Trasferimento dati extra-Ue, Scorza (Garante Privacy): "Abbiamo un problema, anzi tre"
La consultazione pubblica lanciata dai Garanti privacy Ue per identificare nuove soluzioni in grado di garantire il trasferimento dati verso gli Usa dopo l'invalidazione del Privacy Shield, apre la strada a una serie di considerazioni, necessarie per inquadrare una questione molto complessa. Facciamo il punto
Intervento di Guido Scorza, Componente dell’Autorità Garante per la protezione dei dati personali
(AgendaDigitale, 17 novembre 2020)

Lo European data protection board (EDPB), la commissione che riunisce l'Autorità di protezione dei dati personali nazionali che operano in tutta Europa, lo scorso 10 novembre ha lanciato una consultazione pubblica su uno schema di provvedimento che ha un unico obiettivo dichiarato: quello di identificare rimedi e soluzioni capaci di garantire il trasferimento di dati personali dall'Europa agli Stati Uniti dopo che, con la Sentenza della Corte di Giustizia C-311/2018, ormai nota come Schrems II, i Giudici di Lussemburgo hanno dichiarato, a tal fine, invalido il cosiddetto Privacy Shield, erigendo così, di fatto, un muro giuridico difficilmente penetrabile tra Europa e Stati Uniti in fatto di trasferimento di dati personali.

La questione è seria e la partecipazione alla consultazione pubblica da parte di tutti gli stakeholder pubblici e privati, preziosa.

Vale la pena, in questo contesto, formulare qualche breve considerazione allo scopo di animare un dibattito propedeutico a una partecipazione consapevole alla consultazione.

Trasferimento dati, perché il problema non è solo con gli Usa

La prima necessaria considerazione, anche per fugare dubbi e vulgate sulla vicenda è che lo schema di provvedimento posto in consultazione, pur nascendo con l'intenzione di risolvere lo specifico problema del trasferimento dei dati personali lungo la tratta Europa-Stati Uniti ha una portata più ampia e ambisce a identificare garanzie e rimedi utili ogni qualvolta ci si trovi davanti all'esigenza di trasferire dati personali dall'Europa a un qualsiasi Paese terzo il cui ordinamento non sia stato riconosciuto dalla Commissione europea come capace di offrire un livello di tutela ai dati personali equivalente rispetto a quella garantita dalla disciplina europea.

Perché – e questo è un dato importante da tenere presente – la situazione che, dopo la Sentenza della Corte di Giustizia, si è venuta a creare tra Bruxelles e Washington non è unica ma è comune a decine di altri Paesi verso i quali i dati personali in partenza dall'Europa possono dover approdare.

Si sbaglierebbe, insomma, a affrontare la questione e a rispondere alla consultazione pubblica guardando solo ai rapporti tra Europa e USA o a vestire a questi ultimi la maglia nera della privacy.

Come risolvere un problema tra due ordinamenti

La seconda considerazione non è meno importante e richiede uno sforzo di trasparenza e onestà intellettuale.

La Corte di Giustizia dell'Unione europea con la Sentenza Schrems II ha accertato che le leggi americane non riconoscono agli interessati un livello di tutela equivalente rispetto a quello loro riconosciuti dalla disciplina europea in materia di protezione di dati personali.

La questione sollevata, pertanto, riguarda un confronto tra due ordinamenti.

Così stando le cose, pertanto, è evidente – sul piano logico prima ancora che giuridico – che il problema venutosi a creare non può essere in alcun modo integralmente risolto né dal basso, né dall'esterno.

Non c'è nessun provvedimento che possa essere adottato dall' EDPB, né da nessuna altra Autorità nazionale di protezione dei dati personali, né, a maggior ragione, nessuna iniziativa contrattuale, organizzativa o tecnologica adottabile da parte di soggetti privati che possa sgretolare il muro eretto dalla Sentenza dei Giudici del Lussemburgo e garantire una prosecuzione generale, serena e ininterrotta dei dati personali tra i due continenti.

