Gli effetti del GDPR non si fermano ai confini dell'Europa. Utilizzare piattaforme cloud e servizi software al di fuori del suolo europeo diventa quindi più complicato. Due sono i concetti fondamentali che guidano la sicurezza dei dati e degli utenti: cybersicurezza e protezione dei dati. Da un lato quindi c'è la cybersicurezza, cioè tutte le tecnologie, strumenti e comportamenti che combinati tra loro mettono al sicuro gli utenti da eventuali attacchi hacker. Dall'altro, c'è la protezione dei dati, cioè tutte le procedure e i regolamenti definiti per proteggere i dati personali e assicurarne un utilizzo approvato dalla legge.
Questi due aspetti si intrecciano tra loro, soprattutto quando i dati sensibili devono essere spostati o utilizzati in luoghi dove vigono differenti leggi o regolamenti sulla protezione dei dati, così come differenti protocolli di cybersicurezza. Per questo motivo nel 2018 l'Unione europea ha posto in vigore il General Data Protection Regulation del 2016, meglio noto come GDPR. L'effetto diretto è stata la nascita di altri strumenti che regolassero la protezione dei dati e il loro trattamento in Paesi extra-Ue, come gli Stati Uniti e la Svizzera. Tra questi ci sono il Privacy Shield, letteralmente uno "scudo della privacy" fra Ue e Usa che consentiva alle società statunitensi di autocertificare un corretto trattamento dei dati personali provenienti dall'Ue secondo quanto definito nel GDPR.
Qualcosa però non è andato come previsto e nel luglio 2020 la Corte di giustizia dell'Unione europea, CGUE, ha invalidato il Privacy Shield che consentiva il flusso di dati tra Ue e USA nella sentenza del caso Schrems II, introducendo un altro meccanismo di protezione dei dati noto come Clausole contrattuali standard, che invece consentono di garantire il rispetto del livello di protezione dei dati previsto dalla normativa europea.
GDPR, cos'è e come funziona
Il GDPR o General Data Protection Regulation emanato nel 2016 dall'Unione europea ed entrato in vigore nel 2018 definisce le regole per i corretti meccanismi di processamento, archiviazione e trasmissione dei dati personali. Le società e le organizzazioni sono tutte tenute a rispettare le norme definite dal GDPR, pena pesanti sanzioni, e sono tenute a comunicare agli utenti il modo in cui i loro dati personali vengono trattati.
Anche se si tratta di un regolamento europeo, la sua applicazione è valida a livello globale. Qualsiasi società o persona di uno stato extra-Ue che voglia fare affari con una persona o una società in Europa, dovendone acquisire dati personali come nome, cognome o indirizzo, sarà obbligato a rispettare i livelli di protezione imposti dal GDPR.
Privacy Shield, cos'è e come funziona
Dopo l'entrata in vigore del GDPR, alcuni paesi come Stati Uniti e Svizzera hanno dovuto definire il modo in cui i dati personali degli utenti europei venivano trattati nei loro territori. Questo ha portato alla definizione del Privacy Shield, uno "scudo della privacy" che però rispettava solo parzialmente il livello di protezione dei dati imposto dal GDPR.
Lo scudo era stato definito da un accordo tra il Dipartimento del commercio degli Usa, la Swiss Administration e la Commissione europea e definiva un meccanismo di trasferimento dei dati personali tra Ue, Svizzera e Stati Uniti. In particolare gli Stati Uniti aderirono solo parzialmente alle disposizioni del Privacy Shield, dato che si tratta di un regolamento non obbligatorio.
Tra gli altri meccanismi di protezione dei dati con Paesi esterni all'Ue ci sono poi le Clausole contrattuali Standard (SCC) e le Norme aziendali vincolanti (Binding Corporate Rules o BCR). Questi meccanismi hanno però sollevato dei dubbi sul reale rispetto dei livelli di protezione del GDPR in Maximillian Schrems, un avvocato e attivista per la privacy austriaco, che ha portato davanti alla Corte di giustizia dell'Unione europea la questione della privacy e del trattamento dei dati nei paesi extra-Ue.
Schrems II, la sentenza che invalida il Privacy Shield
La prima richiesta di chiarimenti per la protezione dei dati alla Corte di giustizia dell'Unione europea (CGUE) da parte dell'avvocato e attivista Schrems è stata presentata nel 2015, quando chiese al garante della protezione dei dati irlandesi di imporre a Facebook il trasferimento dei dati dall'Ue agli Stati Uniti, che erano basate sulle SCC.
Partendo da quella richiesta, quindi ben prima che il GDPR entrasse in vigore, la sentenza della CGUE è arrivata 5 anni dopo, il 16 luglio 2020, e si è fatta sentire. La sentenza Schrems II ha invalidato il Privacy Shield come meccanismo per il trasferimento dei dati dall'Ue verso gli Stati Uniti, e stabilendo invece dei severi obblighi per le società statunitensi in materia di protezione dei dati provenienti dall'Europa. Inoltre, per la sentenza Schrems II le SCC possono essere impiegate, ma solo a patto che il meccanismo sia in grado, secondo chi invia i dati, di garantire un livello adeguato di protezione.
Schrems II, come proteggere i dati extra-Ue?
Le grandi aziende come Google e Microsoft hanno dei centri di raccolta dati che sono posizionati strategicamente in diversi Paesi tra Europa, Africa, Asia e Medio oriente. Avere un centro dati in Europa, però, non basta a garantire che le società statunitensi rispettino il GDPR. Gli Stati Uniti, infatti, hanno una politica di controllo dei dati personali da parte del governo differente da quella europea e l'agenzia per la sicurezza NSA potrebbe in qualsiasi momento accedere a quei dati.
Per questo motivo, esistono altri meccanismi per il trasferimento dei dati tra diversi Paesi. Tra questi ci sono le deroghe, cioè delle specifiche eccezioni al GDPR approvate dalla Commissione europea e dall'Autorità di vigilanza del Paese, che vengono approvate caso per caso su richiesta dell'azienda, e hanno valore solo per l'applicazione definita.
Garanzie adeguate invece possono essere fornite dai codici di condotta e dai meccanismi di certificazione, ad esempio quelli preparati da associazioni o ordini professionali di un Paese terzo. Una volta definiti questi codici e meccanismi, tutte le imprese che fanno parte delle associazioni o i professionisti di un ordine sarebbero tenuti a rispettarli e a dimostrare, attraverso certificazioni, la propria idoneità al trattamento dei dati.
Un altro meccanismo di protezione dei dati sono le Binding Corporate Rules, o Normative aziendali vincolanti (BCR), cioè delle regole interne che definiscono la politica internazionale nelle multinazionali e delle organizzazioni internazionali sul trasferimento dei dati. Si tratta di regole aziendali dettagliate e complete, molto simili a un contratto, che possono semplificare notevolmente i trasferimenti di dati una volta implementate.
L'ultimo meccanismo di protezione è quello delle SCC o Clausole contrattuali Standard, cioè sia la società sita in Europa che quella estera devono accettare di utilizzare un particolare contratto che deve però essere approvato dalla Commissione europea. Oltre alle SCC, che entrambe le società devono firmare affinché entrino in vigore e si possano scambiare i dati, possono esserci delle clausole aggiuntive, che però non devono essere in contraddizione con quelle standard.