, i dati aziendali e preservarne la sicurezza? È possibile utilizzare dispositivi idonei a controllare a distanza la prestazione del lavoratore?
Ci si riferisce in particolare a quei software in grado di verificare la presenza o meno del lavoratore al pc attraverso un “semaforo” verde, giallo o rosso. Oppure a quei software in grado di trasmettere al datore di lavoro un report periodico su ciò che fa il dipendente, attraverso la registrazione, ad esempio, degli accessi alle pagine web, del tempo trascorso sui social network, dei movimenti del mouse e della digitazione sulla tastiera. Esistono poi dispostivi indossabili o installabili su smartphone attraverso anche delle app di geolocalizzazione del dipendente. Ed infine, programmi capaci di verificare attraverso addirittura la webcam la presenza o meno del lavoratore al pc.
Va detto subito che tali software, per citare i più famosi Time Doctor, Teramind, Productivity Score, dilagano oltreoceano, nella maggior parte dei casi, in spregio a qualsiasi forma di tutela della privacy del lavoratore. E in Italia?
Il Consiglio di Stato ha affermato molto chiaramente che per le piattaforme on line e, in generale, per i fornitori di servizi digitali non è sufficiente conformarsi alle norme sulla privacy, ma devono essere altresì garantiti tutta una serie di diritti previsti a tutela dei consumatori.
Le norme sulla tutela dei consumatori non riguardano infatti solo le forniture di beni “fisici” o i servizi dati a pagamento, bensì anche i servizi digitali offerti a titolo gratuito, qualora “in cambio” vengano richiesti dati personali degli utenti.
È stato inoltre chiarito che, in caso di violazioni, le sanzioni pecuniarie previste dalle norme sulla protezione dei dati e da quelle per la tutela dei consumatori sono cumulabili, non alternative.
A cosa devono stare quindi attenti gli imprenditori che offrono servizi digitali, per evitare di essere sanzionati, come è successo a Facebook?
Il caso Facebook
Il Consiglio di Stato ha confermato la sanzione che ha colpito Facebook per la pratica commerciale ingannevole consistente nell’omessa informazione al consumatore sulla raccolta e l’utilizzo dei dati per scopi commerciali (sentt. nn. 2630 e 2631 del 29 marzo 2021).
Questa sanzione non veniva dal Garante privacy, come ci si potrebbe aspettare, bensì dall’Autorità Garante della Concorrenza e del Mercato (AGCM), che è competente a decidere sulle pratiche commerciali scorrette delle imprese nei confronti dei consumatori. La stessa sanzione era stata confermata dal TAR del Lazio, insieme a quella relativa alla pratica aggressiva consistente nel trasferimento di dati a soggetti terzi, senza un effettivo e libero consenso dell’utente. Su questo punto il Consiglio di Stato ha sostenuto che la pratica commerciale non fosse scorretta, perché in realtà all’utente era consentita la scelta se trasferire o meno i propri dati ad altre piattaforme e service provider.
Invece, il punto fondamentale che è stato riaffermato dal Consiglio di Stato, confermando la sanzione per la pratica ingannevole, è che tutti gli utenti dei social network devono essere tutelati, oltre che ai sensi del GDPR e del Codice Privacy, anche in base alla normativa sui diritti dei consumatori.
Il rispetto delle norme sul trattamento dei dati personali non basta!
Facebook ha provato a sostenere che, siccome i dati personali sono beni extra commercium, è possibile affermare che il servizio digitale in questione è offerto gratuitamente, senza corrispettivo, e che per questo non si dovrebbe applicare la disciplina consumeristica. Facebook ha sostenuto altresì che le norme a tutela dei consumatori sarebbero comunque “assorbite” da quelle relative alla privacy.
La prima questione è una di quelle che ha riempito negli ultimi anni i discorsi di centinaia di studiosi e politici: esiste la proprietà sui dati personali? L’interessato può farne “uso e abuso”, fino al punto di venderli dietro compenso o di utilizzarli come merce di scambio?