Un problema di disallineamento tra due Ordinamenti si risolve solo intervenendo su uno o entrambi gli ordinamenti.

E la stessa identica situazione si avrebbe – e probabilmente si avrà – in relazione alla circolazione dei dati personali tra l'Europa e altri Paesi extra UE.

Nel partecipare alla consultazione pubblica – o, anche, semplicemente, nell'attenderne la conclusione e il varo del provvedimento dell'EDPB – pertanto è bene avere chiaro in mente che l'esercizio in atto per quanto prezioso e irrinunciabile è volto solo all'identificazione di soluzioni capaci di garantire la circolazione dei dati personali tra Europa e USA – o domani tra Europa e altri Paesi – in un certo numero di casi d'uso e al ricorrere di talune condizioni ma mai in tutti i casi possibili.

Nessun dubbio, in altre parole – e il draft di provvedimento posto in consultazione pubblica questo lo chiarisce già bene – che per quanti sforzi si possano fare, in assenza di un intervento normativo che allinei i due Ordinamenti disallineati, ci saranno sempre delle ipotesi nelle quali i dati personali, oggi tra Europa e USA e domani, magari, tra Europa e altri Paesi, non potranno circolare.

Un bel problema in una società globalizzata come quella in cui viviamo e in presenza di un mercato digitale nel quale si confrontano centinaia di attori transnazionali.

I rimedi contrattuali o tecnologici da soli non risolvono il problema

Una terza e ultima considerazione è che è difficile ipotizzare rimedi contrattuali da soli capaci di garantire di risolvere – fosse anche solo in considerazione a taluni casi specifici – il problema del quale si discute mentre, probabilmente, esistono taluni rimedi tecnologici capaci di attenuare il problema, fino a considerarlo risolto, sebbene, naturalmente, con riferimento sempre a singole e specifiche ipotesi.

Tanto basta a suggerire che, difficilmente, in realtà già oggi e a prescindere dall'epilogo della consultazione pubblica, si possa pensare di trasferire dati personali verso gli Stati Uniti senza intervenire sui processi e le tecnologie sin qui utilizzate e limitandosi a modificare, in un modo o nell'altro, gli accordi in essere.

Le eccezioni a questa regola sono due e due soltanto: o il destinatario dei dati negli USA gode, ex lege, di un regime di segreto tale da porlo al riparo – e porre al riparo i dati che riceve dall'Europa – dal rischio di accessi da parte del Governo di Washington e delle sue Agenzie di intelligence o esportatore e importatore hanno già adottato rimedi tecnologici, organizzativi e contrattuali capaci di fare in modo che sebbene la legge USA abiliti Governo e agenzie di Intelligence a accedere ai dati in questione, tali dati approdino fisicamente o figurativamente sul suolo americano in una forma tale da garantire che chi provasse ad accedervi non riuscirebbe comunque a mettere le mani su dati capaci di essere ricondotti a una o più persone identificate.

Due situazioni, oggettivamente, più facili a dirsi che a farsi.

Come uscirne

L'unica possibile conclusione è che è urgente che le diplomazie europea e statunitense si mettano alla ricerca di una soluzione più definitiva – anche se difficilmente sarà possibile identificarne una solida nel breve periodo come insegna la brevissima storia del Privacy Shield – mentre la comunità scientifica e quella degli addetti ai lavori, partecipando alla consultazione pubblica, cerca rimedi e soluzioni capaci di identificare il maggior numero di possibili soluzioni temporanee e parziali a un problema con il quale dobbiamo necessariamente dare i conti.

Ma, proprio perché oggi il problema riguarda con maggiore urgenza i rapporti tra Europa e USA ma domani potrebbe riguardare quelli tra Europa e decine di altri Paesi, probabilmente, l'unica vera possibile risposta sta nell'avvio di una discussione spedita, nella comunità internazionale, per l'identificazione di uno strumento pattizio capace di garantire la libera circolazione globale dei dati nel rispetto di poche ma insuperabili garanzie per gli interessati.