1. Il digital divide: l’Italia nel confronto con l’Europa
L’Italia è un terreno fertile per lo sviluppo dei servizi dell’economia digitale, e in particolare di servizi di cloud computing? A questa domanda è possibile rispondere soltanto coniugando un’analisi delle peculiarità del mercato con l’esame delle caratteristiche dell’ecosistema legale di riferimento. Sotto quest’ultimo profilo, peraltro, occorre registrare come il terreno di gioco delle principali sfide sotto il profilo regolamentare si sia ormai spostato dagli Stati membri all’Unione europea.
Il divario digitale rappresenta un fattore cruciale di ostacolo alla crescita delle imprese italiane, in modo particolare in relazione alle PMI. La digitalizzazione ha infatti permesso la creazione di nuovi modelli di business fondati sul ricorso alle tecnologie dell’informazione e la disponibilità di banda larga e di connessione ad alta velocità costituisce al giorno d’oggi una condizione imprescindibile per la fruizione di alcuni servizi. La diffusione delle piattaforme di streaming di contenuti audiovisivi, per esempio, è stata alimentata dall’aumento nella disponibilità di banda larga. Anche le imprese che svolgono attività editoriali fanno oggi ampiamente ricorso, nel veicolare i propri contenuti informativi, a contenuti audiovisivi che richiedono, per la loro efficace fruizione, una connessione ad alta velocità.
Al contempo, Internet è divenuta, a ritmo crescente, una piattaforma per l’offerta, la ricerca e l’acquisto di servizi, oltre che di beni di consumo. L’attitudine dei consumatori e delle imprese a utilizzare mercati online è fortemente influenzata, tuttavia, dalla possibilità di utilizzare reti di nuova generazione[1].
Internet costituisce, dunque, un presupposto imprescindibile non solo perché gli individui possano avvalersi di una nuova cittadinanza digitale, ma anche affinché le imprese possano esercitare la loro libertà di iniziativa economica, sviluppando servizi innovativi e indirizzando agli utenti la loro offerta. Si tratta di un diritto fondamentale che ha assunto una rilevanza crescente nell’attenzione dei legislatori e delle corti: per un verso, ne fanno menzione sia l’art. 41 della Costituzione italiana, sia l’art. 16 della Carta dei diritti fondamentali dell’Unione europea; per altro, l’attività delle corti lo vede sempre più di frequente protagonista delle operazioni di bilanciamento[2].
Il collegamento tra Internet e lo sviluppo economico si fonda sulla moltitudine di impieghi e di declinazioni cui le nuove tecnologie possono prestarsi. Per le imprese, la disponibilità di un connessione a Internet di elevata qualità e affidabilità diviene un fattore competitivo essenziale. Nonostante i vantaggi offerti in termini di delocalizzazione dei servizi che Internet dischiude, soprattutto le PMI che operano su base territoriale o che presentano un forte legame con il territorio di provenienza tendono a mantenere radicata la loro presenza esponendosi al rischio di derivare, in alcune parti del paese, un nocumento in termini di divario digitale laddove la connessione a Internet non è assicurata secondo uno standard di qualità.
Le conseguenze del digital divide risultano peraltro assai più significative nel contesto di un mercato unico europeo che elimina barriere territoriali e mette in contatto tra di loro imprese e consumatori stabiliti in paesi diversi. In uno scenario globale, il deficit in termini di competitività conosce un sensibile incremento.
Pertanto, la disponibilità di una connessione veloce a banda larga rappresenta una condizione essenziale per il corretto funzionamento dell’economia digitale: la costruzione di un level playing field consentirebbe alle imprese di competere senza incorrere in apprezzabili divergenze di standard nell’accesso all’infrastruttura.
Nel contesto europeo, l’Italia conserva, pur conoscendo progressivi miglioramenti, una posizione di arretratezza che rende il nostro paese scarsamente attrattivo e inficia la competitività delle imprese[3].
Il divario in termini di banda larga non incide soltanto su quei servizi, come il cloud computing, che presuppongono una apprezzabile disponibilità di connessione, ma influisce in via generale sullo sviluppo e sull’espansione di tutti i servizi della società dell’informazione, penalizzando diversi settori dell’economia.
Il commercio elettronico, per esempio, continua a registrare percentuali che appaiono nettamente al di sotto degli standard europei. Secondo il report diffuso da BEM Research sullo stato dell’e-commerce nel 2016, consumatori e imprese italiani sono ancora poco propensi ad acquistare e vendere beni e servizi mediante Internet[4].
Al contempo, guardando al versante “sociale” dei servizi dell’economia digitale, la disponibilità di servizi la cui funzionalità riposa sempre più sulla disponibilità di connessione veloce rischia di incontrare una diffusione eterogenea, alimentando logiche di esclusione o di marginalizzazione rispetto alle fasce di popolazione sguarnite di un’adeguata connessione. Se dunque la possibilità di accedere ai servizi della società dell’informazione risulta circoscritta soltanto a una parte, ancorché maggioritaria, della popolazione, è forte il rischio che anziché ridurre le diseguaglianze l’uso del web sia ancora percorso da dinamiche di esclusione o di marginalizzazione. Il tema dell’accessibilità rappresenta pertanto una precondizione che merita attenzione particolare nell’agenda dei regolatori e dei decisori politici, non solo per lo sviluppo da parte delle imprese dei servizi dell’economia digitale ma affinché questi possano farsi effettivamente veicolo di eguaglianza e ridurre, anziché ampliare, il divario tra le diverse parti della popolazione.
2. Il cloud computing: diffusione e vantaggi per le imprese
Lo scenario di persistente arretratezza che emerge comparando la diffusione dei servizi e delle reti digitali in Italia con il trend europeo rappresenta un fattore di criticità che rischia di minare la possibilità di radicamento e di sviluppo di servizi innovativi fra cui spicca, indubbiamente, il cloud computing. Occorre sin d’ora domandarsi, tenendo conto delle condizioni di partenza nel mercato, se sussistano anche degli ostacoli regolamentari che rendono più complessa la diffusione del cloud computing.
Tale categoria di servizi merita una considerazione peculiare nel novero delle molteplici opportunità create dall’avvento della società dell’informazione in quanto, se per un verso presuppone un ecosistema tecnico-giuridico favorevole al suo sviluppo, per altro verso la possibilità per le imprese di avvalersene costituisce un fattore in grado di alimentarne la competitività, abbattendo importanti voci di costo e favorendo il lato degli investimenti.
L’attenzione alla rilevanza dei servizi di cloud computing non rappresenta peraltro una novità anche a livello legislativo e regolamentare. Nel settembre 2012, cogliendone l’importanza, la Commissione, in sede di definizione dell’Agenda Digitale Europea, ebbe a definire una strategia europea per il cloud computing, denominata “Sfruttare il potenziale del cloud computing in Europa”. L’obiettivo esplicito perseguito da questa strategia era di incentivare il ricorso alla “nuvola” in tutti i settori economici[5].
La stessa espansione che si registra nella diffusione dei servizi di cloud computing appare sicuro indice a conferma degli innumerevoli benefici che tanto le imprese quanto gli individui derivano dall’avvento di nuove modalità di interazione con servizi e contenuti fondate sulla delocalizzazione dei dati.
Ancora una volta, questi servizi giovano soprattutto alle PMI, che possono così ridurre il divario competitivo che le separa dalle imprese di maggiori dimensioni.
In Italia, secondo il Cloud Dividend Report del Center for Economics and Business Research redatto nel 2010, i servizi di cloud computing avrebbero dovuto generare, nel quinquennio 2010-2015, un valore economico complessivo pari a 35,101 miliardi di Euro. Lo stesso studio stimava in 177,295 miliardi di Euro i benefici economici complessivi tra Italia, Spagna, Francia, Germania e Regno Unito per il medesimo periodo.
Queste previsioni di favore sembrano aver trovato conferma, più di recente, nel documento di RightScale State of the Cloud Report, che documenta una capillarità sempre maggiore nella penetrazione dei servizi di cloud computing presso le realtà imprenditoriali: il 93% degli intervistati ha dichiarato di fare uso di servizi di cloud, anche se le imprese appaiono refrattarie a delocalizzare in cloud una parte maggiormente consistente del loro portafoglio applicativo.
Le imprese italiane, pur scontando un gap tecnologico di non poco momento rispetto al resto d’Europa, sembrano aver colto la natura strategica dei servizi di cloud computing. Secondo una ricerca di Eurostat del 2014, infatti, l’Italia è il secondo paese dell’Unione europea in cui le imprese sopra i dieci dipendenti fanno uso di servizi di cloud (circa il 40%).
Tra i fattori che costituiscono un incentivo all’adozione dei servizi di cloud, secondo le imprese, figurano l’elevata scalabilità, la rapidità di accesso all’infrastruttura, l’ampia disponibilità, l’affidabilità e la velocità. Gli elementi legati al risparmio di costi non appaiono una preoccupazione primaria nell’economia delle scelte delle imprese, ma come si dirà costituiscono senz’altro uno degli aspetti che depongono maggiormente a favore della diffusione dei servizi di cloud.
La diffusione dei servizi di cloud computing ha quindi portato alla luce l’esistenza di importanti opportunità, soprattutto per le imprese. La possibilità di attuare la migrazione di dati dai sistemi interni verso sistemi remoti nella disponibilità del cloud provider secondo logiche di outsourcing permette indubbiamente di realizzare rilevanti risparmi e di beneficiare di maggiori risorse senza un impiego diretto in attività quali, per esempio, la manutenzione, la sicurezza e la gestione dei dati.
Tre sono i versanti, in particolare, rispetto ai quali i servizi di cloud paiono offrire vantaggi sotto il profilo economico a beneficio delle imprese[6].
Il primo elemento, indubbiamente, si lega all’abbattimento dei costi dovuti alla gestione in house dei servizi di IT. In questo senso, il client potrà giovarsi di un ridimensionamento dei sistemi e delle applicazioni necessarie a processare dati internamente e destinare i corrispondenti risparmi a investimenti e, segnatamente, in attività di ricerca e sviluppo. La riduzione dei costi non deriva esclusivamente dalla possibilità di dispensare lo specifico personale tecnico dalla gestione dei processi informativi ma anche dal risparmio su voci di costo per aggiornamento software e acquisto di licenze. Inoltre, la gamma di servizi viene correlata alle effettive esigenze dell’impresa, permettendo ai client di guadagnare flessibilità e di evitare una dispersione di risorse.
Gli studi di matrice economica hanno evidenziato come il ricorso al cloud computing consenta di determinare una trasformazione dei costi fissi dovuti agli investimenti in componenti hardware e software che sono tipicamente prodromici rispetto all’esercizio dell’attività imprenditoriale in costi operativi che hanno natura variabile, essendo il loro volume connesso alla domanda specificamente proveniente dal client (secondo una logica pay as you go).