A prescindere dalla qualificazione da dare ai dati personali, tuttavia, è evidente che ormai, di fatto, spopolano modelli di business che si basano proprio sull’utilizzo e lo sfruttamento economico dei dati, inclusi quelli personali.
Ecco che allora si arriva alla seconda questione, alla quale il Consiglio di Stato ha risposto confermando che la tutela che deriva dal GDPR per i dati personali non esclude quella prevista dalle norme sui diritti dei consumatori.
Whatsapp nelle ultime settimane è finita al centro di un’incredibile bagarre mediatica, a causa dell’aggiornamento delle proprie condizioni di utilizzo e della propria privacy policy.
Se ne è parlato e scritto molto, ma essenzialmente il problema denunciato dal Garante è la scarsa chiarezza della nuova privacy policy di Whatsapp.
Come denunciato dall’Avv. Andrea Lisi, presidente di ANORC, per l’utente è già particolarmente laborioso rinvenire, nel sito dell’applicazione, quali sono i termini di utilizzo e la privacy policy che si applicano nel suo caso, posto che ve ne sono diversi a seconda della regione del mondo in cui si risiede.
Il Garante ha infatti ritenuto che dalla lettura dei termini di servizio e dalla nuova informativa non sia possibile, per gli utenti, evincere con precisione e completezza quali siano le modifiche introdotte, né comprendere chiaramente quali trattamenti di dati saranno in concreto effettuati dal servizio di messaggistica.
E d’altronde se la privacy policy e le condizioni di utilizzo fossero state chiare, probabilmente non avremmo assistito alle diatribe di questi giorni.
Ad ogni modo, come ormai saprai, Whatsapp, a fronte delle critiche di associazioni, governi ed esperti, pare essere giunto a miti consigli, prendendo tempo per vagliare l’opportunità di redigere in modo più chiaro la propria informativa. Infatti, il termine per l’accettazione delle nuove condizioni d’uso e dell’informativa è stato postergato dall’8 febbraio al 15 maggio.
Ma quindi è sicuro per la mia privacy utilizzare Whatsapp o meglio cambiare applicazione?
Ad ogni buon conto, Whatsapp è tenuta a rispettare, almeno per gli utenti europei, il GDPR, che fa da scudo contro eventuali abusi da parte del colosso internazionale.
In ogni caso, Whatsapp ha recentemente puntualizzato tramite il proprio profilo Twitter ed un comunicato ufficiale che:
i messaggi scambiati tramite l’app continueranno ad essere protetti dalla crittografia end-to-end;
l’app non tiene traccia delle persone chiamate o con cui ci si è scambiati messaggi;
l’app non ha accesso alle posizioni che condividi;
i gruppi sono assolutamente privati;
è garantito la possibilità per l’utente di scaricare tutti i dati personali trattati dall’applicazione.
Whatsapp ha, altresì sottolineato, come l’aggiornamento dell’informativa non riguardi in alcun modo la privacy dei messaggi scambiati con amici e familiari, ma includa unicamente modifiche inerenti al servizio Whatsapp Business.
Cos’è Whatsapp Business?
In pratica, si tratta un’applicazione gratuita per Android e iPhone, pensata per semplificare l’interazione tra società e clienti.
Le società hanno, infatti, la possibilità di creare un profilo aziendale che aiuta i clienti ad ottenere informazioni aggiuntive, come l’indirizzo e-mail, il sito web, l’indirizzo dell’attività, etc. Inoltre, la versione business mette a disposizione una sezione dedicata alle statistiche sulla messaggistica e una funzione che fornisce delle metriche sul numero dei messaggi inviati, consegnati e letti. Questi dati possono essere utilizzati dalle società per comprendere se una determinata strategia di marketing sta funzionando oppure no.
Inoltre, le aziende possono decidere di collegare il profilo Whastapp a quelli di Facebook ed Instagram, e così implementare campagne apposite per raccogliere nuovi contatti da utilizzare per attività di remarketing.
