GDPR e trattamento dei dati degli utenti: gli effetti per le aziende europee

Blog

Febbraio 17, 2022

GDPR e trattamento dei dati degli utenti: gli effetti per le aziende europee
Da qualche anno, ormai, sentiamo parlare di GDPR (General Data Protection Regulation), il Regolamento 679 del 2016 dell’Unione Europea, che regola il trattamento e la circolazione dei dati personali.
Si tratta di uno dei testi maggiormente rispettosi della privacy. Al contrario, fuori dall’Europa, le aziende possono trattare questi dati sensibili con regole meno stringenti.
Una scelta fatta a tutela dei singoli utenti, ma che sta avendo ripercussioni sulle aziende che operano online, in particolar modo su quelle che hanno necessità di esportare dati al di fuori del vecchio continente, soprattutto negli Stati Uniti. 
È lì, infatti, che si trovano le sedi legali e i server dei più importanti motori di ricerca, tool di analytics e social network: tutti strumenti fondamentali per la promozione del business.  Per mantenere inalterate le proprie attività e allo stesso tempo evitare di infrangere la legge incorrendo in sanzioni, le aziende hanno dovuto cercare nuovi modi per far uscire i dati dallo Spazio Economico Europeo (SEE, cioè paesi UE ai quali si aggiungono Islanda, Norvegia e Liechtenstein). 

Vediamo gli effetti del GDPR sulle aziende e come possono mantenere i rapporti strategici con i paesi extra UE in 3 step, con l’aiuto di Veronica Comito, consulente legale di Go Global Ecommerce.

Come siamo arrivati al GDPR e a questo garantismo?

Come siamo arrivati alla formulazione di norme tanto garantiste? Una domanda che sicuramente si sono posti moltissimi imprenditori con attività online e professionisti dell’informazione, e non solo.
Tutto è stato innescato dal ricorso di un attivista UE, Maximiliam Schrems, che ha portato nel 2015 la Corte di Giustizia ad emettere la cosiddetta Sentenza Schrems, con la quale dichiarava che i trasferimenti di dati negli USA sono illegittimi in quanto qui non vengono mantenute le stesse garanzie dello spazio UE.
Viene, quindi, elaborato il Privacy Shield, un accordo circa un meccanismo di certificazione riconosciuto da tutti i paesi membri. Se il fornitore USA (o di qualsiasi altro paese) verso cui i dati vengono trasferiti è in possesso dell’autocertificazione prevista dal Privacy Shield, il trasferimento sarà considerato conforme alla normativa.
In un primo momento, sembrava che si potessero utilizzare anche le Standard Contractual Clauses (SCC), clausole contrattuali standard elaborate nel 2010, ma Schrems fece notare che secondo l’Art. 702 FISA ed Ex Order 12333 del codice statunitense, le Autorità USA possono acquisire dati in custodia o anche solo trattati da qualsiasi “electronic communication service provider” per finalità di sicurezza nazionale e senza che il diretto interessato possa opporsi o fare ricorso.
Si arriva così nel luglio 2020 alla Sentenza Schrems II in cui si sancisce l’illegittimità del Privacy Shield

"Le SCC vengono “salvate”, ma la Corte precisa che, alla luce dei rilievi fatti da Schrems, le clausole contrattuali standard potrebbero non essere sufficienti da sole a garantire uno standard di tutela dei dati equivalente a quello UE e quindi legale. Seguendo questo filone interpretativo, nel gennaio 2022, il garante privacy austriaco ha dichiarato illegittimo l’utilizzo dei tool di Google Anlaytics” spiega l’avvocato Comito.


L’impatto sulle aziende e sul traffico dei dati

Secondo la Corte di Giustizia dell’Unione Europea, lo standard di tutela della privacy richiesto in Europa non è rispettato da nessuno dei paesi extra SEE, e questo può rendere non compliant il trasferimento di dati. 
In particolare, negli USA tutti gli “electronic communication service provider” (fornitori di servizi informatici a distanza o di comunicazione elettronica; vettori di telecomunicazioni; tutti i funzionari, dipendenti o agenti di tali entità) sono soggetti al controllo delle agenzie di sicurezza (come la CIA). Ciò significa che il trasferimento dati "puro e semplice", cioè sulla base delle vecchie certificazioni adottate seguendo il privacy shield, verso questo paese non è più conforme con le garanzie del GDPR, perché lo standard di tutela non è equivalente a quello UE.
Questo vuol dire che ogni qualvolta un’azienda USA chiede ai propri partner europei l’invio dei dati, vanno effettuate le opportune verifiche.


"A ciò si deve aggiungere che, nel dichiarare illegittimo il Privacy Shield e nel dichiarare insufficienti le SCC, la CGUE non ha previsto nessun periodo di grazia o di transizione. C’è quindi il rischio che i trasferimenti di dati extra SEE diventino illegittimi dall’oggi al domani”, prosegue l’avvocato Comito.