Al contempo, le stesse imprese che offrono servizi di cloud possono beneficiare di una complessiva riduzione dei costi variabili favorita dalle economie di scala derivanti dalla diffusione del cloud computing. La formazione di data center e la gestione centralizzata di più server da parte di un amministratore favoriscono, infatti, un generale risparmio di costi e risorse.
Il secondo profilo il vantaggio si lega alla maggiore interoperabilità e flessibilità dei servizi di cloud computing, che rendono accessibili i dati da una moltitudine di devices e di punti di accesso, dispensando le risorse umane dalla necessità di ricorrere fisicamente all’uso di determinati terminali, potendo fruire di dati da qualunque luogo e da qualunque dispositivo a ciò abilitato. Il cloud favorisce, in questo senso, anche l’innovazione delle tradizionali modalità di organizzazione e di svolgimento dell’attività lavorativa e professionale, creando forme di condivisione e di mobilità inedite.
Da ultimo, emerge un elemento di cruciale importanza nella gestione dei dati, vale a dire la sicurezza. Mentre nei sistemi tradizionali di amministrazione dati, la gestione interna abbraccia i processi di prevenzione del rischio e di risk management, la migrazione verso sistemi gestiti dal cloud provider permette di centralizzare la gestione del rischio, affidandola, anziché ai singoli client presso le rispettive organizzazioni, al soggetto che assume contrattualmente l’obbligo di fornire servizi e di garantirne la sicurezza. Naturalmente, la medesima logica consente di ridurre la dispersione del rischio, concentrandolo presso gli operatori che gestiscono in outsourcing i sistemi e processi rilevanti ma permettendo a questi ultimi, in ogni caso, di dotarsi di misure tecniche e organizzative idonee di implementazione su larga scala. È in questa direzione che la diffusione di servizi di cloud con l’emersione di soggetti che operano in questo settore facendone il proprio core business determina un importante effetto di spillover in termini di generale rafforzamento delle condizioni di sicurezza per la prestazione di servizi. La circostanza, infatti, per cui la gestione e l’offerta di tali servizi conosce un processo di intermediazione da parte dei fornitori di servizi di cloud computing, la cui attività caratteristica impone l’adozione di elevati standard di sicurezza nel trattamento di dati, si riflette in un generale beneficio per l’ecosistema rilevante. Così la prestazione dei medesimi servizi si avvantaggia di un generale innalzamento del livello di sicurezza mediamente praticato dalle imprese diverse dai fornitori di cloud, per le quali è assente un’attività caratteristica improntata alla gestione dei dati secondo standard di tutela adeguati. Non si tratta, dunque, di una mera “delega” di responsabilità verso operatori che praticano “istituzionalmente”, in forza del loro peculiare business, condizioni di sicurezza più elevate, ma di un miglioramento sistemico che beneficia tutte le imprese destinate, direttamente o indirettamente, ad avvalersi dei servizi di cloud.
3. Il cloud computing: i profili giuridici
L’affermazione sul mercato di servizi di cloud computing porta con sé conseguenze di grande momento per quanto riguarda i profili di natura strettamente giuridica. Le principali ricadute giuridiche di questo fenomeno interessano naturalmente il terreno della protezione dei dati personali.
Non è un caso che, in Italia, tra i vari organismi, l’Autorità garante per la protezione dei dati personali sia intervenuta in materia sin dal 2010[7], sottolineando i benefici connessi alla diffusione dei servizi di cloud, e avendo cura di emanare apposite linee guida[8] per orientare imprese e pubbliche amministrazioni al rispetto della privacy in sede di implementazione di questi sistemi.
La diffusione di questi servizi porta con sé la moltiplicazione dei trasferimenti di dati personali e, dunque, dei soggetti che intervengono nel trattamento: queste circostanze espongono a un naturale incremento il rischio che accompagna la circolazione dei dati. Si aggiunga che il ricorso a servizi integralmente forniti tramite la rete Internet consente a provider e client di instaurare rapporti contrattuali a prescindere dal rispettivo luogo di stabilimento: a questo proposito è noto che gli Stati membri dell’Unione europea applicano un livello di tutela oggetto di armonizzazione, informato all’esigenza di assicurare uno standard elevato ai dati personali, laddove in alcuni paesi terzi gli ordinamenti giuridici potrebbero garantire un grado di protezione diverso, pertanto anche inferiore a quello proprio della legislazione dell’Unione europea: numerosissimi dei trasferimenti avvengono verso gli Stati Uniti, dove hanno peraltro sede gli stabilimenti principali delle società attive nei servizi dell’economia digitale e dove la protezione dei dati personali non conosce un’esplicita copertura costituzionale, al di fuori dei riferimenti contenuti nel IV Emendamento alla Costituzione che attengono, però, in prevalenza alla dimensione negativa della privacy. Non solo: mentre a livello dell’Unione europea vige un quadro normativo comune e armonizzato, che si deve alla direttiva 95/46/CE e, dallo scorso maggio, al nuovo regolamento generale in materia di protezione dei dati personali n. 2016/679, negli Stati Uniti la disciplina della privacy è lasciata a iniziative settoriali, dunque frammentata tra legislazione statale e federale, ma non conosce un disegno organico[9]. Gli Stati Uniti costituiscono il più importante dei vari esempi di ordinamenti che riconoscono un grado di protezione inferire ai dati personali rispetto all’Europa, che è invece un sistema informato a un livello di tutela elevato della privacy e dei dati personali.
Proprio in virtù di questa possibile asimmetria nella disciplina sui dati personali, la direttiva 95/46/CE consente di procedere al trasferimento di dati dell’Europa verso paesi terzi soltanto quando l’ordinamento del paese “di destinazione” offra un livello di tutela adeguato ai dati personali ovvero in presenza di speciali condizioni.
La protezione dei dati personali rappresenta dunque un fattore di cruciale importanza nell’ambito della prestazione di servizi di cloud. Le misure tecniche e organizzative adottate a questo proposito, infatti, assurgono a vero e proprio elemento qualificante degli operatori che forniscono questi servizi, al punto da costituire un asset sul piano concorrenziale che consente alle imprese di competere rendendo maggiormente appetibile la propria offerta[10].
Diverse sono le tematiche che illustrano le criticità che emergono in relazione all’applicazione della disciplina sulla protezione dei dati personali nell’ambito della prestazione dei servizi di cloud computing. Il ricorso alle tecnologie digitali, infatti, ha scardinato il paradigma normativo consolidato nella direttiva 95/46/CE, sollevando questioni inedite cui è stato necessario offrire soluzione mediante un’interpretazione delle disposizioni vigenti coerente con lo stadio tecnologico. In questa direzione si coglie soprattutto la preoccupazione dei regolatori europei di evitare possibili lacune, lasciando spazio per eventuali “zone franche” entro le quali sia possibile per gli operatori (sia sul versante provider sia su quello client) sottrarsi all’imperatività delle tutele vigenti a livello europeo in materia di protezione dei dati personali.
Tali elementi di criticità possono essere descritti, fra gli altri, nei due seguenti temi: l’applicabilità della disciplina dell’Unione europea (e i relativi criteri) a servizi che conoscono un forte processo di delocalizzazione dal punto di vista territoriale; i requisiti per consentire il trasferimento di dati personali al di fuori dell’Europa. Rispetto a ciascuno di questi versanti si registra un contributo sia da parte del legislatore europeo che da parte della Corte di giustizia, che è intervenuta, soprattutto di recente, a dirimere alcuni importanti questioni interpretative, restituendo principi di grande momento.
4. L’ambito di applicazione territoriale della disciplina europea
Un aspetto da sempre assai controverso in relazione all’avvento e alla diffusione delle tecnologie digitali concerne la definizione del perimetro entro il quale la normativa europea in materia di tutela dei dati personali trova applicazione. Si tratta di un tema di grande momento per poter comprendere l’effettiva portata degli obblighi che incombono in capo ai fornitori dei servizi della società dell’informazione per effetto dell’applicazione della normativa europea. Come si è chiarito, infatti, le piattaforme digitali e gli Internet service providers hanno spesso la propria sede principale negli Stati Uniti e si stabiliscono, in prevalenza per finalità di natura commerciale, nei vari Stati membri dell’Unione europea. Si tratta di un modello tendenzialmente consolidato e facilmente replicabile, che espone questi operatori alla necessità di interfacciarsi con l’elevato livello di tutela dei dati personali che contraddistingue l’ordinamento dell’Unione europea.
L’evoluzione della tecnologia ha messo in evidenza l’inadeguatezza, o comunque l’obsolescenza del dato normativo riguardo alla definizione dell’ambito di applicazione della normativa europea. La disciplina rilevante, infatti, fino al momento in cui il nuovo regolamento generale inizierà a essere applicabile, è racchiusa nelle disposizioni interne di recepimento dell’art. 4 della direttiva 95/46/CE. Tale norma dispone quanto segue:
«1. Ciascuno Stato membro applica le disposizioni nazionali adottate per l’attuazione della presente direttiva al trattamento di dati personali:
a) effettuato nel contesto delle attività di uno stabilimento del responsabile [rectius: titolare] del trattamento nel territorio dello Stato membro; qualora uno stesso responsabile [rectius: titolare] del trattamento sia stabilito nel territorio di più Stati membri, esso deve adottare le misure necessarie per assicurare l’osservanza, da parte di ciascuno di detti stabilimenti, degli obblighi stabiliti dal diritto nazionale applicabile;
b) il cui responsabile [rectius: titolare] non è stabilito nel territorio dello Stato membro, ma in un luogo in cui si applica la sua legislazione nazionale, a norma del diritto internazionale pubblico;
c) il cui responsabile [rectius: titolare], non stabilito nel territorio della Comunità, ricorre, ai fini del trattamento di dati personali, a strumenti, automatizzati o non automatizzati, situati nel territorio di detto Stato membro, a meno che questi non siano utilizzati ai soli fini di transito nel territorio della Comunità europea.
2. Nella fattispecie di cui al paragrafo 1, lettera c), il responsabile del trattamento deve designare un rappresentante stabilito nel territorio di detto Stato membro, fatte salve le azioni che potrebbero essere promosse contro lo stesso responsabile del trattamento».
