Trasferimento dati extra UE: le posizioni dei “big” dopo la sentenza Schrems II

Dopo la nota sentenza Schrems II, che ha invalidato il Privacy Shield e risollevato un alone di dubbio sulle relazioni tra UE e USA in tema di trasferimenti di dati personali, negli ultimi mesi abbiamo potuto assistere alle reazioni delle grandi società informatiche statunitensi.

Analizziamo quindi alcune delle principali dichiarazioni, in particolare quelle di Microsoft, Amazon, MailChimp, Facebook e Google, e le rispettive soluzioni adottate per mantenere quanto più stabili possibili i rapporti con il mercato europeo.

Partiamo dalla Microsoft Corporation: la sua responsabile della privacy, nella dichiarazione del 16 luglio 2020 ha immediatamente chiarito a tutti i clienti commerciali o del settore pubblico che possono continuare a utilizzare i servizi in conformità con la legge europea, avendo l‘azienda sempre fornito protezioni sovrapposte sia sulla base delle clausole contrattuali standard (SCC) che del Privacy Shield. Pertanto, con l’invalidazione dell’accordo transatlantico, restano le garanzie fornite dalle SCC. I flussi di dati non hanno dovuto essere sottoposti a modifiche, e l’azienda garantisce che seguirà tutte le indicazioni in arrivo dalle autorità europee, collaborando proattivamente sia con la Commissione europea che con il governo degli Stati Uniti per affrontare le diverse questioni sollevate dalla sentenza Schrems II. 

Risposta simile anche da parte di Amazon Web Service, come evidente nelle Risorse relative al Privacy Shield, attraverso cui ha informato i clienti che possono continuare ad affidarsi alle SCC incluse nell'Addendum sull'elaborazione dei dati GDPR, automaticamente a disposizione di tutti i clienti che effettuano trasferimenti dall'UE. Ciò, anche alla luce di alcune misure di sicurezza specifiche, come servizi di crittografia dei dati in transito e di quelli inattivi.

È il turno di MailChimp, nota e diffusa piattaforma di mailing: anche in questo caso, la dichiarazione di compliance sul trasferimento presentata online rassicura i clienti sulla possibilità di continuare a utilizzare la piattaforma in conformità con il diritto dell'UE, stante il doppio livello di protezione offerto dai principi previsti dal Privacy Shield (sebbene invalidato), e tramite le SCC. A ciò, l’azienda aggiunge l’impegno a un regolare monitoraggio per valutare la necessità di ulteriori modifiche a quanto già messo in pratica per tutelare i diritti dei cittadini europei.

Lavori in corso, invece, per le attività di Facebook Inc., che fino al 16 luglio si è affidata unicamente al Privacy Shield come meccanismo di trasferimento per i dati relativi agli annunci pubblicitari e i servizi di analisi del traffico. Attraverso una prima dichiarazione, tuttavia, ha specificato che migrerà verso la base giuridica delle SCC, che andranno a integrare i termini dei diversi servizi offerti, a tutela dei diritti e della protezione dei dati di utenti, inserzionisti e altri clienti.

Posizione analoga, infine, quella di Google LLC, che all’interno del suo Help Center, oltre a riscontrare la ancora attuale validità della base giuridica dell’accordo sui trasferimenti di dati dalla Svizzera, dichiara che si orienterà anch’essa verso le SCC per i trasferimenti di dati provenienti dall’Unione Europea.

Linea pacifica e condivisa, quindi, quella delle big tech, quiete nell’assicurare ai propri clienti che le clausole contrattuali standard coprono tutti i requisiti del GDPR.

Ma è davvero così?

I diversi Garanti nazionali europei, tra cui anche quello italiano, nell’intenzione di evitare un disallineamento di pareri e opinioni, sembrano aver mantenuto un certo riserbo, limitandosi a diffondere le posizioni ufficiali degli organismi comunitari. Prima fra tutte, la pagina contenente le FAQ dell’European Data Protection Board, che hanno chiarito i principali dubbi in merito alla sentenza della Corte di Giustizia (con una linea più flessibile rispetto a quanto poteva sembrare da una sua prima analisi a caldo). Tuttavia, proprio all’interno delle FAQ, riscontriamo che le serene dichiarazioni dei provider statunitensi viste sopra, potrebbero dover essere accolte con una certa cautela: la possibilità di trasferire dati personali sulla base delle SSC dipende da una valutazione caso per caso, e, nello specifico dalle circostanze dei trasferimenti e delle “misure supplementari” attuate.

Le caratteristiche di queste misure supplementari, tuttavia, non sono ancora chiare: la FAQ n.10 indica che L’EDPB sta analizzando la sentenza della Corte per stabilire il tipo di misure supplementari, di natura giuridica, tecnica o organizzativa, che potrebbero essere previste in aggiunta alle SSC (o alle norme vincolanti d’impresa).

Posto lo scarso potere contrattuale esercitabile nei confronti delle grandi società citate in apertura (così come la difficoltà di sopperire con un contratto tra privati i limiti che gli accordi internazionali, finora, non hanno saputo fronteggiare), non resta che aspettare i prossimi aggiornamenti e i chiarimenti sulle misure supplementari, che giungeranno dalla task force istituita in occasione della 37ma Sessione Plenaria dell’EDPB.

Nell’attesa, proviamo a riassumere con il seguente diagramma, un esempio di processo decisionale che potrebbero assumere i Titolare del trattamento europei, oggi, in caso di ricorso a fornitori/Responsabili del trattamento extra-europei e trasferimenti di dati al di fuori dell’UE.