Quali contromisure sono state adottate dalle big tech ad un mese dalla sentenza Schrems II?

Come illustrato nel precedente post sull’argomento sul nostro blog, la portata della sentenza sul caso Schrems II emessa dalla Corte di Giustizia dell’Unione Europea (la “Corte”) ha, e avrà, ampia risonanza nel dibattito in materia di privacy e data protection

Difatti, se da un lato la Corte ha alzato nuovamente il livello di attenzione e di protezione che l’ordinamento europeo demanda (e pretende) quando si parla di data protection, dall’altro la sentenza in oggetto ha aperto un vuoto considerevole.

Quanti infatti fino al 15 luglio 2020 facevano affidamento sul Privacy Shield per trasferire dati personali al di là dell’oceano negli Stati Uniti d’America, improvvisamente si sono trovati legalmente sprovvisti di un qualsiasi paracadute che coprisse tale trasferimento di dati. A ciò si aggiunga che la Corte, pur ritenendo ancora valide le cd. Standard Contractual Clauses (“SCC”) predisposte dalla Commissione Europea, nel lontano 2010 ha chiaramente fatto capire come da sole le stesse non siano sufficienti (nel testo attuale) ad assicurare un adeguato livello di protezione dei dati personali trasferiti nell’ordinamento statunitense e che i soggetti interessati debbano individuare nuovi (e ulteriori) meccanismi di protezione a favore dei dati trasferiti.

Prescindendo per un momento dalla difficoltà interpretativa di cosa effettivamente la Corte richieda ai data exporter europei per poter utilizzare più o meno tranquillamente le SCC, appare in ogni caso allarmante che ad oggi, a più di un mese dalla pubblicazione della sentenza, poche siano le contromisure ufficialmente adottate (e comunicate ai rispettivi clienti) dalle big tech in veste di responsabili del trattamento per assicurarsi la compliance con il dispositivo della sentenza. 

Infatti, se è pur vero che l’obbligo di assicurare che il trasferimento dei dati sia compliant è posto essenzialmente a carico del titolare del trattamento, è anche vero che una start up o una PMI ha un potere contrattuale estremamente limitato (per non dire nullo) nella richiesta di adozione di nuove misure di protezione sui dati personali trasferiti al service provider. 

Pertanto, se nei giorni immediatamente successivi alla pubblicazione della sentenza eventuali risposte contradditorie fornite dai servizi clienti di service provider come Google ai clienti aziendali potevano essere tollerate (vedi ad esempio che il Privacy Shield ancora era applicabile all’organizzazione e che la sentenza non aveva nessun impatto) ad oggi, a più di un mese dalla pubblicazione della sentenza, questa situazione di incertezza comincia a risultare legalmente rischiosa.

La stessa organizzazione fondata da Maximilliam Schrems, My Privacy is None of Your Business, ha recentemente pubblicato la lista di 101 diversi complaints inviati alle competenti autorità garanti per la protezione dei dati personali che evidenziano come diverse pagine web europee ancora utilizzino plug in come Google Analytics o Facebook Connect, quando (i) ad oggi Google Analytics ancora non ha finalizzato le SCC ma ancora si poggi sul Privacy Shield, e (ii) Facebook Connect, pur facendo riferimento alle SCC, ancora fa riferimento alla precedente versione delle stesse pubblicata sul sito della Commissione Europea.

Sarà quindi interessante vedere come nei prossimi mesi si evolverà il panorama giuridico, anche considerando come a causa del lockdown dovuto all’attuale emergenza sanitaria da COVID-19, in Italia si sia proceduto ad una rapida digitalizzazione di servizi essenziali quali l’educazione. Lo stesso Ministero dell’Istruzione durante il lockdown ha predisposto l’accesso al pacchetto di GSuite for Education sia per gli studenti che per gli insegnanti, come strumento per veicolare e facilitare la didattica a distanza.

 

Read more on the topic:

Part I

Part III