Tale configurazione normativa, tutt’altro che cristallina nella sua formulazione e all’origine di innumerevoli questioni interpretative, ha infatti permesso ad alcuni soggetti imprenditoriali aventi la propria sede principale al di fuori dell’Unione europea (e.g., negli Stati Uniti) e stabiliti in Europa tramite agenzie, filiali e succursali aventi prevalentemente natura commerciale, di eccepire la propria estraneità, rispetto al trattamento di dati personali, alla disciplina dell’Unione europea[11]. Secondo un’interpretazione ricorrente ma ormai superata, conforme a una visione statica del trattamento dei dati personali, al ricorrere di queste fattispecie detto trattamento sarebbe effettuato unicamente dalla società “madre”, mentre le società stabilite negli Stati membri e ivi operanti non parteciperebbero in alcun modo al data processing e non rivestirebbero, pertanto, alcuna responsabilità al riguardo. Le società operanti in Europa, secondo questa ricostruzione, perseguirebbero esclusivamente lo scopo di “customizzare” l’offerta di servizi in base al target rappresentato dai cittadini residenti nei diversi Stati membri in base a fattori locali (come la lingua utilizzata).
In questo schema, ricorrendo alla terminologia dell’art. 4, par. 1, lett. a), il trattamento di dati personali, essendo riconducibile esclusivamente alla società “madre” stabilita al di fuori dei confini europei, non sarebbe in alcun modo ascrivibile all’ “attività dello stabilimento”[12].
La Corte di giustizia dell’Unione europea ha tuttavia fornito importanti indicazioni che depongono a favore di una ricostruzione in senso opposto nella sentenza del 13 maggio 2014 nella causa Google Spain[13].
Il massimo organo giurisdizionale dell’Unione europea, infatti, nella sentenza nota soprattutto per aver riconosciuto il fondamento giuridico del diritto alla deindicizzazione dei dati personali dai motori di ricerca, ha fondato tale ricostruzione sull’assunto dell’applicabilità a Google, parte in causa nella fattispecie, della disciplina in vigore nell’Unione europea[14].
Secondo la Corte di giustizia, l’attività svolta da uno stabilimento, pur non presentando alcuno specifico collegamento con il trattamento di dati personali, consistendo, nel caso specifico, nella promozione e vendita di spazi pubblicitari, costituisce il mezzo per rendere economicamente redditizio il soggetto principale che effettua il trattamento di dati personali.
La Corte di giustizia ha precisato che anche la visualizzazione di dati personali su una pagina di risultati di una ricerca costituisce un trattamento di dati personali, e dunque l’associazione tra l’attività di indicizzazione di notizie contenenti dati personali e l’attività pubblicitaria e commerciale consente di affermare che detto trattamento sia effettuato nel contesto dell’attività dello stabilimento, condizione che legittima l’applicazione della disciplina dell’Unione europea.
Da questa pronuncia derivano implicazioni assai rilevanti che concernono anche i servizi di cloud computing, che spesso sfuggono all’applicazione dell’ulteriore criterio sub lett. c) dell’art. 2, par. 1, della direttiva 95/46/CE, legato all’ubicazione degli strumenti utilizzati per effettuare il trattamento di dati personali.
Infatti, nonostante tali strumenti, automatizzati o non automatizzati, siano talvolta stabiliti al di fuori del territorio dell’Unione europea, secondo il principio enunciato dalla sentenza Google Spain, il collegamento tra il trattamento di dati personali e l’attività degli stabilimenti nel territorio dell’Unione assume rilevanza.
I medesimi principi possono quindi trovare applicazione con riguardo ai rapporti tra il fornitore di servizi di cloud computing (responsabile del trattamento) e il soggetto imprenditoriale che si avvale dei medesimi servizi (titolare del trattamento)[15].
Applicando il criterio enunciato dall’art. 4, par. 1, lett. a), infatti, la disciplina dell’Unione opera in forza dell’esistenza di uno stabilimento dell’operatore che appalta i servizi all’interno del territorio europeo, mentre è irrilevante il luogo in cui abbia sede il fornitore di servizi.
Ricorrendo, invece, al criterio di cui alla lett. c), la legislazione dell’Unione europea si applica in quanto il titolare del trattamento, pur non avendo sede nel territorio di uno Stato membro, utilizzi strumenti situati nell’Unione. In tale scenario, per esempio, la disciplina europea sarebbe rilevante laddove il titolare del trattamento sito in un paese terzo si avvalga di servizi di cloud di un fornitore stabilito nell’Unione europea (il Gruppo di lavoro Articolo 29 ha segnalato come in tale fattispecie il fornitore di servizi sito in Europa “esporti” al cliente avente sede in un paese terzo la disciplina dell’Unione).
L’ambito di applicazione territoriale della disciplina dell’Unione europea, peraltro, ha conosciuto un definitivo chiarimento a fronte dell’approvazione del nuovo regolamento generale sulla protezione dei dati personali, che, non senza recepire le indicazioni della Corte di giustizia, ha fissato nel targeting il criterio di collegamento tra diritto dell’Unione e imprese, ovunque stabilite, che effettuino il trattamento di dati personali[16].
I criteri legati alla localizzazione del cloud provider e dei relativi data center, infatti, cesseranno di avere rilevanza in quanto ai sensi dell’art. 3 del regolamento l’ambito di applicazione comprende i trattamenti di dati personali effettuati da soggetti stabiliti al di fuori dell’Unione europea ma che offrano beni o servizi a individui residenti nel territorio dell’Unione[17].
La fissazione di questo nuovo parametro per misurare l’applicabilità del regolamento consente di eliminare le difficoltà ingenerate dalla pluralità di soggetti coinvolti nel trattamento di dati personali.
Il nuovo regolamento, peraltro, dedica una particolare attenzione ai profili che ineriscono al ruolo del titolare e del responsabile e alla relativa identificazione, elemento che favorisce una maggiore consapevolezza da parte dell’interessato in ordine al soggetto che esegue il trattamento di dati personali.
5. Il safe harbour e il trasferimento di dati all’esterno dell’Unione europea: la sentenza Schrems
Una volta chiariti i più recenti orientamenti rispetto all’ambito di applicazione della disciplina europea, il secondo tema cruciale per individuare l’impatto regolamentare in materia di protezione dei dati personali sulle imprese che operano nel mercato dei servizi di cloud computing concerne i requisiti per il trasferimento di dati personali dall’Unione europea verso paesi terzi.
Come si è già sottolineato, l’ordinamento dell’Unione europea è informato a un livello di tutela elevato della privacy e dei dati personali e condiziona l’esportazione di dati al di fuori dei confini europei alla garanzia che gli stessi siano sottoposti a un livello di protezione adeguato nell’ordinamento del paese terzo di destinazione.
L’idoneità del livello di protezione previsto da un paese terzo dev’essere accertata, ai sensi dell’art. 25 della direttiva, tramite un’apposita decisione di adeguatezza adottata dalla Commissione. Sotteso a questo parametro, evidentemente, è l’intento di assicurare una sostanziale continuità, anche spaziale, nell’applicazione di tutele adeguate, pur nella diversità intrinseca degli ordinamenti giuridici.
Su questo terreno, si deve registrare l’importantissima decisione della Corte di giustizia nel caso Schrems[18], che ha annullato la decisione 2000/520/CE della Commissione che aveva certificato l’idoneità del livello di tutela offerto dall’ordinamento statunitense tramite il sistema cosiddetto di safe harbour.
Questa sentenza ha prodotto conseguenze assai significative per le imprese che effettuato a livello transnazionale trattamenti di dati personali e che operano, pur con entità giuridicamente distinte, sia in Europa che negli Stati Uniti, eliminando – di fatto – la princiaple base giuridica per l’esportazione dei dati.
La decisione della Corte di giustizia misura l’importanza della frattura che separa la visione squisitamente europea e quella tipicamente statunitense rispetto alla tutela dei dati personali e al rapporto tra tale diritto e altri interessi costituzionalmente rilevanti e meritevoli di tutela[19].
Occorre premettere che il giudizio della Corte trae in parte le proprie radici dal peculiare contesto storico contingente in cui si inserisce, caratterizzato, da un lato, dall’aggravarsi delle minacce terroristiche e del conseguente rafforzamento delle dinamiche di repressione, dall’altro dall’emergere di diversi scandali legati alle operazioni di sorveglianza di massa poste in essere dalle agenzie di sicurezza che cooperano con il governo degli Stati Uniti, non senza che siano paventati dubbi in ordine alla collaborazione di alcuni Stati membri[20].
Entro questa cornice si iscrive la vicenda che ha dato origine alla sentenza della Corte di giustizia, che vedeva uno studente austriaco dolersi innanzi all’autorità nazionale di protezione dei dati personali irlandese dell’inadeguatezza del livello di tutela garantito dall’ordinamento degli Stati Uniti, paese verso il quale venivano trasferiti i dati personali raccolti nel territorio dell’Unione europea dal social network Facebook.
La Commissione, con la decisione oggetto di annullamento, aveva ritenuto, nell’ormai lontano 2000, di convalidare il sistema di safe harbour in vigore negli Stati Uniti, certificandone, per l’appunto, l’idoneità a munire i dati personali dei cittadini europei di un grado adeguato di protezione.
Detto sistema di “porto sicuro” si fonda sull’adesione, su base spontanea, da parte delle imprese interessate, a un apposito registro previa soddisfazione di un novero di requisiti finalizzati ad attestare l’implementazione di adeguate cautele in materia di trattamento di dati personali.
La Corte di giustizia, ha ravvisato come, permettendo la circolazione transfrontaliera dei dati personali verso un paese terzo il cui ordinamento non garantiva uno standard di protezione idoneo, la decisione di adeguatezza determinasse una violazione degli artt. 7 e 8 della Carta dei diritti fondamentali dell’Unione europea.
In letteratura è stato sottolineato come la decisione della Corte di giustizia, pur assumendo a tratti un inedito taglio pragmatico nell’esaminare in concreto l’idoneità del sistema di safe harbour nel proteggere i dati dei cittadini europei, non sia andata immune dall’esercizio di un’attitudine manipolativa che già si era intravista in altre importanti pronunce in materia[21]. Segnatamente, tale atteggiamento si coglie, per un lato, nella sostanziale reinterpretazione del parametro di adeguatezza del livello di tutela in termini di equivalenza, a dispetto delle diversità intrinseche tra gli ordinamenti e, per altro, nella considerazione dei diritti economici come recessivi rispetto ai diritti fondamentali, secondo uno schema che invero non ha riscontro nella Carta.
L’annullamento della decisione sul safe harbour ha così segnato un punto di frattura difficile da ricomporre, con conseguenze potenzialmente assai rilevanti per le moltissime imprese che quotidianamente movimentano dall’Unione europea verso paesi terzi ingenti quantità di dati personali. Soprattutto, uno degli aspetti da non sottovalutare coincide con la rivitalizzazione del potere delle autorità nazionali di protezione di esaminare i ricorsi degli individui che lamentino, nonostante l’esistenza di una decisione di adeguatezza, un pregiudizio ai propri dati causato dall’ordinamento dal paese terzo in cui essi sono trasferiti. Un elemento, quest’ultimo, che potrebbe generare crescenti disomogeneità e creare differenti orientamenti in un settore dove maggiormente forte è l’esigenza di un approccio uniforme tra gli Stati membri e le relative autorità.
6. La transizione dalla sentenza Schrems al Privacy Shield
Come è del resto noto, il ricorso ai principi del safe habour risale alla volontà di addivenire a un compromesso non insensibile alle ragioni politiche dei contraenti, ossia Unione europea e Stati Uniti. L’assunto di partenza che ha guidato le intenzioni del legislatore europeo è che, una volta raggiunto un accordo tra gli Stati membri in ordine a un livello minimo di armonizzazione delle rispettive regole a tutela dei dati personali, occorresse una mediazione che permettesse di non rinunciare ai vantaggi di questo sforzo a fronte della dimensione transnazionale nella circolazione dei dati personali. E che, soprattutto, evitasse che alcuni soggetti potessero sottrarsi all’applicazione del set di tutele previsto a livello dell’Unione europea ricorrendo a forme elusive, quali ad esempio processi di delocalizzazione.
La dottrina ha peraltro correttamente messo in luce come la concezione dominante all’epoca della decisione sul safe harbour sottendeva una visione della tutela dei dati personali come costo aziendale e non come asset strategico e concorrenziale per le imprese e fattore qualificante ai fini reputazionali[22].
L’obiettivo di mantenere un comune denominatore di tutele tra due sistemi giuridici così distanti quanto alla visione della privacy non avrebbe potuto essere conseguito, verosimilmente, senza elaborare una soluzione di compromesso che traducesse, oltre a valutazioni di ordine giuridico, anche elementi di natura politica. A questo elementi si aggiunge la percezione dell’irrinunciabilità della cooperazione tra imprese operanti negli Stati Uniti e imprese operanti in Europa. Ne è derivata la scelta di un accordo che, senza sacrificare le peculiarità proprie dell’ordinamento giuridico statunitense, ha consentito di realizzare trasferimenti di dati personali dall’Europa verso oltreoceano previa compliance con una gamma di requisiti dichiarati dalle organizzazioni aderenti al sistema di safe harbour.
L’importanza assunta da questo strumento e la rilevanza, per l’effetto, della decisione della Corte di giustizia che lo ha interessato, si comprende agilmente ponendo mente alle attenzioni e agli sforzi che le autorità europee hanno dedicato, dal giorno successivo, alla negoziazione di un nuovo accordo che permettesse di ricostruire il ponte per il transito dei dati personali che la Corte di giustizia appena demolito.
Lo scenario che è seguito all’annullamento della decisione sul safe harbour ha permesso di comprendere, da un lato, la rilevanza assoluta di questo strumento e il suo importante impatto nei confronti delle imprese sotto il profilo economico, dall’altro lato, di valutare con maggiore contezza la portata degli strumenti che la direttiva individua quali alternative all’esistenza di un apprezzamento in ordine all’adeguatezza del livello di tutela garantito dagli ordinamenti di paesi terzi, e segnatamente delle standard contractual clauses e delle binding corporate rules.
Senz’altro l’assenza di un accordo che avalli la circolazione dei dati personali dall’Europa verso gli Stati Uniti è un fattore in grado di produrre delle importanti ripercussioni sul versante economico. In questo senso, la scelta della Commissione di avviare immediatamente i negoziati per la conclusione di un nuovo accordo, il Privacy Shield, merita in via generale approvazione, mirando a colmare una lacuna il cui protrarsi avrebbe causato un impatto sfavorevole per le imprese stabilite nell’Unione europea. Certa dottrina[23] ha proposto una ricostruzione che, facendo leva sulla commistione tra motivi politici e giuridici, identifica nell’immediata conclusione di un nuovo accordo una strategia di breve periodo, alla quale se ne affianca una di medio e lungo termine che sarebbe finalizzata alla definizione di una cornice legislativa maggiormente puntuale e omogenea e in grado di assicurare un livello di protezione dei dati personali il più possibile aderente alla visione europea di questo valore come asset e fattore competitivo. In questa ricostruzione, si ipotizza, indulgendo in una interpretazione degli obiettivi di policy sottesi alle intenzioni del legislatore europeo, che l’adozione del Privacy Shield potrebbe rispondere anche a una finalità dilatoria, proprio in quanto strategia di breve periodo, stante la possibilità che la Corte di giustizia annulli nuovamente la valutazione di adeguatezza. E del resto, tale eventualità non appare del tutto remota, alla luce del protrarsi dei tentativi da parte di Maximillian Schrems di portare all’attenzione degli organi giurisdizionali dell’Unione europea il possibile contrasto con la tutela dei diritti fondamentali incardinati negli artt. 7 e 8 della Carta di diverse parti dell’ordinamento. Le stesse dichiarazioni di Schrems all’indomani dell’adozione del Privacy Shield denunciavano l’intento di provocare un ulteriore scrutinio da parte della Corte di giustizia sulla conformità alla Carta del contenuto del nuovo accordo, ritenuto dagli esperti e da parte dei commentatori una versione riadattata, con alcuni limitati miglioramenti, della decisione annullata nell’ottobre del 2015.
È noto come, in seguito all’annullamento della decisione 2000/250, l’High Court irlandese sia stata investita di una nuova domanda da parte del Data Protection Commissioner relativa alla legittimità del ricorso, da parte di Facebook, alle standard contractual clauses per effettuare il trasferimento di dati dall’Europa negli Stati Uniti. Secondo l’autorità irlandese, infatti, l’utilizzo di queste clausole presuppone in ogni caso che l’ordinamento del paese terzo assicuri un livello di protezione adeguato, circostanza che sarebbe sconfessata dalla stessa sentenza Schrems della Corte di giustizia. Il Data Protection Commissioner ha così investito della questione l’High Court prospettando l’esigenza di un rinvio pregiudiziale davanti alla Corte di giustizia per accertare la validità delle standard contractual clauses in base alla conformità con il diritto dell’Unione[24].
Inoltre, davanti alla Corte di giustizia è pendente una domanda di pronuncia pregiudiziale proposta dall’Oberster Gerichtshof austriaco in un procedimento che vede nuovamente Schrems opporsi a Facebook, sebbene l’oggetto del contendere riguardi alcune disposizioni del regolamento 44/2001 concernente la competenza giurisdizionale, il riconoscimento e l’esecuzione delle decisioni in materia civile e commerciale.
In secondo luogo, come si accennava, l’annullamento della decisione sul safe harbour ha messo in luce le difficoltà connesse all’assenza di una decisione di adeguatezza, in assenza della quale gli unici strumenti specifici per trasferire dati dall’Unione europea verso gli Stati Uniti, oltre al consenso dell’interessato, sono le binding corporate rules e le standard contractual clauses.
Tali strumenti integrano soluzioni che, pur non avendo respiro generale al pari delle decisioni di adeguatezza, hanno retto alla forza d’urto dell’annullamento del safe harbour e hanno giocato un ruolo essenziale per assicurare alle imprese che importano dati dall’Europa verso gli Stati Uniti una sostanziale continuità.
Anche il consenso dell’interessato, ai sensi della direttiva 95/46/CE, può legittimare il trasferimento di dati verso paesi terzi. Tuttavia, va da sé come il consenso costituisca un rimedio puntiforme e isolato, che condiziona alla volontà espressa individualmente dagli interessati la possibilità per le imprese di movimentare dati.
Molto più ampia è invece la portata delle binding corporate rules e delle standard contractual clauses[25].
Le binding corporate rules, come noto, identificano un complesso di regole tecniche e di policy che possono essere adottate esclusivamente da imprese appartenenti al medesimo gruppo a condizione che (i.) il trasferimento sia autorizzato dall’autorità garante dello Stato membro in cui opera l’impresa che effettua in via principale il trattamento di dati personali, da determinarsi secondo i criteri enunciati dal Gruppo di lavoro Articolo 29 e che (ii.) un’idonea informativa sia fornita agli interessati. Dunque, ancorché questa soluzione prescinda dalla raccolta del consenso (che implicherebbe una moltiplicazione dei costi transattivi, fino a risultare nella paralisi dei trasferimenti di dati), occorre che l’interessato riceva tutte le informazioni in ordine al trattamento di dati personali e alla possibilità di trasferimento verso soggetti terzi.
Vi sono alcuni limiti intrinseci all’operatività di questo strumento, che ha ricevuto applicazione da parte di circa venti gruppi a livello europeo. L’adozione delle binding corporate clauses implica, tra l’altro, l’elaborazione di processi interni che potrebbero rivelarsi onerosi; l’approvazione da parte delle autorità nazionali, inoltre, può richiedere una tempistica variabile.
Per le imprese che appartengono a gruppi diversi è possibile fare ricorso alle standard contractual clauses, un vero e proprio mezzo di integrazione contrattuale convalidato da una serie di decisioni che si sono susseguite da parte della Commissione. Per tale via, un complesso di regole uniformi definito a livello europeo si inserisce nell’ambito degli accordi che disciplinano il trasferimento di dati. A differenza delle binding corporate rules, si tratta di un’opzione di più ampia diffusione, in quanto non è circoscritta alle imprese appartenenti al medesimo gruppo.
Il trasferimento di dati personali verso un paese terzo può infatti essere autorizzato da uno Stato membro se il titolare del trattamento ricorre a clausole contrattuali appropriate che offrono garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone. Si tratta di uno strumento versatile che permette di prescindere dall’esistenza di una decisione di adeguatezza.
L’integrazione del regolamento contrattuale attraverso le standard contractual clauses permette così di effettuare il trasferimento di dati personali verso un paese terzo che potrebbe anche non assicurare un livello di protezione adeguato.
La Commissione ha approvato quattro distinti sistemi di clausole contrattuali che interessano il trasferimento di dati tra titolare e responsabile e tra diversi titolari[26].
Gli Stati membri non possono rifiutare di dare esecuzione ai trasferimenti di dati sulla base del ricorso alle standard contractual clauses, anche se alcune autorità nazionali di protezione dei dati si sono riservate il potere di convalidare il trasferimento. Soltanto in casi eccezionali gli Stati membri possono bloccare o sospendere il trasferimento di dati in base alle standard contractual clauses.
Va inoltre sottolineato che l’esistenza di queste clausole nemmeno impedisce alle imprese di chiedere alle autorità nazionali di protezione dei dati di autorizzare apposite soluzioni negoziali, il cui contenuto differisca dallo schema approvato dalla Commissione. Tale autorizzazione può essere rilasciata qualora le autorità nazionali ritengano che le misure indicate dal titolare che esporta dati personali verso un paese terzo assicurino un livello di protezione sufficiente. Le autorizzazioni rilasciate devono essere notificate alla Commissione e agli altri Stati membri.