E cosa cambia nelle condizioni di utilizzo e nella privacy policy per Whatsapp Business?
I principali aggiornamenti delle condizioni di utilizzo chiariscono le modalità con cui le società che utilizzano Whatsapp Business possono utilizzare i servizi disponibili su Facebook per gestire le chat. Nulla di nuovo, insomma.
Ma Whatsapp condivide o no i miei dati personali con Facebook?
Forse non lo sapevi, ma da quando Facebook, nel lontano 2014, ha acquistato Whatsapp, può avere accesso al numero di telefono con cui gli utenti si registrano all’app di messaggistica e alle informazioni sul dispositivo da cui viene utilizzata l’applicazione.
Tuttavia, come chiarito nell’ultimo comunicato emanato da Whastapp, Facebook, nonostante i rumors, continuerà a non poter utilizzare queste informazioni per l’invio di pubblicità o contenuti targhetizzati. Almeno in Europa, grazie al GDPR.
Nel resto del mondo e negli Stati Uniti, diventa invece obbligatorio per tutti gli utenti accettare che dati come il numero di cellulare o la rubrica di Whatsapp possano essere usati da Facebook per mostrare pubblicità personalizzate. In Europa, invece, Facebook potrà unicamente costruire profili statistici anonimi degli utenti di Whatsapp, usando i dati che ad oggi ha a disposizione.
Ad ogni buon conto Whatsapp, ha precisato che:
Né WhatsApp né Facebook possono leggere i tuoi messaggi privati o ascoltare le tue chiamate;
Né WhatsApp né Facebook possono vedere la posizione da te condivisa;
WhatsApp non condivide i tuoi contatti con Facebook.
Conclusioni
Al di là di tutte le dichiarazioni e i comunicati del colosso della messaggistica, qualsivoglia valutazione sulla sicurezza e la regolarità dei servizi offerti da Whatsapp, almeno per quanto concerne gli utenti dell’Unione Europea, è rimandata, in attesa della pronuncia dell’EDPB e delle eventuali modifiche alle policy dell’applicazione, promesse dalla Società per garantire una maggiore chiarezza in ordine ai trattamenti implicati.
L’abolizione del Privacy Shield è stato certamente un evento di cui si è parlato molto. Nella bagarre generata dalla decisione della Corte di Giustizia Europea sul Caso Schrems II, pochi però sono stati gli esperti che si sono esposti e hanno cercato di individuare delle soluzioni pratiche alle problematiche emerse a seguito di detta sentenza. Tra di essi, fortunatamente, anche l’Avv. Manuela Soccol, che in questo webinar enucleava alcuni dei consigli e delle buone pratiche individuati, poi, lo scorso 10 novembre, dall’EDPB nelle “Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data”.
I consigli dell’EDPB
Il Comitato Europeo per la Protezione dei Dati Personali ha finalmente sciolto le riserve, pubblicando una serie composita di raccomandazioni relative al trasferimento dei dati personali in territorio extra-UE, organizzandole in quattro diversi step.
1^ Step: mappare i flussi di dati.
Come prima cosa, è necessario mappare tutti i trasferimenti di dati posti in essere verso paesi terzi. Perché? Essere consapevoli della destinazione dei dati personali è essenziale per garantire che al trattamento siano applicati livelli di sicurezza equivalenti a quelli europei.
2^ Step: individuare lo strumento normativo su cui si basa il trasferimento
Il secondo passo da seguire è quello di identificare lo strumento normativo su cui si basa il trasferimento. Gli artt. 45, 46 e 49 del GDPR, sono chiari sul punto: decisioni di adeguatezza, clausole standard, binding corporate rules, o le eccezioni di cui all’art.49 (es. consenso dell’interessato, esecuzione di un contratto, etc.) possono essere le basi che legittimano tale trasferimento. Non preoccupatevi: il vostro legale o il vostro DPO dovrebbero aver individuato a monte, prima che il trattamento fosse posto in essere, lo strumento normativo in questione.
