Schrems II: Agents of (privacy) Shield

Questa storia sembra un film…

Ne parlano da tre settimane come se fosse un incrocio tra la fine del mondo e una favola per gente che non ha niente da fare tranne che scrivere articoli e commenti.  Ne parlano e non so neanche se l’abbiano letta, la maledetta sentenza della Corte di Giustizia Europea (al secolo Schrems II), visto che, in tutta onestà, l’ho riletta tre volte, e ho dovuto rileggere diverse volte sia il comunicato stampa, sia le FAQ del EDPB, sia la traduzione in italiano delle FAQ per capire cosa diavolo ci sia scritto dentro.

Non sono un giurista, lo so, però io la penso come Einstein: “Se non sai spiegarlo a tua nonna, non l’hai capito veramente”. Se non ho capito quello che c’è scritto, è perché non è scritto bene (almeno nelle sintesi e nelle FAQ, luminari…, sforzatevi di spiegarcelo come se avessimo tre anni o fossimo la nonna!).

Beh, ho letto, riletto, letto, riletto. Anziché commentare sterilmente, mi sono spulciata Terms&Conditions, misure di sicurezza, DPA e comunicati dei grandi provider (e ne ho trovate di cose divertenti!). Ho verificato tutto quello che serviva ai miei clienti (ed anche ai colleghi se han bisogno di una mano). Oggi mi sembra di aver capito un po’ di più di questa storia che, diciamocelo, sembra un film sceneggiato a cavallo tra un fumetto della Marvel, “Tutti gli uomini del Presidente” ed un documentario sull’autarchia italiana o il protezionismo tedesco dello scorso secolo.

***Agents of (Privacy) Shield: trailer***

La storia la saprete tutti, ma a me diverte moltissimo e ve la racconto in tre righe: il nostro film comincia con un attivista austriaco oggi trentaduenne, al secolo Maximilian Schrems, che ha denunciato Facebook (Ireland) per illegittimità del trasferimento dei suoi dati personali a Facebook Inc, negli Stati Uniti. Il brillante giovane tanto ha detto e tanto ha fatto, dal 2013 ad oggi, sicuramente supportato anche dalle rivelazioni di Snowden sul comportamento discutibile del NSA, da far invalidare prima Safe Harbour e poi il Privacy Shield.

Praticamente Davide e Golia in versione terzo millennio.

Per chi non lo sapesse, (semplifico, neh?), prima Safe Harbour e, fino al 16 luglio 2020, Privacy Shield erano gli accordi tra gli Stati Uniti e l’Unione Europea su cui si basava la decisione di adeguatezza della Commissione Europea per il trasferimento dei dati in US. Chi aderiva al Privacy Shield poteva lavorare con i titolari o responsabili del trattamento residenti nella UE (e farsi i fatti nostri).

Schrems li ha fatti demolire tutti e due, gli scudi, mica come quello di Achille.

Aldilà di questa, che è una divertente storia di difesa dei diritti di fronte agli abusi dei colossi di qualsivoglia natura (da Facebook alle agenzie federali statunitensi), quello che è stupefacente di questo film è che le ragioni sono sensate!

Ci sono due disposizioni che fanno parte dell’ordinamento statunitense che non garantiscono il livello di protezione delle informazioni di cui invece le persone godono in Europa. E badate bene: tutte le persone, non solo i cittadini. Parliamo di diritti dell’uomo, noi.

Il concetto risiede nel fatto che nei nostri ordinamenti europei lo Stato non può ingerire nella vita privata delle persone e se lo fa lo fa secondo certe regole, tra cui la trasparenza. Negli Stati Uniti invece agenzie come NSA possono, in qualunque momento ed in maniera occulta, accedere a tutte le informazioni che vogliono all’interno dei servizi di comunicazione elettronica, sotto l’egida delle ragioni di sicurezza nazionale. 

Provo a spiegarmi meglio, e qui parte la parte di film da flashback socio-storico con colonna sonora di “Ordinary Love” degli U2. 

***Flashback***

Cosa dice la Carta dei Diritti Fondamentali sottoscritta dalla Unione Europea? 

Io la trovo bellissima e dice in effetti un sacco di cose. Quelle che ci interessano adesso sono al Capo II, che è quello della Libertà. Secondo l‘Unione Europea ogni uomo ha diritto, in particolare, al rispetto della vita privata e della vita familiare oltre che alla protezione dei dati personali: “Ogni individuo ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle sue comunicazioni.”

***Momento di silenzio e riflessione***

Cosa dicono, invece, le due normative statunitensi cui si riferisce la Corte di Giustizia Europea che hanno mandato in fallimento lo Scudo più famoso e milionario del mondo (ovviamente dopo lo Shield della Marvel)?

Qui, per proseguire, la colonna sonora plana su un sacro “The Veil” di Peter Gabriel.

Chiamiamo all’appello nientemeno che il FISA (Foreign Intelligence Surveillance Act), emanato in prima edizione a valle di Watergate, che detta le procedure per la sorveglianza fisica ed elettronica e per la raccolta delle informazioni di intelligence straniera (tra cui primeggiano, ovviamente, le intercettazioni telefoniche con i Pen Register).