Va da sé, alla luce del quadro che si è delineato, che per molte imprese che esportano dati personali dall’Europa verso gli Stati Uniti le standard contractual clauses e le binding corporate rules si sono rivelate fondamentali nel processo di transizione che ha condotto dall’annullamento del safe harbour all’entrata in vigore del Privacy Shield, consentendo di dar corso senza soluzione di continuità ai regolari flussi di dati tra i due lati dell’Atlantico.
7. Il Privacy Shield e la nuova decisione di adeguatezza
Sebbene né le binding corporate rules né le standard contractual clauses possano spiegare un’efficacia generale, entrambi gli strumenti possono sopperire all’assenza di una decisione di adeguatezza, che nondimeno configura l’unico strumento di vasta portata, estendendosi a tutti i trasferimenti di dati posti in essere dall’Unione europea verso un paese terzo, nella fattispecie gli Stati uniti.
Nonostante i primi commenti da parte di esperti e autorità di regolazione non abbiano lesinato rilievi critici[27], il Privacy Shield riveste una funzione essenziale, quale che sia la strategia (di breve – dilatoria – o di lungo periodo) perseguita dalle istituzioni dell’Unione europea.
A un’analisi che contestualizzi gli sforzi profusi dalle istituzioni europee e statunitensi per addivenire a un compromesso in tempi brevi non possono sfuggire i sostanziali benefici connessi, non soltanto nella prospettiva delle imprese, al nuovo accordo transatlantico.
Non solo, infatti, il documento appare riservare maggiori cautele rispetto alla tutela dei diritti degli interessati, aderendo a uno standard di protezione maggiormente elevato; alcuni elementi meritevoli di approvazione sembrano rinvenirsi anche nelle novità che interessano la posizione delle imprese e delle autorità di protezione dei dati personali.
I principi
Il Privacy Shield propone una rivisitazione che non pare potersi dire meramente formale dei principi già codificati nella vigenza del safe harbour.
In particolare, grande enfasi è posta sul principio dell’informativa, il cui contenuto complesso non è riducibile alle previsioni, limitate al rapporto tra impresa e interessato, che trovavano spazio nel principio della notifica che figurava all’interno dello schema previgente.
Infatti, il principio dell’informativa mira ad assecondare una funzione più ampia, ossia dare evidenza dell’adesione di un’organizzazione al Privacy Shield, dei principi che essa si impegna a rispettare, delle finalità per il cui assolvimento sono trattati dati personali, dei diritti e delle opzioni disponibili agli interessati, delle responsabilità in cui può incorrere e dei controlli cui è sottoposta. In questo frangente si coglie l’attenzione che il nuovo accordo dedica al tema della trasparenza, particolarmente accentuata non solo in una direzione conforme all’adozione di un nuovo risk based approach ma anche nel riconoscimento di un valore intrinsecamente reputazionale nel rispetto delle garanzie che concernono i dati personali.
Il nuovo accordo rafforza, inoltre, il principio sulla responsabilità in caso di ulteriore trasferimento dei dati, dedicando apposite regole all’ipotesi in cui un’organizzazione aderente allo scudo intenda trasferire dati a un terzo che agisca come procuratore.
È significativamente ampliato, inoltre, il contenuto del principio di integrità dei dati, al quale si associa quello di limitazione delle finalità. Mentre lo stesso principio, nella formulazione previgente, appariva sostanzialmente allineato al rispetto del canone di pertinenza rispetto alle finalità del trattamento, esso si arricchisce di nuove indicazioni, che concernono la conservazione dei dati in una forma che identifichi l’interessato o ne consenta comunque l’identificazione. Tale conservazione è permessa soltanto per il tempo necessario a conseguire una finalità del trattamento.
Da ultimo, il principio sulle garanzie d’applicazione, ancorché confermato, è significativamente arricchito nella formulazione del principio sul ricorso, controllo e responsabilità. Alle prescrizioni previgenti, infatti, si affiancano previsioni che impongono alle organizzazioni aderenti al Privacy Shield di riscontrare prontamente le richieste del Dipartimento del Commercio e i reclami sul rispetto dai principi inviati dalle autorità degli Stati membri. Parimenti, si esplicita il vincolo in capo alle organizzazioni a sottoporre i reclami ricevuti a un procedimento arbitrale nel caso in cui vi siano state richieste. Inoltre, si specifica che ogni organizzazione aderente al Privacy Shield conserva la responsabilità del trattamento dei dati inviati a un terzo che agisca come procuratore, anche in relazione al danno eventualmente causato da quest’ultimo.
I principi relativi alla scelta, alla sicurezza e all’accesso sono invece rimasti sostanzialmente invariati nell’impianto del Privacy Shield, mentre le FAQ previste dal sistema di safe harbour sono ora riformulate, talvolta anche nel contenuto, sotto forma di principi supplementari.
La tutela dei cittadini europei dalla sorveglianza di massa
Si deve dare atto di come tanto il contenuto del Privacy Shield quanto la legislazione di contorno adottata in seguito all’approvazione di questo accordo[28] abbiano provveduto a rafforzare in misura assai significativa i diritti dell’interessato rispetto a uno dei profili di maggiore criticità emersi nella decisione della Corte di giustizia: ossia il trattamento da parte di autorità pubbliche, che costituiva un’eccezione all’applicazione dei principi stabiliti nel safe harbour, determinando per gli interessati un’importante deminutio in termini di tutela. Come la stessa Corte di giustizia ha rilevato, infatti, il c. 2 dell’Allegato I alla decisione 2000/520 della Commissione specificava che «I principi sono stati messi a punto in consultazione con l’industria e con il grande pubblico per facilitare gli scambi commerciali [il corsivo è aggiunto]fra Stati Uniti ed Unione europea. Essi sono destinati unicamente a[d]organizzazioni americane [il corsivo è aggiunto]che ricevono dati personali dall’Unione europea, al fine di permettere a tali organizzazioni di ottemperare al principio di “approdo sicuro” ed alla presunzione di “adeguatezza” che esso comporta». Per effetto di tale previsione, i principi enunciati dal safe harbour non risultavano applicabili alle autorità pubbliche statunitensi.
Su questo versante, come anticipato, il Privacy Shield ha posto rimedio alla carenza senz’altro più temuta, specialmente in ragione degli scandali che hanno tratto origine dalle operazioni di sorveglianza globale condotte da agenzie governative come la NSA, documentando la serietà del pericolo che i dati personali dei cittadini europei potessero subire trattamenti non conformi agli standard vigenti negli Stati membri nell’ambito delle attività condotte da autorità di natura governativa.
La nuova decisione di adeguatezza adottata il 13 luglio 2016 dalla Commissione[29] regola espressamente l’accesso e l’uso da parte delle autorità pubbliche statunitensi dei dati personali trasferiti in base al Privacy Shield, assecondando l’esigenza di colmare una delle lacune più gravi riscontrate dalla Corte di giustizia nell’impianto del safe harbour senza tuttavia compromettere il potere delle autorità statunitensi di limitare la portata dei principi laddove necessario per finalità di sicurezza nazionale, interesse pubblico e amministrazione della giustizia.
La decisione di adeguatezza, al riguardo, ha esaminato separatamente le possibili limitazioni all’accesso e all’uso di dati personali per motivi, rispettivamente, di sicurezza nazionale, da un lato, e di interesse pubblico e amministrazione della giustizia, dall’altro, nonché i meccanismi di vigilanza e di ricorso esistenti che permettono di proteggere i cittadini europei dal pericolo di ingerenze e abusi.
Sotto il primo versante, la decisione di adeguatezza si sofferma in particolare sui poteri presidenziali di indirizzo delle attività di intelligence, e segnatamente sul decreto presidenziale 12333 e sulla direttiva presidenziale nota come PPD-28, che definiscono limitazioni vincolanti per le autorità statunitensi, in particolar modo rispetto all’accesso e all’uso di dati di cittadini stranieri.
Secondo la Commissione, i principi stabiliti a questo riguardo rispettano sostanzialmente i criteri di proporzionalità e necessità, prevedendo che misure di sorveglianza possano essere applicate solo per ottenere informazioni di intelligence esterna e circoscrivendo la raccolta in blocco alle sole ipotesi in cui non sia possibile per ragioni tecniche od operative procedere a una raccolta mirata e ferma restando l’esigenza di perseguire precise finalità di sicurezza nazionale.
Un altro elemento senz’altro significativo è la presa d’atto, invero assente nella decisione della Corte di giustizia, degli avanzamenti compiuti in tema di tutela dei dati personali dall’ordinamento statunitense, fra cui rientra il divieto, contenuto nel Freedom Act del giugno 2015, di effettuare la raccolta in blocco ai sensi degli artt. 402 e 501 della FISA (quest’ultimo, corrispondente all’ex art. 215 del Patriot Act).
La decisione di adeguatezza si concentra inoltre sulle garanzie previste per l’accesso e la sicurezza , da un lato, e l’archiviazione e divulgazione, dall’altro, di dati personali di cittadini europei nell’ambito delle attività di intelligence.
In questo quadro, secondo la Commissione gli Stati Uniti si conformano ai criteri ribaditi anche dalla Corte di giustizia e, in generale, al rispetto degli artt. 7 e 8 della Carta.
Particolare enfasi viene posta dalla decisione di adeguatezza ai meccanismi di vigilanza e ai mezzi di ricorso individuale disponibili all’interessato che sia cittadino di uno Stato membro. Questi ultimi rivestono un’importanza speciale alla luce della sentenza nel caso Schrems, che aveva severamente censurato l’omessa previsione di rimedi che consentissero agli interessati di accedere ai dati personali ovvero di ottenerne la rettifica o la cancellazione, ritenendo detta lacuna in contrasto con l’art. 47 della Carta, che stabilisce il diritto a una tutela giurisdizionale effettiva. Preso atto dell’insufficienza degli strumenti contemplati dall’ordinamento, l’amministrazione statunitense ha istituito un nuovo meccanismo di mediazione volto ad assicurare che ogni reclamo individuale possa essere esaminato da un organismo indipendente per accertare eventuali difformità nel trattamento di dati personali. I reclami possono essere indirizzati all’autorità di protezione dei dati personali dello Stato membro competente e successivamente inviati al Mediatore tramite un organo centralizzato a livello europeo. Tale sistema designa, ad avviso della Commissione, garanzie adeguate ed effettive contro ogni possibile ingerenza delle autorità pubbliche nei dati personali trasferiti in base al Privacy Shield dall’Europa verso gli Stati Uniti. Per questa via, si è rovesciata o quantomeno mitigata l’impostazione che era alla base della decisione 2000/520, nella quale, di fatto, si sanciva il primato delle esigenze di sicurezza nazionale, interesse pubblico o amministrazione della giustizia sui principi del safe harbour, la cui applicazione da parte delle organizzazioni di natura commerciale statunitense risultava dunque recessiva.