3^ Step: assessment sulla normativa del paese importatore
Questo step risulta necessario unicamente in assenza di decisioni di adeguatezza della Commissione Europea. In altri termini, il Titolare del Trattamento dovrà verificare la presenza dei presupposti di cui all’art. 46 del GDPR, ossia delle “garanzie adeguate” e, per gli interessati, di“diritti azionabili e mezzi di ricorso effettivi”. Al fine di verificare se sussistono tali circostanze, l’EDPB consiglia di far riferimento alle raccomandazioni dallo stesso fornite nelle“European Essential Guarantees recommendations”. Si badi che l’intero processo di valutazione deve essere documentato e condotto sulla base del principio di accountability.
4^ Step: eventuale applicazione di misure ulteriori
Si tratta del passo sicuramente più importante. Posto che sentenza Schrems II ha precisato che le Clausole Contrattuali Standard possono essere utilizzate solo in presenza di misure ulteriori, qualora il trasferimento di dati si basasse su tali clausole è essenziale verificare la sussistenza di misure tecniche aggiuntive… ma, quali? Ce lo dice l’EDPB, mediante l’elencazione di diversi accorgimenti, all’interno dell’Annex 2 delle Raccomandazioni.
In tal senso, a titolo esemplificativo, relativamente ai data storage e ai backup, il documento afferma che il trasferimento può ritenersi sicuro, se per esempio:
1. i dati personali vengono elaborati utilizzando una crittografia avanzata prima della trasmissione;
2. l’algoritmo di crittografia e la sua parametrizzazione (ad esempio, lunghezza della chiave, modalità operativa, se applicabile) sono conformi allo stato dell’arte e possono essere considerati robusti contro la crittoanalisi eseguita dalle autorità pubbliche nel paese destinatario;
3. le chiavi sono gestite in modo affidabile (generate, amministrate, archiviate, se pertinente, collegate all’identità di un destinatario previsto e revocate);
4. le chiavi sono conservate esclusivamente sotto il controllo dell’esportatore di dati o di altre entità incaricate di questo compito, che risiedono nel SEE o in un paese terzo con normativa adeguata.
Consigli dello Studio
I nostri consigli si possono riassumere in poche parole: accountabilty, DPIA e bilanciamento degli interessi. Al di là di quanto espresso dalle citate raccomandazioni, che peraltro non vanno esenti da critiche di vario genere, è essenziale che il Titolare del Trattamento analizzi l’opportunità di trasferire i dati personali all’estero effettuando una preventiva valutazione di impatto e bilanciando gli interessi in gioco, tra sicuramente anche le misure eventualmente adottate dal fornitore estero in ordine all’annoso problema dei cybercrime. Tale genere di valutazione è tutt’altro che agevole. Pertanto, è senza dubbio essenziale che il Titolare del Trattamento si rivolga ad un legale esperto nel settore, che possa condurlo alla decisione più sicura ed adatta al suo business.
Si fanno, infatti, attendere le Linee Guida promesse dal Comitato Europeo per la Protezione dei Dati (EDPB), e nessun Garante Privacy europeo sembra volersi esporre sul punto, tranne il LfDI Baden-Wuerttemberg, ovverosia l’Ente incaricato per la protezione dei dati e della libertà di informazione del land Baden-Wuerttermberg. Martedì scorso, questo ente ha infatti emesso delle Linee Guida sul trasferimento internazionale dei dati personali alla luce della sentenza sul caso Schrems II.
Le premesse delle Linee Guida
In premessa, l’Autorità sottolinea come sebbene la succitata sentenza non abbia invalidato le clausole contrattuali standard (SCC), risulta pur sempre necessario che il Titolare del Trattamento si assicuri che, nel concreto, il livello di protezione dei dati personali del paese extra-UE di trasferimento sia equipollente a quello garantito all’interno dell’Unione. Peraltro, l’Ente sottolinea che il rispetto di tale presupposto deve essere interpretato alla luce della Carta dei diritti fondamentali dell’UE e dell’articolo 46 del GDPR.