Come trasferire i dati ai paesi extra SEE senza infrangere la legge?

Questo non vuol dire, ovviamente, che per restare nella legalità si debbano interrompere tutti i rapporti con i paesi fuori dall’UE (cosa che sarebbe ovviamente impossibile e controproducente per la stessa Unione Europea).

“I trasferimenti dei dati extra SEE restano possibili senza particolari limitazioni in alcuni casi eccezionali previsti dall’art. 49 del GDPR, basati sul consenso informato dell’utente e sulla necessità per l’esecuzione del contratto - spiega l’Avvocato Veronica Comito - Purtroppo però l’EDPB (European Data Protection Board) ha già specificato che questo non è attuabile se il trasferimento avviene su larga scala o in modo regolare o sistematico. Ciò vuol dire che, a meno che il tuo business non sia quasi interamente nazionale o continentale, è molto difficile che tu possa rientrare in questa deroga”.

Tali presupposti, dunque, escludono tutte quelle aziende che fanno ecommerce cross border. In questo caso, occorrerà procedere ad una verifica caso per caso dei flussi di informazioni e degli accordi con i partner.
Si può seguire questo schema:

1. Ricognizione dei trasferimenti e dei relativi tool

Crea un elenco di partner e fornitori di servizi collocati al di fuori dello SEE, inserendo anche i responsabili del trattamento dei dati ex art. 28 GDPR. Assicurati che l’accordo lasci il responsabile libero di trasferire i dati e verifica in che modo.

2. Verifica del contratto e degli eventuali accordi di trasferimento

Questo è forse il passaggio più delicato. Analizza il contratto sottoscritto con i tuoi partner per cercare eventuali accordi o clausole sul trasferimento dei dati. Chiedi approfondimenti sulla legge in vigore nel paese di destinazione dei dati. Se il livello di tutela dei dati garantito risulta equivalente a quello UE, il trasferimento potrà proseguire, altrimenti dovrai procedere con un terzo step, l’individuazione e l’attuazione di misure supplementari.

3. Misure supplementari

Servono a rendere conforme il trasferimento di dati al tuo partner extra SEE nel caso in cui la sola legge locale o le clausole contrattuali non siano sufficienti. Si tratta, però, di un tema recentissimo e in continua evoluzione, per cui dovrai mantenerti costantemente aggiornato anche nei prossimi mesi. Queste misure supplementari possono essere di varia natura:

a. Misure di natura tecnica:

L’art. 46 GDPR stabilisce alcune garanzie per il trasferimento in un paese terzo o verso organizzazioni internazionali, purché sia assicurata la possibilità di ricorso giurisdizionale da parte dell’interessato. Se manca, come nel caso degli USA, occorre prevederne altre. L’EDPB ha fatto alcuni esempi: vanno bene la cifratura e la pseudonimizzazione, ma non il trasferimento a fornitori di servizi in cloud che richiedono i dati in chiaro e l’accesso da remoto per scopo commerciale.

b. Misure di natura contrattuale:

Si possono inserire nei contratti obblighi di trasparenza, richiedere l’assenso sulla fornitura di informazioni e statistiche basate sull’esperienza del partner o su relazioni provenienti da varie fonti, si può permettere l’accesso da parte delle autorità pubbliche, indicare quali misure sono adottate a tutela dei dati trasferiti, specificare in che modo al partner sia legalmente vietato fornire le informazioni oppure, in caso di richiesta da parte delle autorità di fornire i dati, prevedere che il partner commerciale si attivi con i propri legali per verificarne la legittimità.

c. Misure organizzative:

Individuare politiche condivise di governance dei dati, procedure condivise per trattare le richieste dell'autorità e degli interessati, creare un team di raccordo UE-extra SEE per le rivalutazioni periodiche dei trasferimenti e altre misure delineate in base alle esigenze di ogni singolo caso.

“Si tratta di un quadro normativo nel quale regna ancora un clima di incertezza, poiché è tutt’ora in divenire e in continuo aggiornamento. Ciò che posso consigliare alle aziende e, in particolare, a chi fa vendite online transfrontaliere, è di seguire lo schema in 3 punti che abbiamo indicati e di mantenersi costantemente aggiornato sulle novità in materia, chiedendo l’assistenza di un legale laddove non fosse sicuro di come poter agire” conclude l’avvocato Comito.

Per evitare di incorrere in sanzioni o fare scelte che possano rivelarsi controproducenti per l’azienda, il consiglio, almeno in questa prima fase, è quello di farsi affiancare da partner specializzati esperti in transazioni di ecommerce transfrontaliero, come, ad esempio, Go Global Ecommerce, che possano affrontare la questione da ogni punto di vista.
Questo agevolerà la transizione verso il nuovo quadro normativo, facilitando l’adattamento e suggerendo i passi da compiere.

Condividila!: