La Corte di Giustizia Europea, con la sentenza Schrems II, ha invalidato lo scorso 16 luglio il Privacy Shield tra Unione Europea e USA che consentiva una semplificazione negli accordi per il trasferimento dei dati personali alle imprese statunitensi, le quali si impegnavano a rispettarne i principi definiti per la gestione dei dati personali. Principi che si allineavano a quanto previsto dall’ordinamento europeo in materia di protezione dei dati.
La scelta di invalidare l’accordo si basava sull’idea che non fosse garantita sufficiente sicurezza alle informazioni inviate in USA, le quali correvano il rischio di subire intromissioni da parte delle autorità e delle agenzie per la sicurezza nazionale. Onde evitare un blocco totale dei trasferimenti, la sentenza prevedeva però che venisse mantenuto in vigore lo strumento delle “Standard contractual clauses for data transfers between EU and non-EU countries”, cioè le clausole contrattuali standard relative ai trasferimenti verso paesi terzi: un framework più generale e non specifico per gli Stati Uniti sulla base del quale le attività sono proseguite fino ad oggi.
Ma perché specifichiamo “fino ad oggi”? Perché la Commissione Irlandese per la protezione della privacy ha da poco ordinato al colosso social Facebook di sospendere tutti i trasferimenti di dati verso gli USA.
La previsione di clausole contrattuali specifiche, che impediscano il trasferimento di dati personali a soggetti non autorizzati, incluso lo stato americano, non risulta infatti efficace poiché questi avrebbero il potere di invalidarle e acquisire così i dati. Questa soluzione a fronte del blocco del Privacy Shield non risulta percorribile poiché il governo statunitense avrebbe comunque il potere di acquisire dati personali sia da società americane, sia da società europee e il tutto non sarebbe controllabile.
La decisione della Commissione è alquanto pesante proprio se consideriamo il fatto che in Irlanda la gran parte dei colossi hi-tech, Google, Twitter o lo stesso Facebook, ha la propria sede legale europea.
Secondo quanto richiesto dall’autorità irlandese, Facebook dovrebbe trattenere sul territorio europeo i dati e le informazioni acquisiti dagli utenti europei, senza trasferirli verso gli Stati Uniti e quindi, conseguentemente, modificare il suo servizio e la sua architettura di server e data farm internazionali.
Questo ordine colpisce ora Facebook, ma si riverserà a catena anche sugli altri social quali Instagram o WhatsApp e successivamente su aziende europee in altri settori, con un’alternativa alquanto impensabile, ovvero quella di sospendere il servizio. In un mondo dove la tecnologia è all’ordine del giorno e il social si è ormai insediato nella vita quotidiana di tutti noi, dai millennial fino ai più “old school”, sarebbe impensabile l’idea di riorganizzare il tutto e ritrovarsi a non poter avviare una videochiamata, in modo sicuro, con un nostro amico o cliente oltreoceano.
Quindi cosa succederà ora?
Risposte certe non si hanno ancora, Facebook ha un mese di tempo per contestare e decidere come adempiere all’ordine e, contemporaneamente, lo stesso Garante per la protezione dei dati personali deve prendere una decisione entro la fine dell’anno, alla quale il colosso social avrà comunque la possibilità di opporsi.
Questa linea di ferro che si sta delineando a seguito del blocco del Privacy Shield potrebbe essere un grave ostacolo al funzionamento dell’economia intera, poiché impedirebbe il trasferimento sicuro di dati su scala internazionale e quindi la crisi di gran parte delle attività che si basano su dati nell’UE.
Cosa succederebbe se tutte le aziende, piccole, medie o grandi, si dovessero trovare nella situazione di dover riorganizzare le proprie attività non avendo più la possibilità di trasferire dati verso gli USA in totale sicurezza? Riuscirebbero a sopravvivere tutte?
Il panorama che si presenta è uno dei più difficili perché questo nuovo ostacolo non colpisce solo settori come quello del social, ma anche la salute e l’educazione, considerando che istituti scolastici, università e ospedali utilizzano piattaforme con base negli Stati Uniti, così come i servizi di videoconferenza (Zoom, Skype, Messenger) ad oggi fortemente implementati a seguito dell’emergenza sanitaria in atto.
Analizzando questa situazione, possiamo suggerire alle società di dotarsi di un strutturato sistema di information security e di una efficace modalità di gestione dei dati personali (personal data protection). Queste soluzioni gestite e implementate da soggetti interni o esterni competenti potranno assicurare alle società maggiore tutela in materia di protezione dei dati. Il management inoltre dovrebbe attivarsi per garantire un’adeguata formazione in materia all’interno della società, sensibilizzando le diverse risorse al rispetto di quanto previsto dal GDPR, focalizzando l’attenzione sull’importanza della tutela, gestione e conservazione dei dati personali.