I suggerimenti delle Linee Guida
L’Autorità peraltro non si è limitata a delle affermazioni di principio, chiarendo in quali circostanze, nonostante l’abolizione del Privacy Shield, a fronte delle succitate SCC, il trasferimento dei dati personali extra-UE, può ritenersi valido. In particolare, la medesima precisa che a tal fine il c.d. “Importatore” deve garantire misure tecniche tali da impedire efficacemente l’acceso ai dati personale da parte delle autorità governative estere. L’Ente elenca le seguenti ipotesi:
Utilizzo di crittografia di cui solamente “l’Esportatore” conosca la chiave e che sia, al contempo, impossibile da violare per i servizi governativi;
Implementazione di anonimizzazione o pseudonimizzazione, il cui codice sia conosciuto unicamente dall’Esportatore;
Le Linee Guida contengono anche apposita check-list, che può essere utilizzata dalle società interessate per valutare le misure da adottare al fine di conformarsi alla sentenza Schrems II. In particolare, si consiglia di:
Effettuare un bilancio dei servizi utilizzati che prevedono il trasferimento dei dati personali in aree extra-UE;
Contattare i fornitori di servizi (Responsabili del Trattamento) per informarli delle conseguenze del caso Schrems II;
Verificare l’eventuale sussistenza di una decisione di adeguatezza per il paese terzo, ove vengono trasferiti i dati personali;
Analizzare l’ordinamento giuridico del succitato paese terzo;
Verificare se le SCC eventualmente approvate dalla Commissione europea possono essere utilizzate;
Verificare che le SCC siano effettivamente in uso e che sia garantita almeno una delle condizioni di cui ai punti 1, 2, 3.
Modifiche alle SCC
L’Autorità, poi, sottolinea come sia importante che i Titolari del Trattamento contattino i fornitori di servizi, che trasmettono i dati in paesi extra-UE, per concordare le seguenti modifiche contrattuali. In particolare, è essenziale prevedere:
l’obbligo da parte dell’Importatore di informare gli Interessati che i loro dati personali potranno essere trasferiti in un paese terzo, il quale non dispone di un livello di protezione adeguato alla luce del GDPR;
l’obbligo per l’Importatore di informare immediatamente l’Esportatore e gli Interessati qualora riceva richieste di accesso ai dati personali trattati – giuridicamente vincolanti – da parte di un’autorità governativa;
l’obbligo per l’Importatore di astenersi dalla comunicazione dei dati personali alle autorità governative, fino a quando il giudice competente non lo ordini;
una clausola di risarcimento danni, secondo cui le parti concordano che qualora una delle stesse sia ritenuta responsabile per qualsivoglia violazione delle SCC, causata dall’altra, quest’ultima si impegna a sostenere i costi, i danni, le spese, le perdite gravanti sulla prima, in proporzione al grado della propria responsabilità.
Consigli finali
Nonostante il tenore particolarmente austero delle Linee Guida, l’Autorità tedesca ha dichiarato di essere consapevole che non sempre è agevole per i Titolari del Trattamento rinvenire nel mercato soluzioni alternative, per il trattamento dei dati personali, che siano di valore pari a quelle già in uso. Conseguentemente pare adotterà un approccio quanto mai ragionevole nei giudizi sul punto.
Ad ogni buon conto, nel silenzio generale dei Garanti Europei, pare evidente che le società che trattano dati personali non possono in alcun modo astenersi dal consultare un professionista del settore, che può certamente guidarle nel modo più sicuro possibile attraverso questo ginepraio di indicazioni e soluzioni tecniche.
Per sciogliere eventuali dubbi e/o perplessità, non esitate a contattare lo Studio Legale Soccol.