La Sezione 702 del FISA consente al procuratore generale e al direttore dell’intelligence nazionale di autorizzare congiuntamente il “targeting” di persone (non statunitensi) ragionevolmente situate al di fuori degli Stati Uniti (noi europei ci siamo alla grande). Una volta autorizzate, le acquisizioni di tutte le informazioni che riguardino tali persone possono durare per periodi fino a un anno. La sezione 702 autorizza i programmi di sorveglianza straniera da parte della National Security Agency (NSA) e si applica a ogni “fornitore di servizi di comunicazione elettronica”. Argh.

Infierendo sulle violazioni della libertà personale, chiamiamo all’appello anche l’Executive Order 12333, emanato nientemeno che da Reagan nel 1981, che mirava in origine ad estendere i poteri e le responsabilità delle agenzie di intelligence statunitensi e, in poche parole, autorizza l’espansione delle attività di raccolta dei dati ed è stato utilizzato dal NSA come fondamento normativo per la raccolta di informazioni non crittografate nei data center dei giganti delle comunicazioni (grazie Snowden per avercelo detto). Scrivono infatti, i Garanti Europei, che l’atto consente e disciplina la sorveglianza elettronica, definita come acquisizione di una comunicazione non pubblica (leggi: privata), con mezzi elettronici, e senza il consenso (aggiungerei, la consapevolezza) della persona “intercettata”.

Mi pare allora chiaro, sulle note di “Far and Away” di Enya, che il punto espresso dalla Corte di Giustizia Europea è: se i dati che appartengono a persone che si trovano nel territorio della Unione finiscono in un server negli Stati Uniti (e non sono adeguatamente protetti), il NSA e gli altri possono liberamente accedervi qualora ne sussistano le ragioni di sicurezza nazionale identificate dai preposti in US, e questo non consente di rispettare il nostro diritto fondamentale numero 7, perché chi viene intercettato viene privato del suo diritto alla riservatezza delle comunicazioni.

***Altro momento di silenzio e riflessione***

Bella frittata. E quindi? 

Quindi siccome il Privacy Shield non protegge gli europei (e gli altri che sono qui con noi) da questo aspetto: stop al Privacy Shield. Invalido. Da subito.

Quindi, chi oggi trasferisce i dati negli Stati Uniti con la garanzia del Privacy Shield sta violando l’articolo 44 del GDPR (e la sanzione qui è quella grossa), tralasciando gli aspetti penali comunque evidenziati nei resti trascurati del Codice italiano.

La sentenza dice invece che le clausole contrattuali standard (SCC) di per sé sono conformi. 

Ma perché? 

***Momento di suspence con colonna sonora a la Hitchcock***

In teoria si capisce, nella pratica è un delirio.

La validità delle SCC è fondata sul fatto che le stesse non sono vincolanti per le autorità del paese terzo verso il quale i dati possono essere trasferiti, avendo esse natura contrattuale (a differenza del Privacy Shield). 

***Secondo momento di suspence, stavolta silenzio***

Ho trovato la soluzione! E’ tutto un problema di accountability! 

Che vuol dire, al secolo, che sono tutti c*** nostri.

Il problema è rimesso nelle mani dei due soggetti che stipulano il contratto, perché nelle clausole si contemplano alcuni aspetti (teoricamente fondamentali):

1. I due soggetti (esportatore in UE ed importatore in US) devono verificare se il trasferimento consenta di rispettare il livello di protezione previsto dal GDPR
2. L’importatore è obbligato ad informare l’esportatore di qualsiasi impossibilità di rispettare le clausole tipo
3. L’importatore può adottare misure supplementari a quelle offerte dalle clausole per garantire il diritto di protezione
4. Il trasferimento viene interrotto qualora risulti impossibile garantire l’osservanza delle clausole.

E qui sta il busillis: la protezione è solo teorica. Non c’è diritto alla riservatezza ed alla protezione dei dati di default (come vorrebbe una decisione di adeguatezza), ma in dipendenza dal comportamento delle parti coinvolte, perché la  Corte di Giustizia e la Commissione vogliono diritti azionabili e mezzi di ricorso effettivi.

Il commento della EDPB dice: “La possibilità o meno di trasferire dati personali sulla base di SCC dipende dall’esito della valutazione che l’esportatore dovrà compiere, tenuto conto delle circostanze del trasferimento e delle misure supplementari eventualmente messe in atto. Le misure supplementari unitamente alle SCC, alla luce di un’analisi caso per caso delle circostanze del trasferimento, dovrebbero garantire che la normativa statunitense non interferisca con l’adeguato livello di protezione garantito dalle SCC e dalle misure supplementari stesse. “

Leggiamolo alla lettera: a me sembra che ci sia scritto che una azienda statunitense dovrebbe impegnarsi a violare l’ordinamento statunitense per rispettare i diritti dei cittadini europei. Oppure a cifrare tutti i dati così il NSA non può accedere a meno che loro non concedano la chiave di decrittazione. 

