Trasferimento dati negli Usa: ora serve un’accelerazione e una concretizzazione delle promesse fatte durante l'ultimo vertice Nato
La notizia ormai è nota e ha fatto il giro dell’Europa e di Internet, attraversando poi l’oceano e sbarcando a Washington: con un provvedimento adottato il 9 giugno 2022 il Garante per la protezione dei dati personali ha accertato che i trasferimenti di dati personali negli Usa necessari al funzionamento del servizio Google Analytics, leader di mercato nei servizi di analisi di traffico e contatti di un sito internet, sono incompatibili con la disciplina europea sulla protezione dei dati personali o, più precisamente, lo è lo specifico trasferimento di dati personali posto in essere da uno delle migliaia di clienti italiani di Google: quello oggetto dell’istruttoria conclusasi, appunto, con l’adozione del provvedimento.
Il cuore del problema all’origine del provvedimento è noto, ormai da due anni, agli addetti ai lavori: in America le agenzie di intelligence possono accedere ai dati personali gestiti, tra gli altri, dalle big tech con maggior facilità rispetto a quanto è possibile da questa parte dell’oceano e gli interessati non dispongono di effettivi e efficaci strumenti di difesa rispetto a eventuali abusi comportanti una violazione della loro privacy.
Secondo le regole europee, come da ultimo interpretate dalla Corte di Giustizia dell’Unione europea nel luglio del 2020, gli Usa sono un approdo poco sicuro per i dati personali dei cittadini europei, salvo che chi esporta e importa i dati non adotti misure organizzative, giuridiche e/o tecnologiche capaci di neutralizzare i rischi ai quali la predetta asimmetria regolamentare espone il diritto alla privacy degli interessati. Misure che, tuttavia, non sono sempre adottabili e/o non risultano sempre efficaci. E questo sembra essere il caso dei trattamenti di dati personali sottesi all’utilizzo di Google Analytics, tanto che il provvedimento italiano appena arrivato segue le orme di analoghi provvedimenti già adottati nei mesi scorsi dalle Autorità di protezione dei dati personali austriaca e francese.
Con il provvedimento in questione, quindi, il Garante ha ordinato al cliente italiano di Google destinatario del provvedimento di verificare, nei prossimi novanta giorni, se Google Analytics possa risultare utilizzabile senza esportare illegittimamente dati personali negli Usa e, in caso contrario, di sospenderne ogni futuro utilizzo. Il provvedimento, ovviamente, obbliga solo il suo destinatario, ma il principio alla sua base sembra suscettibile di applicazione anche in relazione a tutti i trattamenti e trasferimenti di dati personali strumentali alla fruizione del medesimo servizio Google Analytics alle medesime condizioni da parte di altri soggetti pubblici e privati operanti in Italia, in relazione ai quali il Garante, con il suo comunicato stampa, ha anticipato l’intenzione di occuparsi nei prossimi mesi.
(Nella foto: l'Avv. Guido Scorza, componente del Garante per la protezione dei dati personali)
Vale la pena chiarire subito un aspetto che rischia di essere perso di vista in considerazione del carattere necessariamente individuale e non generale del provvedimento: il gestore del sito oggetto del provvedimento e la stessa Google non sono più “cattivi” o, più semplicemente, meno rispettosi delle regole di una moltitudine di soggetti che egualmente esportano e importano dati personali in America nell’ambito della fornitura di servizi più o meno digitali o dell’impiego di tali servizi. Ci sono certamente casi nei quali l’esportazione verso gli Usa è ancora possibile nel rispetto delle regole europee sulla privacy, nonostante la sentenza della Corte di Giustizia dell’Unione europea e l’annullamento del cosiddetto Privacy Shield, ma ce ne sono altrettanti nei quali tale trasferimento probabilmente è illecito perché le misure giuridiche, organizzative e tecnologiche eventualmente adottate da clienti e fornitori di servizi non valgono a superare i problemi di disallineamento tra l’ordinamento americano e quello nazionale.
E quindi? Cosa dovrebbe succedere ora? Qualche mese fa il presidente degli Stati Uniti Joe Biden e la presidente della Commissione europea Ursula Von Der Leyen avevano annunciato il raggiungimento di un nuovo accordo “di principio” sul trasferimento dati extra Eu capace di sanare la situazione aperta dalla già ricordata Sentenza della Corte di Giustizia.
A quell’annuncio, tuttavia, è, purtroppo, seguito un lungo e rumoroso silenzio e, soprattutto, nessun passo in avanti concreto nella dimensione giuridica, l’unica in grado di far registrare un vero giro di boa. Eppure dovrebbe essere chiaro a tutti che questioni di questa portata non si governano a colpi di accordi politici e relativi annunci mediatici e che, anzi, annunciare senza far seguire i fatti alle parole genera effetti controproducenti e incertezza, innanzitutto per imprenditori e consumatori. E mai come in questo caso, specie in ragione dell’enorme valore della posta in gioco, l’incertezza giuridica è pericolosa e da evitare.
Forse è davvero arrivato il momento di un’accelerazione e una concretizzazione delle promesse scambiatesi a marzo scorso dal presidente Biden e dalla presidente Von Der Leyen, perché la dimensione digitale è globale, non è frazionabile – o, come spesso si dice, geopardizzabile – e i provvedimenti delle autorità di protezione dei dati personali – che pure in assenza di fatti nuovi non potranno mancare – non sono evidentemente lo strumento migliore per governare la situazione venutasi a creare. Anzi, rischiano inesorabilmente di creare asimmetrie sui mercati. Varrebbe quindi forse la pena di unire le forze e, in una dimensione multistakeholder, chiedere a gran voce al governo di Washington e a quello di Bruxelles di cambiare passo e arrivare alla meta, ovvero a un nuovo accordo auspicabilmente più solido dei precedenti, il prima possibile.
di Guido Scorza (Il Fatto Quotidiano)