Avv. Andrea Baldrati +39 340 4895530 Avv. Armando Strinati +39 333 5247665

NO AL PRIVACY SHIELD: ora cosa devono fare le imprese italiane?

Come noto, la Corte di Giustizia UE - con sentenza C-311/18 (Sentenza Schrems II) - ha dichiarato invalida la decisione sull'adeguatezza dello scudo per la privacy (c.d. Privacy Shield), quale meccanismo di autocertificazione delle aziende statunitensi che intendono ricevere dati dall'Unione Europea.

In sostanza, il Privacy Shield imponeva, a tutte le imprese USA che vi aderivano, una serie di obblighi inerenti la protezione dei dati personali. Lo scopo dichiarato dalla Commissione UE, promotrice dello scudo privacy, era quello di garantire un trasferimento di dati UE-USA sicuro e in linea con gli standard di protezione europei, qualora l'impresa americana destinataria dei dati ne avesse accolto i principi fondanti.

Il Privacy Shield poteva essere considerato una sorta di "bollino" certificatore che assicurava un livello adeguato di protezione dei dati di cittadini europei e allo stesso tempo permetteva alle imprese UE che trasferivano dati negli USA di essere conformi alla normativa privacy (GDPR), scegliendo quali destinatari di tali trasferimenti aziende statunitensi aderenti al Privacy Shield.

Proprio per questa ragione le più grandi corporation - a partire da Google e Microsoft - vi avevano aderito, rendendo così legittimo qualsiasi trasferimento di dati extra UE a loro favore.

La recente sentenza del 16 Luglio 20202 ha però letteralmente sconvolto questo sistema di garanzia, rendendo di fatto illegittimo qualsiasi trasferimento dei dati verso gli USA che si basava sul meccanismo del Privacy Shield.

La motivazione di questa decisione è complessa, ma proviamo a ridurla ad un principio di massima: la Corte di Giustizia ritiene che l'attuale sistema di controllo sui dati concesso alle autorità pubbliche statunitensi - in particolare per motivi di sicurezza nazionale - è così ingerente da contrastare con i principi di riservatezza e protezione dei dati personali europei (sanciti anche dalla Carta di Nizza).

La domanda legittima, che si stanno ponendo le aziende italiane ed europee, che si affidavano a sistemi cloud o servizi digitali di società statunitensi aderenti al Privacy Shield, è ovviamente: COSA DEVO FARE ORA PER TORNARE AD ESSERE CONFORME ALLA NORMATIVA PRIVACY EUROPEA?

Ci sembra utile rispondere a questa domanda prendendo a modello due macro-scenari, quello relativo ad una impresa già attiva e con una architettura digitale collaudata che si affidava in tutto o in parte alle garanzie del Privacy Shield, e quello invece afferente ad una impresa o start-up "in costruzione", che sta progettando la sua realtà digitale.

1 IMPRESA ITALIANA IN COSTRUZIONE

Facendo tesoro del concetto di Privacy By Design, se siete ancora in fase di progettazione della struttura informatica su cui poggerà l'azienda, il consiglio è di affidarvi a SISTEMI CLOUD CON DATA CENTER IN UE, e di scegliere - per quanto possibile - servizi digitali europei.

Questo perchè la Sentenza Schrems II è una vera e propria dichiarazione di intenti: la volontà è quella di avviare un progetto di sovranità digitale europeo che favorisca le imprese europee del settore e in ogni caso, dopo questa sentenza, gli USA non sono più considerabili un Paese Terzo affidabile. Per cui è bene fin da ora orientarsi in una direzione che privilegi servizi e sistemi digitali europei, per eliminare qualsiasi problema alla radice.

2 IMPRESA ITALIANA CHE SI AFFIDAVA AL PRIVACY SHIELD

Siamo onesti, il primo pensiero - soprattutto per le imprese che lavorano nel digital - è per i servizi di GOOGLE.

Su questo punto, ci sentiamo di essere prima di tutto realisti. Google non potrà restare al palo, e di fatti l'azienda statunitense si sta già muovendo per rimediare agli effetti della Sentenza Schrems II, adottando le cc.dd. Clausole Standard, che rappresentano un altro strumento di garanzia alternativo.

In linea generale, andrà fatta una valutazione del rischio caso per caso, per capire quali e quanti dati dell'azienda sono trasferiti negli USA, oltre ad una considerazione dei meccanismi di sicurezza implementate dalle aziende statunitensi a cui ci affidiamo.

Restando sull'esempio di Google, una azienda italiana che profila gli utenti e raccoglie numerosi dati personali dei clienti, poggiando interamente sul cloud di Google con data center in USA, dovrà certamente porre in essere una migrazione dei dati verso sistemi cloud europei.
Diversamente, una società italiana che utilizza Google Analytics, con anonimizzazione dell'IP (quale funzione presente all'interno del servizio), e che si affida a sistemi cloud con data center europei, può dormire sonni tranquilli.

Nel mezzo c'è una vastità di scenari che andranno analizzati, mediante un attenta valutazione del rischio, nel segno del principio di accountability richiesto dalla normativa europea.

In questo senso, lo Studio Legale Baldrati & Strinati è attivo per fornire pareri legali alle imprese in ordine alle soluzioni logistiche da implementare - laddove necessarie - per tornare ad una situazione di piena conformità al GDPR, dopo gli effetti sconvolgenti della Sentenza Schrems II.