E quindi, se fem? Cosa hanno fatto i colossi che non possono (né vogliono) permettersi si uscire dal mercato europeo? 

Hanno adottato le SCC nei loro DPA e pubblicato informazioni vaghe del tipo: non preoccupatevi, qualcosa faremo. Esempi pratici:

AWS: When we receive a request for content from law enforcement, we carefully examine it to authenticate accuracy and to verify that it is appropriate and complies with all applicable laws. (https://aws.amazon.com/it/blogs/security/customer-update-aws-and-the-eu-us-privacy-shield/  )

Google:  […] Google will be moving to reliance on Standard Contractual Clauses for relevant data transfers, which, as per the ruling, can continue to be a valid legal mechanism to transfer data under the GDPR. We will share more information about these updates (including timelines) as soon as possible. (https://privacy.google.com/businesses/compliance/ )

Atlassian: Atlassian respects the rules and laws of the jurisdiction in which it operates, as well as the privacy and rights of its customers. Accordingly, Atlassian provides Customer Information in response to law enforcement requests only when we reasonably believe that we are legally required to do so. To protect our customers’ rights, we carefully review requests to ensure that they comply with the law. https://www.atlassian.com/trust/privacy/guidelines-for-law-enforcement

Capite il punto? Siccome non possiamo scrivere che impediremo al governo statunitense di accedere ai dati, diciamo che monitoreremo bene le richieste e consentiremo l’accesso solo se strettamente e legalmente necessario anche tenendo in considerazione il GDPR, e, aggiungo io, avviseremo le persone. Un bel casino. 

 E badate bene che questa storia vale altrettanto per le Binding Corporate Rules (BCR) – al secolo le norme vincolanti d’impresa per la circolazione dei dati all’interno delle multinazionali.

***Fine del primo tempo, ecatombe dei DPO***

Ci sono risposte certe? No. Perché?

Perché le SCC valgono (come le BCR) – non di default – bensì come meccanismo legittimo di trasferimento verso gli Stati Uniti solo se oggettivamente sostanziate da diritti azionabili e mezzi di ricorso effettivi: il livello di protezione dei dati dipende dalla forza del fornitore, e questo fa sì che ogni ente che qui da noi decide di trasferire i dati si debba fare una domanda difficile, che non è “hanno le SCC nel DPA” ma è “sono seri?”.

Se vi viene da ridere vi capisco. A me viene da piangere pensando che tanti mi chiederanno una soluzione documentale ed io sono per la sostanza. Però, ragioniamo per ipotesi, in fondo sono una economista: vi ricordate quando Apple si è rifiutata di decriptare un iPhone? Ecco. Questo è il punto. Fare quello che serve per la sicurezza nazionale ma tutelare il diritto fondamentale delle persone (nel caso di Apple tutte le altre, non il killer). Non sto difendendo Apple, sto cercando di spiegarvi la spigolosità del tema (la storia la potete leggere qui: https://www.ilpost.it/2016/02/22/apple-fbi-iphone-san-bernardino-privacy/)

È quindi rimesso a noi (DPO?!) il compito di supportare e ai decisori nelle aziende quello di valutare se il singolo fornitore è affidabile o meno in materia, applicando la valutazione al caso di specie, e se si adopera per mediare al massimo in situazioni complesse. In questo senso, i messaggi di Amazon, di Google, di Atlassian, di Sales Force, di Microsoft sono rassicuranti, anche se vaghi.

Ma sarà la strada giusta?

***Titoli di coda, ascoltando “Imagine” di John Lennon***

Vi dirò, non lo so. Ma non credo che si possa bloccare il processo di digitalizzazione solo perché non abbiamo provider altrettanto in gamba in Europa. Nemmeno credo che tutti possano fare come AWS e costruire enormi data center super-ridondati per erogare dalla UE i servizi alla UE. Credo che li dobbiamo aiutare ad aiutarci, come avrebbe detto Jerry Maguire.

E allora, per dirla come la dice il mio collega e amico Graziano, che faremo?

1. Diventeremo tutti “fondamentalisti della privacy” e, aggiungo io, autarchici estimatori dei server di Aruba, dicendo ai nostri clienti di far rientrare subito i dati “a casa”, dopo che sono stati i colossi di cui sopra a salvare lo smart-working (ed il PIL) non meno di qualche mese fa?

• Faremo finta di ignorare l’esistenza della sentenza della Corte, proprio come i no-vax e quelli che dicono che il Covid è solo un pezzo del complotto e non esiste?

• O ci metteremo sull’allerta, leggeremo bene le misure di sicurezza e le informazioni che ci danno i provider, verificheremo la presenza e l’applicabilità delle SCC e ci rimboccheremo le maniche per capire quanti rischi ci sono a mantenere attivi questi trasferimenti che ancora non sappiamo se siano davvero conformi?

Io, ovviamente, propendo per la 3, ma lo sapete tutti che sono un po’ matta. E voi?