L’Unione Europea sembra seriamente intenzionata ad affrontare il problema dei dati trasferiti al di fuori dei suoi confini, soprattutto verso gli Stati Uniti, e ora i trasferimenti di dati tra UE e USA sono a rischio dopo la pronuncia del CNIL.
Oltre un anno dopo la sentenza Schrems II e la conseguente invalidazione del Privacy Shield, i negoziati tra Bruxelles e Washington non sono ancora giunti ad un accordo per trovare un meccanismo sostitutivo e condiviso.
Serve superare una fase di stallo, in cui il rispetto delle garanzie europee in territorio statunitense viene percepito come un “potere”, in capo ai dati dei cittadini europei, di poter sfidare legalmente le pratiche di sorveglianza americane.
Difatti, la storica sentenza, ha sì rafforzato strumenti di trasferimento dei dati alternativi al Privacy Shield – come le Standard Contractual Clauses (SCC) – ma ha avuto soprattutto l’effetto di rafforzare i requisiti per la sicurezza dei trasferimenti stessi, e adesso questi effetti si stanno riversando a cascata su chi di quei trasferimenti aveva fatto un vero e proprio business, come i colossi del web, al punto da convincere Google, Amazon, Microsoft e TikTok a iniziare a conservare quanti più dati possibili sul territorio dell’Unione.
Ed ecco che nel frattempo, con una decisione di giovedì 10 febbraio 2022, il CNIL – Commission Nationale de l'Informatique et des Libertés, l’Autorità Garante per la protezione dei dati in Francia – ha stabilito che un sito web non può usare Google Analytics perché ciò comporta un trasferimento di dati dall’Europa agli Stati Uniti, violando così la Sentenza "Schrems II".
Conclusioni del CNIL che saranno attentamente osservate da altre autorità nazionali, soprattutto in virtù del tradizionale ruolo di “apri pista” spesso rivestito dall’Autorità Garante francese in passato.
La decisione stessa del CNIL arriva in realtà sulla scia di un’altra pronuncia dell’omologa autorità austriaca che dichiarava appunto l’illegittimità dell’utilizzo del popolare tool di analisi di Google per lo stesso motivo, e che preannunciava una serie di analoghe decisioni da parte di altre autorità garanti sull’uso di questo strumento.
L’Agenzia olandese per la privacy ha infatti avvertito nelle scorse settimane che Google Analytics potrebbe presto essere considerato illegale, mentre il garante norvegese ha consigliato alle aziende di iniziare a cercare alternative agli strumenti di Google.
Le autorità citate, e soprattutto il CNIL, dovrebbero presto pronunciarsi anche su Facebook Connect, lo strumento, analogo a Google Analytics, di proprietà di Meta.
Le decisioni già adottate e la direzione intrapresa comportano un significativo giro di vite sui trasferimenti di dati, che costituiscono la linfa vitale della digital economy e rappresentano miliardi di dollari di profitti per il commercio transatlantico.
Vale però la pena, prima di vedere i possibili sviluppi normativi, chiedersi se sia giusto scaricare a questo punto sulle aziende la ricerca di alternative a Google Analytics, e gli altri strumenti analoghi di matrice statunitense.
Prima dell’entrata in vigore del GDPR, non si può nascondere che l’Europa ha lasciato che le big tech USA creassero i presupposti per un monopolio dei loro servizi anche sul territorio dell’Unione.
E per questo sarà pressoché impossibile rimuovere in poche settimane gli effetti di una “colonizzazione digitale” perpetratasi per anni, anche se, chiaramente, azioni in questa direzione vengono compiute, soprattutto in virtù di interessi geopolitici sempre più evidenti su una materia così "immateriale" come i dati e le informazioni delle persone.
Localizzazione dei dati, quali alternative?
I colossi del web stanno diventando sempre più irrequieti, poiché migliaia di aziende che utilizzano i loro strumenti dovranno conformarsi alle pronunce delle rispettive autorità nazionali.
Il CNIL, che ha concesso un mese al sito “incriminato” per conformarsi, già lo scorso settembre aveva diffuso una lista di strumenti alternativi, forse un preavviso di quanto poi accaduto.
Nel frattempo, in risposta alla decisione dell’Autorità austriaca, Google ha ribadito le richieste per ottenere un incontro per discutere di un nuovo Privacy Shield al fine di non dover interrompere l’enorme flusso di dati attualmente attivo.
L’azienda ha anche recentemente presentato dei documenti in cui annuncia di voler conservare più dati in Europa, facendo eco a quanto già dichiarato da TikTok e Microsoft all’indomani della Sentenza Schrems II, per mantenere tutti i “dati europei” sul territorio dell’Unione.
Tali annunci sarebbero stati fino a poco tempo fa impensabili, con flussi di dati liberi e sregolati considerati una pietra miliare dell’approccio occidentale all’uso di internet.
Meta, la società “madre” di Facebook, che potrebbe avere i propri trasferimenti di dati sospesi dalla Commissione Irlandese per la protezione dei dati, non nasconde di valutare la sospensione o la chiusura di Facebook e Instagram in Europa, qualora la scelta di interrompere il trasferimento dei dati oltreoceano arrivasse prima di un nuovo accordo tra Bruxelles e Washington.
Le tempistiche per un nuovo accordo sono ancora incerte: si ragiona in termini di mesi per una decisione che doveva essere presa, al momento della sentenza Schrems II, entro la fine del 2021.
E mentre si sussurra che in occasione del Trade and Technology Council tra UE e USA in programma per maggio ’22 i negoziati possano entrare nel vivo, preme ricordare che ciò che oltre oceano viene percepita come una regolazione in ambito commerciale, in Europa quello della protezione dei dati è invece diritto fondamentale, che quindi dovrebbe essere affrontato e regolamentato in una sede opportuna.
Da un punto di vista puramente tecnico, sembra non esistere una strada da seguire per il trasferimento dei dati che non sia un “patto” tra Unione Europea e Stati Uniti duraturo, e che possa superare eventuali prove in tribunale.
Viviamo un contesto globale articolato e complesso, in cui, per altro, la Commissione Europea sta lavorando a tavoli quali il Digital Services Act e Il Data Governance Act, due normative che avranno al centro del loro impianto i concetti di "fiducia" e "sicurezza" applicati al trasferimento dei dati.
Cosa dovranno fare a questo punto le aziende per evitare l'iceberg che abbiamo già descritto?
Dotarsi di strumenti, sia tecnici che culturali, e avviare una transizione verso un nuovo mondo dove si sta cercando di allineare norme e tecnologie.
Un sogno antico che oggi abita le notti di chi opera in settori in cui sempre più l'impatto tecnologico ha la necessità di essere governato nel rispetto dei diritti delle persone e di pratiche di raccolta e gestione del consenso chiare e che sappiano rendere la persona consapevole.