Il rafforzamento dei rimedi a favore dei cittadini europei
Ancora, la fisionomia del Privacy Shield riscontra il rilievo della Corte di giustizia in ordine all’assenza di meccanismi idonei di verifica del rispetto da parte delle organizzazioni aderenti delle norme sul trattamento di dati personali non soltanto innalzando la quantità e qualità dei controlli, come si è evidenziato, da parte delle autorità competenti, ma anche soffermandosi sui rimedi e sulle vie di ricorso a disposizione dei cittadini degli Stati membri.
In particolare, gli interessati hanno facoltà di presentare un ricorso i) direttamente all’organizzazione che tratta i dati personali, ii) tramite le autorità di protezione dei dati personali competenti dei rispettivi Stati membri ovvero iii) davanti alla FTC. Inoltre, qualora tali mezzi di ricorso siano insoddisfacenti per l’interessato, e previo loro esperimento, egli ha facoltà di rivolgersi a un collegio arbitrale istituito ai sensi del Privacy Shield.
Nel caso in cui l’interessato intenda sottoporre un reclamo direttamente nei confronti dell’impresa aderente al Privacy Shield, quest’ultima è tenuta a predisporre un meccanismo di ricorso effettivo per la sua trattazione , indicando un referente incaricato della gestione dei reclami. L’organizzazione ha a disposizione un termine di quarantacinque giorni per riscontrare il reclamo dell’interessato (anche quando sia stato presentato tramite il Dipartimento del Commercio da un’autorità di protezione nazionale), esaminandone il merito e proponendo, se del caso, una soluzione.
In secondo luogo, l’interessato può indirizzare un reclamo non direttamente all’organizzazione bensì per il tramite di un organo indipendente di composizione delle controversie incaricato dall’impresa. Tale organo ha il potere di imporre sanzioni e misure correttive alle organizzazioni che aderiscono al Privacy Shield, che devono ottemperarvi; diversamente, l’organismo di risoluzione invia una segnalazione al Dipartimento del Commercio e alla FTC per l’avvio delle relative procedure sanzionatorie.
Di particolare pregio è l’innovazione che attribuisce agli interessati facoltà di introdurre un reclamo attraverso le autorità di protezione dei dati personali nazionali, che possono esigere dalle imprese aderenti al Privacy Shield che si conformino a un parere, adottando all’uopo misure correttive o compensative. Anche questo canale di reclamo presenta caratteristiche di celerità, in quanto il comitato che raduna le autorità europee, competente a pronunciarsi, deve rendere il proprio parere entro sessanta giorni dal ricevimento del reclamo. A sua volta, l’impresa è tenuta ad adeguarsi al parere entro venticinque giorni: diversamente, il caso è sottoposto alla FTC, che potrà adottare un’azione coercitiva ai sensi della Section 5 del FTC Act. Nei casi più gravi, inoltre, può essere investito il Dipartimento del Commercio che potrà considerare il rifiuto di osservare il parere delle autorità di protezione come una grave inosservanza che costituisce titolo per l’esclusione dell’organizzazione dal registro.
Il Dipartimento del Commercio riceve, inoltre, i reclami sull’inosservanza dei principi da parte di un’impresa da parte delle autorità nazionali di protezione dei dati.
Tutte le organizzazioni che aderiscono al Privacy Shield sono sottoposte ai poteri di indagine e di controllo della FTC, che può conoscere i casi di inosservanza che le vengano deferiti da un organo di risoluzione delle controversie, dal Dipartimento del Commercio o dalle autorità nazionali di protezione dei dati, valutando la sussistenza di una violazione della Section 5 del FTC Act. Può inoltre adottare un provvedimento amministrativo per ordinare il rispetto dei principi e, in caso di inottemperanza, adire l’autorità giudiziaria per l’adozione di sanzioni o delle ingiunzioni necessarie.
Solo nel caso in cui i mezzi di ricorso ora descritti non offrano una soluzione soddisfacente, l’interessato può adire il collegio arbitrale, che ha il potere di adottare un provvedimento specifico (di natura non pecuniaria) per rimediare all’accertata violazione dei principi.
L’impatto sulle imprese
Quanto agli aspetti che incidono maggiormente sulla posizione delle imprese, il Privacy Shield appare incorporare nella sua prima parte relativa ai principi – non senza riflettere, in parte, gli accenti che hanno caratterizzato la riforma della disciplina dei dati personali in Europa – il cosiddetto risk based approach, affidando maggiore discrezionalità alle imprese nella scelta delle misure tecniche e organizzative necessarie a contrastare il livello di rischio specifico connesso alle peculiarità dei trattamenti effettuati da parte delle singole imprese. A questo approccio si accompagna comunque un generale innalzamento del livello di responsabilità, anche nell’ottica di una più forte affermazione del rispetto della privacy e dei dati personali non più come mero “obbligo” e “costo” aziendale ma come vero e proprio fattore competitivo, in una strategia che anziché allentare le attenzioni delle imprese a questa dimensione mira a responsabilizzare gli operatori nel valutare le prospettive di rischio e le misure tecniche e organizzative necessarie a contrastarle. Appare peraltro trasparire da diversi elementi, talvolta meramente terminologici, il tentativo di esportare alcuni dei capisaldi del modello di disciplina europea, pur senza provocare un allineamento e un’uniformazione in tema: l’elaborazione di un patrimonio di categorie comuni, nondimeno, può agevolare la valutazione circa la compliance da parte delle organizzazioni statunitensi ai principi generali e un generale ravvicinamento delle legislazioni o quantomeno delle practice del settore.
Proprio in conformità con una prospettiva che individua nella compliance in materia di tutela dei dati personali un fattore reputazionale, il Privacy Shield interviene su uno dei nodi al centro della sentenza della Corte di giustizia, ossia l’idoneità di un sistema di autocertificazione a documentare l’esistenza di un livello di protezione adeguato e, di fatto, equivalente a quello europeo.
A tale proposito, la Corte di giustizia, censurando indirettamente le previsioni contenute nel safe harbour, aveva evidenziato come la definizione di un sistema di autocertificazione non fosse di per sé contrario all’art. 25, par. 6, della direttiva. Tuttavia, affinché tale sistema si confermi affidabile, secondo la Corte di giustizia, è necessaria la predisposizione di meccanismi efficaci di accertamento e controllo che consentano di rilevare e sanzionare eventuali violazioni delle norme a tutela della privacy e dei dati personali. La Corte di giustizia aveva dunque constatato la sostanziale ineffettività del meccanismo di autocertificazione, ove non accompagnato dall’esistenza di idonei meccanismi di verifica della compliance.
Il Privacy Shield, su questo versante, registra importanti innovazioni volte a rendere più stringenti gli obblighi per le imprese e maggiormente rigorosi i relativi strumenti di controllo. In particolare, l’autocertificazione che le organizzazioni effettuano dichiarando presso il Dipartimento del Commercio l’adesione ai principi del Privacy Shield è soggetta ora a un rinnovo annuale. Si tratta di un elemento di grande importanza che segnala, peraltro, la recezione di una concezione dinamica della protezione dei dati già evidente nella sentenza Schrems, che osta alla validità di un accertamento puramente istantaneo della conformità allo standard di protezione europeo ma esige, al contrario, una verifica regolare di tale corrispondenza. Tale requisito non solo informa il rapporto tra il sistema dei principi racchiusi nel Privacy Shield e l’ordinamento dell’Unione europea ma impatta anche sull’adesione delle organizzazioni statunitensi ai medesimi principi, anch’essa soggetta a una verifica periodica il cui obiettivo è evitare la cristallizzazione di una valutazione di compliance che riuscirebbe puramente formale se consolidata da lunga data.
E, infatti, una delle novità di grande momento contenute nel Privacy Shield, che reagisce alle criticità emerse nella decisione della Corte di giustizia, concerne proprio il riesame periodico dell’accertamento di adeguatezza, che Stati Uniti e Unione Europea si sono impegnati a condurre su base annuale, prendendo atto delle possibili evoluzioni e delle fluttuazioni nel livello di protezione, sia a livello “endogeno” che a livello “esogeno”.
Un ulteriore elemento di progresso nell’ambito del monitoraggio sull’adesione ai principi del Privacy Shield da parte delle organizzazioni statunitensi coincide con il loro formale assoggettamento al controllo della FTC o del Dipartimento dei Trasporti.
In questi termini, il Privacy Shield impegna le organizzazioni statunitensi a una vera e propria politica della protezione dei dati personali, la cui violazione diviene formalmente sanzionabile ai sensi dell’ordinamento, in base alla Section 5 del FTC Act. Dell’adesione ai principi le organizzazioni dovranno fornire pubblicamente evidenza, divulgando all’esterno le proprie politiche e policy in materia di privacy in conformità con il Privacy Shield.
Non debbono essere trascurate anche le previsioni di contorno che si occupano, per esempio, di imporre alle imprese che abbiano cessato di conformarsi allo schema del Privacy Shield di continuare ad applicarne i principi ai dati e alle informazioni personali ricevuti nel corso della propria adesione ai principi, qualora intenda procedere alla loro conservazione. In tal senso, il Privacy Shield esige che le organizzazioni non più aderenti rinnovino formalmente su base annuale tale impegno finché la conservazione di tali dati perduri.
Sempre nell’ottica di un rafforzamento della dimensione anche reputazionale della tutela dei dati personali, il Dipartimento del Commercio provvede non soltanto a eliminare dal registro le organizzazioni non più aderenti o che abbiano commesso reiterate inosservanze dei principi del Privacy Shield, ma anche a dare opportuna evidenza alla cessata adesione, in modo da segnalare che tali organizzazioni non possono avvalersi della decisione di adeguatezza della Commissione e, dunque, dei relativi benefici, nel trasferimento di dati personali dall’Unione europea.
8. Conclusioni
A discapito della carenza di una propria visione organica, figlia anche delle vicende da cui è scaturito, il Privacy Shield ha saputo colmare lo iato venutosi a creare per effetto della pronuncia demolitoria della Corte di giustizia secondo un equilibrio che tiene in debita considerazione l’esigenza di protezione dei dati personali, riguardati come diritti fondamentali nel contesto europeo, con gli interessi dei soggetti che effettuano il trattamento transnazionale di dati e che contribuiscono al funzionamento dei servizi della società digitale.
Il contributo più importante da parte del Privacy Shield si comprende, allora, rivisitando un’impostazione che enfatizza il valore politico, ineliminabile, di questo accordo per sottolinearne gli aspetti inclini a valorizzare l’emergere di una cultura di impresa che considera la privacy un asset strategico e l’implementazione di idonee misure tecniche e organizzative come un fattore concorrenziale. Elementi, questi, che meritano apprezzamento tenendo conto del contesto in cui questo strumento è stato elaborato e dei tempi, assai ridotti, per la sua negoziazione.
