Articolo a cura di Cristian Barutta e Lorenzo Baldanello
La Corte di Giustizia UE lo scorso 16 luglio ha dichiarato invalida, con la cosiddetta sentenza “Schrems II”, la Decisione 2016/1250 con
cui la Commissione UE aveva certificato l’adeguatezza della protezione dei dati personali offerta dal cosiddetto “Privacy Shield” per i trasferimenti dei dati personali dei cittadini UE verso gli USA.
Il “Privacy Schield” era stato approvato dalla Commissione UE con la Decisione 2016/1250 del 12 luglio 2016, e prevedeva obblighi più severi sul trasferimento dei dati personali dei cittadini europei verso gli USA rispetto al precedente “Safe Harbor Privacy Principles”.
L’“Harbor Privacy Principles” era stato giudicato inadeguato dalla Corte di Giustizia UE con la sentenza C-362/14 del 6 ottobre 2015, la cosiddetta sentenza “Schrems I”, invalidando la decisione 2000/520/CE con cui la Commissione UE aveva precedentemente, invece, giudicato adeguato il livello di protezione assicurato dall’allora in vigore “Safe Harbor Privacy Principles”, la cui adozione risaliva all’anno 2000.
La cosiddetta sentenza “Schrems I” nasceva da una prima denuncia presentata nel 2014 al Data Protection Commissioner irlandese dall’austriaco Maximilian Schrems contro Facebook Ireland Limeted. Il sig. Schrems, all’epoca utente del noto social network, contestava che, alla luce delle rivelazioni fatte nel 2013 da Edward Snowden riguardo le attività dei servizi segreti degli Stati Uniti (in particolare la National Security Agency (“NSA”), la legge e la prassi di quello stato verso cui erano stati trasferiti da Facebook Ireland Limeted i dati suoi e di altri cittadini europei clienti del citato provider, non offrissero una protezione sufficiente contro la sorveglianza da parte delle autorità pubbliche con riferimento ai dati trasferiti. Trasferimento che avveniva sulla base, appunto, dell’allora in vigore “Safe Harbor Privacy Principles”, ritenuto poi inadeguato dalla sentenza C-362/14 del 6 ottobre 2015 della Corte di Giustizia Europea.
La direttiva sulla protezione dei dati 95/46/CE, sotto la cui vigenza si svolgeva il primo processo incardinato dal sig. Schrems, prevedeva che il trasferimento di dati personali verso un paese terzo potesse avvenire, in linea di principio, solo se tale paese terzo avesse garantito un adeguato livello di protezione dei dati. La detta direttiva prevedeva, inoltre, che la Commissione potesse constatare se un paese terzo garantisse o meno un livello di protezione adeguato in virtù del suo diritto interno o dei suoi impegni internazionali. Infine, la direttiva prevedeva che ogni Stato membro designasse una o più autorità pubbliche responsabili del controllo dell’applicazione nel suo territorio delle disposizioni nazionali adottate sulla base della direttiva (“autorità nazionali di controllo”).
A seguito dell’entrata in vigore del Regolamento (UE) n. 679/16 (“GDPR”), che ha abrogato la Direttiva 95/46/CE e tutte le normative locali di recepimento nelle parti normate dal GDPR e per cui lo stesso non avesse previsto deroghe o precisazioni locali, era inevitabile una valutazione dell’adeguatezza del “Privacy Shield” ai nuovi principi introdotti.
Così è stato con la sentenza “Schrems II”, scaturita da un secondo ricorso del sig. Maximilian Schrems presentata al Data Protection Commissioner irlandese nei confronti di Facebook Ireland Ltd, avente sempre ad oggetto il trasferimento dei dati personali da parte di Facebook Ireland Ltd a Facebook Inc. negli Stati Uniti, in vigenza, stavolta, del “Privacy Shields”, che l’attivista austriaco riteneva anche in questo caso non tutelasse sufficientemente i diritti dei cittadini europei i cui dati venivano trasferiti negli USA dal noto social network.
La richiesta di pronuncia alla Corte di Giustizia UE veniva operata ai sensi dell’articolo 267 TFUE, dalla High Court (Alta Corte, Irlanda), con decisione del 4 maggio 2018 pervenuta in cancelleria il 9 maggio 2018, nel procedimento Data Protection Commissioner, contro Facebook Ireland Ltd, Maximillian Schrems, e che ha visto anche l’intervento di The United States of America, Electronic Privacy Information Centre, BSA Business Software Alliance Inc., Digitaleurope.