Depurando di una visione eccessivamente retorica il Privacy Shield, se ne possono così cogliere alcuni innegabili pregi che, pur non abbracciando una visione prettamente economico-centrica dei diritti in gioco, traducono la consapevolezza della rilevanza crescente del ruolo delle imprese nell’economia digitale, anche nella garanzia effettiva dei diritti fondamentali degli individui.
Il Privacy Shield, quindi, può senz’altro inquadrarsi come un punto di partenza dal quale muovere per affinare, nella ricerca di un compromesso tra le due sponde dell’Oceano, lo statuto “vivente” dei dati personali.
Un primo momento di confronto e di verifica della tenuta di questo sistema coincide con l’entrata in vigore del nuovo regolamento generale sulla protezione dei dati personali, che risale allo scorso maggio 2016. Ancorché il regolamento inizierà ad applicarsi soltanto nel 2018, è indubbio che questa tappa segna un momento cruciale e traduce più direttamente le nuove istanze di tutela nella società dell’informazione. È inevitabile che all’approvazione e all’entrata in vigore di questo atto si accompagni un innalzamento del livello di tutela garantito dall’ordinamento dell’Unione europea, anche perché, laddove persisteva, nell’implementazione della direttiva, un margine di discrezionalità per gli Stati membri e per le relative autorità, subentra ora un intervento di uniformazione. Il Privacy Shield dovrà dunque formare oggetto di rivisitazione per accertare se consenta ancora di munire i dati personali dei cittadini europei di un adeguato livello di protezione. Nel configurare questo “effetto conformativo”, peraltro codificato grazie alle previsioni contenute nel Privacy Shield (che istituiscono un meccanismo annuale di riesame) e nello stesso regolamento (art. 45, parr. 4 e 5) che ne impongono un monitoraggio su base continuativa, il nuovo accordo provoca una corsa al rialzo nell’adozione di misure che consentano di mantenere l’equilibrio con il livello delle tutele previste dall’ordinamento dell’Unione europea. La Commissione potrà, sulla base di tale monitoraggio, modificare, revocare o sospendere ogni decisione sull’adeguatezza.
Questo processo implica, inevitabilmente, un sostanziale primato della disciplina vigente in Europa. Se, del resto, i meccanismi in vigore negli Stati Uniti disattendessero i principi fondanti di questa tutela, il Privacy Shield sarebbe verosimilmente destinato a una sorte analoga a quella che ha interessato la decisione sul safe harbour, con conseguenze difficilmente accettabili da parte delle imprese che effettuano trattamenti di dati personali su scala transnazionale.
Il regolamento, peraltro, rafforza alcune previsioni che concernono la disciplina dei trasferimenti di dati personali. All’art. 45, par. 2, per esempio, indica in modo più puntuale gli elementi, assai vaghi nella formulazione dell’art. 25 della direttiva 95/46/CE e utili a un’interpretazione speculativa come quella data dalla Corte di giustizia[30], sui quali si potrà fondare l’accertamento da compiersi da parte della Commissione in sede di verifica dell’adeguatezza del livello di protezione. In questo modo, la discrezionalità della Commissione ne esce fortemente ridimensionata e il regolamento offre una serie di parametri tendenzialmente tassativi da utilizzare come parametri per apprezzare la conformità o meno allo standard di tutela europeo da parte degli ordinamenti di paesi terzi.
Il regolamento mantiene ferme, invece, le deroghe al divieto di effettuare trattamenti in assenza di una decisione di adeguatezza. Collegando questo scenario al contenuto della sentenza Schrems, viene in evidenza il ruolo delle autorità nazionali di protezione, che hanno facoltà di autorizzare il trasferimento di dati personali verso paesi terzi e possono senz’altro contestare una decisione di adeguatezza. Tuttavia, onde evitare il pericolo di un’eccessiva difformità tra le determinazioni delle rispettive autorità, potrà venire in supporto il meccanismo di coerenza introdotto all’art. 63 del regolamento.
Se queste sono le prospettive reali e concrete nello scenario europeo, vi è da attendere che il rapporto tra Europa e Stati Uniti debba conoscere ancora delle scosse di assestamento che potranno verificarsi molto presto e che, tuttavia, qualora si sviluppino in modo meno traumatico rispetto a quelle più recenti, non potranno che giovare all’obiettivo di garantire un elevato livello di tutela dei dati personali. Un obiettivo, quest’ultimo, che non può più dirsi costretto entro i confini dell’Unione europea ma che si estende ormai su scala globale al trattamento di dati di cittadini europei, promuovendo un atteggiamento virtuoso da parte delle imprese; specialmente di quelle, come i fornitori di piattaforme di cloud, che fanno dell’utilizzo di dati personali un elemento non meramente accessorio e accidentale del proprio business e che, dai recenti svolgimenti a livello europeo, hanno derivato un’importante occasione per accreditarsi agli occhi dei cittadini europei come i primi veri e propri garanti della sicurezza dei loro dati.
[1] Uno studio di Accenture Strategy rivela come nel 2015 l’economia digitale rappresentasse il 22,5% del prodotto interno lordo a livello mondiale, per un importo pari a 19.159 miliardi di dollari su un totale di 85.150 miliardi di dollari. Le previsioni di crescita indicano che nel 2020 tale quota raggiungerà la soglia del 25%, pari a circa 24.615 miliardi di dollari.
[2] Soltanto a voler considerare la giurisprudenza della Corte di giustizia dell’Unione europea, si nota come l’art. 16 della Carta è stato al centro di diverse pronunce che avevano a oggetto il ruolo dei fornitori dei servizi della società dell’informazione, sempre più coinvolti entro dinamiche di bilanciamento tra i diversi diritti che sul web si fronteggiano ed evocano tutela. Si vv. le sentenze del 24 novembre 2011, Scarlet Extended, C-70/10, e del 16 febbraio 2012, SABAM, C-360/10, nelle quali era in questione la compatibilità con la Carta di un sistema di filtraggio sul contenuto delle comunicazioni elettroniche imposto a carico degli Internet service provider e a loro spese per la prevenzione della pirateria online. Sempre incentrata sul rapporto tra la libertà di impresa e la tutela della proprietà intellettuale è la sentenza del 27 marzo 2014, UPC Telekabel Wien, C-314/12. Parimenti interessante la pronuncia del 22 gennaio 2013, Sky Österreich,C-283/11 che riguardava invece la definizione dei limiti alla libertà di impresa.
[3] Il dato più immediato sullo stato della digitalizzazione in Italia documenta un’ampia copertura della banda larga. Il Rapporto I-COM 2016 su reti e servizi di nuova generazione registra come il 99,3% (contro una media europea del 97,4%) delle abitazioni offrissero nel 2015 copertura in banda larga, laddove la percentuale di abitazioni connesse era pari al 74% (contro la media europea dell’80%).
Le criticità, tuttavia, si appuntano sulla velocità delle connessioni a banda larga. Secondo il Rapporto I-COM 2016, nel 2014 l’1% delle connessioni offriva una velocità inferiore ai 2 Mbit per secondo, mentre la stragrande maggioranza, ossia il 73% delle connessioni, una velocità compresa tra i 2 Mbit e i 10 Mbit. Soltanto il 21% delle connessioni, invece, si attestava tra i 10 e i 30 Mbit per secondo, mentre il 5% superava la velocità di 30 Mbit per secondo.
Il rapporto Digital Economy and Society Index 2016 elaborato dalla Commissione europea – DG Connect colloca l’Italia al ventisettesimo posto nel ranking dei paesi europei del “connectivity score”: seppure vi sia un’ampia disponibilità di banda larga, la copertura di banda larga veloce non appare sufficiente.
Anche per far fronte a queste difficoltà strutturali, il Ministero per lo sviluppo economico ha adottato nel 2015 la Strategia Italiana per la banda ultralarga, definendo, tra gli altri, l’obiettivo di garantire una copertura per la connessione a 100 Mbit al secondo dell’85% della popolazione entro il 2020, con una copertura totale per la connessione a 30 Mbit al secondo alla medesima scadenza.
La Relazione per paese relativa all’Italia 2016 della Commissione europea segnala, tuttavia, ancora un forte ritardo da parte dell’Italia in materia di copertura delle reti a banda larga di nuova generazione.
Secondo i dati riportarti dalla Commissione nella Relazione del febbraio 2016, pur essendosi registrato un incremento nella percentuale di famiglie con accesso alle reti di nuova generazione dal 36% al 44% nella transizione dal 2014 al 2015, tale aumento replica una tendenza di eguale segno negli altri Stati membri e pertanto mantiene invariata la posizione negativa dell’Italia, al ventisettesimo posto. La Commissione ha segnalato, al contempo, un aumento degli abbonamenti con una velocità superiore a 30 Mbit/secondo, con una percentuale del 5,4% sul totale degli abbonamenti a banda larga nel 2015 (dal 3,81% del 2014) che consente un lieve miglioramento nella graduatoria e posizione l’Italia al venticinquesimo posto in Europa.
Nonostante gli importanti investimenti nel settore, la Commissione ha espresso incertezze riguardo alla capacità dell’Italia di rispettare gli obiettivi fissati nella Strategia.
Secondo il Ministero dello sviluppo economico, entro il 2018 il 60% della popolazione dovrebbe disporre di accesso alle reti di nuova generazione. Si tratta, nondimeno, di una soglia che, anche laddove fosse raggiunta, si colloca decisamente al di sotto della media europea registrata nel 2015, pari al 71% delle famiglie.
Allo stato, secondo il monitoraggio del Ministero dello sviluppo economico, il 35,4% della popolazione è raggiunto da connessione a 30 Mbit per secondo, mentre solo l’11% dalla connessione a 100 Mbit per secondo.
Entrambi i dati, nelle stime effettuate dal Ministero in base agli esiti della consultazione pubblica e agli interventi pubblici che si sono registrati, sono destinati a una duplicazione entro il 2018: il 71,5% della copertura a 30 Mbit per secondo e il 23,1% della copertura a 100 Mbit per secondo.
Il dato aggregato del 2020, termine previsto dall’Agenda, appare molto lontano dagli obiettivi originari: il 100% della copertura per la connessione a 30 Mbit per secondo ma soltanto il 35,4% della popolazione a 100 Mbit al secondo.
[4] Il rapporto stima in 21 miliardi di Euro il volume dell’e-commerce B2C (tra imprese e consumatori) nel 2015, pari a una quota di 3,6% del mercato europeo. L’e-commerce rappresenta invece il 12% dei consumi degli italiani, tra i vari canali utilizzati. Soltanto il 26% della popolazione di età compresa tra i 16 e i 74 anni ha fatto ricorso all’e-commerce nel 2015, contro una media europea del 53%.
[5] Le azioni chiave di tale strategie erano indicate, segnatamente, nell’eliminazione degli svantaggi dovuti alla moltitudine di norme tecniche esistenti, nel sostegno ai sistemi di certificazione a livello europeo; nell’elaborazione di clausole contrattuali sicure ed eque per i contratti relativi ai servizi condivisibili nella “nuvola”; nella creazione di un partenariato europeo per la nuvola informatica tra Stati membri e industria, così da sfruttare il potere d’acquisto del settore pubblico per condizionare il mercato del cloud e aumentare la concorrenzialità dei fornitori europei. La strategia si proponeva, inoltre, di realizzare entro il 2020 un guadagno netto pari a 2,5 milioni di nuovi posti di lavoro, corrispondenti a un incremento annuo del PIL dell’Unione europea di circa 160 miliardi di Euro, pari all’1%. Cfr. più in dettaglio Commissione europea, Sfruttare il potenziale del cloud computing in Europa, comunicazione della Commissione al Parlamento europea, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni, Bruxelles, 27 settembre 2012, COM(2012) 529 final.
[6] In dettaglio, cfr. soprattutto Astrid-Respublica, L’impatto del cloud computing sull’economia italiana, Roma, novembre 2011.
[7] Cfr. Autorità garante per la protezione dei dati personali, Relazione 2009. Discorso del Presidente Francesco Pizzetti, Roma, 30 giugno 2010, doc. web n. 1730115, in www.garanteprivacy.it, p. 25 cfr. anche Id., Relazione 2010. Evoluzione tecnologica e protezione dei dati, doc. web n. 1819554, in www.garanteprivacy.it, p. 127 e, soprattutto, Id., Cloud computing: indicazioni per l’utilizzo consapevole dei servizi, 23 giugno 2011, doc. web n. 1819933, in www.garanteprivacy.it.
[8] Fra cui, tra le prime, Autorità garante per la protezione dei dati personali, Cloud Computing – La guida del Garante della Privacy per imprese e pubblica amministrazione, 24 maggio 2012, doc. web n. 1894503, in www.garanteprivacy.it
[9] Su tutti, per spiegare il divario tra Stati Uniti e Unione europea, si v. P. M. Schwartz, The EU-U.S. Privacy Collision: A Turn to Institutions and Procedures, 126 Harv. L. Rev. 1966 (2013).
[10] Tali motivi appaiono a maggior ragione confermati, al giorno d’oggi, alla luce del radicale mutamento di approccio sotteso all’adozione del nuovo regolamento generale sulla protezione dei dati personali, che traduce in atto il risk-based approach tramite una serie di meccanismi. Tra questi, il privacy impact assessment costituisce senz’altro un indicatore di grande importanza, in quanto rimette alla discrezionalità del titolare del trattamento il compito di formulare una valutazione prognostica sul livello di rischio che le attività proprie di un’organizzazione presenta per i dati personali degli interessati e la conseguente adozione delle misure tecniche e organizzative necessarie a neutralizzare, e comunque ridurre al minimo, i rischi di data breach, ossia di violazioni di dati personali.
[11] Si v. per esempio il dibattito sull’applicazione della legge italiana a Google nel famoso caso Google Vivi Down, ricostruito in O. Pollicino-G. Camera, La legge è uguale anche sul web. Dietro le quinte del caso Google-Vivi Down, Milano, 2010, spec. 75 ss.
[12] Si tratta di una ricostruzione che ha fatto breccia, nei primi tempi, in alcune autorità nazionali, come quella italiana, per esempio. Si v. il provvedimento del 2 febbraio 2006 relativo a Google, doc. web n. 1244676, in www.garanteprivacy.it.
[13] Corte di giustizia dell’Unione europea, 13 maggio 2014, Google Spain, Google Inc. c. AEPD, Costeja González, C-131/12. Cfr. anche il parere n. 1/2008 sugli aspetti della protezione dei dati connessi ai motori di ricerca del Gruppo di lavoro Articolo 29 del 4 aprile 2008, WP 148.
[14] Cfr., tra i commentatori, G. Caggiano, L’interpretazione del criterio di collegamento del ‘contesto delle attività di stabilimento’ dei responsabili del trattamento dei dati personali, in G. Resta-V. Zeno Zencovich, (a cura di), Il diritto all’oblio su Internet dopo la sentenza Google Spain, Roma, 2015, 43 ss.; M. Leone, Lost in interpretation: la sentenza Google e la legge applicabile, 5 giugno 2014, in www.medialaws.eu.
[15] In tal senso, è utile ricordare anche quanto sostenuto dal Gruppo di lavoro Articolo 29 nel parere n. 5/2012 sul cloud computing del 1 luglio 2012, WP196, spec. 8 ss.
[16] Su tale passaggio, riflessioni già in O. Pollicino, Un digital right to privacy preso (troppo) sul serio dai giudici di Lussemburgo? Il ruolo degli artt. 7 e 8 della carta di Nizza nel reasoning di Google Spain, in G. Resta-V. Zeno Zencovich, (a cura di), Il diritto all’oblio su Internet dopo la sentenza Google Spain, Roma, 2015, spec. 25 ss.
[17] Così dispone, segnatamente, l’art. 3: “1. Il presente regolamento si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione.
2. Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano: a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.
3. Il presente regolamento si applica al trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell’Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico”.
[18] Corte di giustizia dell’Unione europea, 6 ottobre 2015, Maximillian Schrems c. Data Protection Commissioner, C-362/14.
[19] In letteratura, cfr. anche D.R. Leathers, Giving Bite to the EU-U.S. Data Privacy Safe Harbor: Model Solutions for Effective Enforcement, 41 Case W. Res. J. Int’l L. 193 (2009); D. Cole-F. Fabbrini, Bridging the Transatlantic Divide? The United States, the European Union, and the Protection of Privacy Across Borders, 14 (1) Int. J. Const. Law (2016) 220.
[20] Cfr. G. Resta, La sorveglianza elettronica di massa e il conflitto regolatorio USA/UE, in G. Resta-V. Zeno Zencovich (a cura di), La protezione transnazionale dei dati personali. Dai “safe harbour principles” al “privacy shield”, Roma, 2016, 23 ss.; cfr. anche O. Pollicino-M. Bassini, La Carta dei diritti fondamentali dell’Unione europea nel reasoning dei giudici di Lussemburgo, ivi, 73 ss.
[21] In tal senso cfr. O. Pollicino-M. Bassini, La Carta dei diritti fondamentali dell’Unione europea nel reasoning dei giudici di Lussemburgo, cit. Per cogliere l’attitudine manipolativa ora richiamata, si v. anche O. Pollicino, Interpretazione o manipolazione? La Corte di giustizia definisce un nuovo diritto alla privacy digitale, 24 novembre 2014, in www.federalismi.it.
[22] A. Mantelero I flussi di dati transfrontalieri e le scelte delle imprese tra Safe Harbour e Privacy Shield, in G. Resta-V. Zeno Zencovich (a cura di), La protezione transnazionale dei dati personali. Dai “safe harbour principles” al “privacy shield”, Roma, 2016, 244.
[23] A. Mantelero, I flussi di dati transfrontalieri e le scelte delle imprese tra Safe Harbour e Privacy Shield, cit., 245 ss.
[24] In tema, si v. J. Bracy, Model clauses in jeopardy with Irish DPA referral to CJEU, 25 maggio 2016, in www.iapp.org e Legal challenge to model clauses should prompt Privacy Shield extension, says expert, 7 ottobre 2016, in www.out-law.com.
[25] Per alcuni rilievi critici in merito, in dottrina, cfr. G.M. Riccio, Contract Clauses e Corporate Binding Rules: valide alternative al Safe Harbor Agreement?, in G. Resta-V. Zeno Zencovich (a cura di), La protezione transnazionale dei dati personali. Dai “safe harbour principles” al “privacy shield”, Roma, 2016, 224 ss.
[26] Dapprima, con la decisione 2001/497/CE del 15 giugno 2001, la Commissione ha approvato un primo schema di clausole per il trasferimento da un titolare stabilito in Unione europea a un titolare stabilito in un paese terzo. A tale primo provvedimento si è affiancato, successivamente, il sistema alternativo di clausole approvate con decisione 2004/915/CE del 27 dicembre 2004.
Parallelamente, la Commissione si è occupata anche delle clausole contrattuali per il trasferimenti di dati da un titolare stabilito nell’Unione europea a un responsabile del trattamento stabilito in un paese terzo, approvando il primo set di clausole con la decisione 2002/16/CE del 27 dicembre 2001, successivamente sostituito dalla decisione 2010/87/UE, tuttora in vigore.
[27] Su tutti, si v. il parere n. 1/2016 del Gruppo di lavoro Articolo 29 del 13 aprile 2016, WP 238. In generale, le critiche che sono state formulate riguardano la qualità del testo, talvolta impreciso o ridondante, o ancora vago; e la natura prevalentemente formale di questo negoziato, il quale espone le imprese ai costi connessi al mutamento di meccanismi di autocertificazione che sono chiamate a ottemperare
[28] Ci si riferisce, anzitutto all’Umbrella Agreement, approvato il 2 dicembre scorso dal Parlamento europeo. Si tratta di un accordo bilaterale che intende assicurare uno standard di protezione in relazione ai dati personali trasferiti per finalità di prevenzione, individuazione, indagine e perseguimento di reati tra le autorità di pubblica sicurezza europee e quelle statunitensi. In precedenza, inoltre, nel dicembre 2015, il Congresso aveva fatto luogo all’adozione del Judicial Redress Act, che riconosce ai cittadini europei la possibilità di agire in giudizio per la tutela dei propri dati personali al fine di ottenere il risarcimento dei danni derivanti da un trattamento illecito. L’adozione di questo atto integra un importante avanzamento nello status dei cittadini europei verso le autorità statunitensi, e interviene su una carenza che era stata segnalata dalla Corte di giustizia tre le più gravi dell’ordinamento statunitense.
[29] Decisione di esecuzione (UE) 2016/1250 della Commissione, del 12 luglio 2016, a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio, sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy.
[30] Proprio l’assenza di chiare indicazioni in merito ai parametri ai quali attenersi per la misurazione del livello di protezione garantito da un paese terzo ai dati personali aveva prestato il fianco alla speculazione interpretativa da parte della Corte di giustizia nel caso Schrmes. Cercando di adottare un test di verifica dell’adeguatezza del livello di protezione ispirato allo strict scrutiny di matrice statunitense, la Corte di giustizia è finita con il censurare le carenze ravvisate nella vigenza dei principi del safe harbour, ancorché, a rigore, il metro così assunto dai giudici del Lussemburgo appaia pregiudizialmente severo e tendenzialmente svincolato da indicazioni precise e vincolanti.