La domanda di pronuncia pregiudiziale verteva: a) sulla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché sulla libera circolazione di tali dati letti alla luce dell’articolo 4, paragrafo 2, TUE e degli articoli 7, 8 e 47 della Carta dei diritti fondamentali dell’Unione europea; b) sull’interpretazione e la validità della decisione 2010/87/UE della Commissione, del 5 febbraio 2010, relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi a norma della direttiva 95/46, come modificata dalla decisione di esecuzione (UE) 2016/2297 della Commissione, del 16 dicembre 2016; c) sull’interpretazione e la validità della decisione di esecuzione (UE) 2016/1250 della Commissione, del 12 luglio 2016, a norma della direttiva 95/46, sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy (cosiddetto Privacy Shield).
Con la sentenza Schrems II la Corte di Giustizia ha statuito che: “La decisione di esecuzione (UE) 2016/1250 della Commissione, del 12 luglio 2016, a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio, sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy, è invalida”.
A questo punto era inevitabile da parte della Corte di Giustizia anche una rivalutazione delle cosiddette “clausole contrattuali standard” (SCC) – anch’esse tirate in ballo nel ricorso del sig. Schrems – approvate dalla Commissione UE con la decisione 2010/87/UE del 5 febbraio 2010, riconosciute adeguata soluzione contrattuale per garantire la protezione dei dati personali dei cittadini UE in caso di trasferimento dei loro dati fuori dal territorio dell’Unione.
La Corte di Giustizia UE ha infatti statuito nella sentenza “Schrems II”, tra le altre cose, che: “dall’esame della decisione 2010/87/UE della Commissione, del 5 febbraio 2010, relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio, come modificata dalla decisione di esecuzione (UE) 2016/2297 della Commissione, del 16 dicembre 2016, alla luce degli articoli 7, 8 e 47 della Carta dei diritti fondamentali non è emerso alcun elemento idoneo ad inficiarne la validità”.
La Corte di Giustizia sembrava salvare in questo modo l’operato di tutti quegli operatori che già trasferivano i dati personali raccolti nel territorio UE verso gli USA sulla base del “Privacy Shield” (invalidato per effetto della sentenza Schrems II) ma anche applicando le SCC. Inoltre questa interpretazione consentiva a molti operatori degli Stati Uniti, che aderivano al Privacy Shield senza però aver adottato le SCC, di adoperarsi utilmente per formalizzare le stesse coi propri clienti al fine di regolarizzare la propria posizione.
Tuttavia, ad una lettura più attenta della sentenza, emerge una specificazione ulteriore e molto importante che potenzialmente complica non di poco il trasferimento dei dati verso i paesi extra UE.
Come infatti specificato anche dal Comitato Europeo per la protezione dei dati (EDPB) nelle FAQ pubblicate il 23/07/2020: “La possibilità o meno di trasferire dati personali sulla base di SCC dipende dall’esito della valutazione che si dovrà compiere, tenuto conto delle circostanze del trasferimento e delle misure supplementari eventualmente messe in atto. Le misure supplementari, unitamente alle SCC, alla luce di un’analisi caso per caso delle circostanze del trasferimento, dovrebbero garantire che la normativa statunitense non interferisca con l’adeguato livello di protezione garantito dalle SCC e dalle misure supplementari stesse”.
Qualora dalla valutazione emerga che non ci siano sufficienti garanzie “occorre sospendere o porre fine al trasferimento di dati personali. Tuttavia, se si intende continuare ciononostante a trasferire i dati, occorre informarne la SA competente”.
Tutto ciò significa che le SCC da sole non bastano a legittimare il trasferimento dei dati personali e che il Titolare del trattamento e l’importatore dello stato di destinazione dei dati dovrebbero fare una specifica analisi, caso per caso, e valutare l’idoneità o meno in termini di protezione equivalente offerta dalle SCC usate rispetto ai principi previsti dall’ordinamento giuridico europeo in termini di privacy.
Ed invero, con riferimento al caso specifico degli USA, nel momento in cui la Corte di Giustizia europea ha chiaramente affermato che la normativa degli Stati Uniti (Art. 702 della FISA ed EO 12333) non garantisce un livello di protezione sostanzialmente equivalente, va da sé che per gli operatori che importano dati dall’Europa in quello stato e per i Titolari che glieli trasmettono necessiti tale operazione di analisi aggiuntiva ai fini della valutazione del rispetto dei principi introdotti dal GDPR e della conseguente valutazione di legittimità del trasferimento extra UE. Questo principio vale non solo per il trasferimento negli Stati Uniti, ma per ogni trasferimento di dati personali extra UE che avvenga avvalendosi delle SCC.
Ne deriva, in termini operativi, la necessità per gli operatori di prevedere eventualmente garanzie aggiuntive rispetto alle SCC per poter essere considerati a norma con il GDPR.
Al riguardo l’EDPB ha comunicato di aver anche istituito una task force per dare indicazioni in merito e sopperire al venir meno del “”Privacy Schield”.
Una prima conseguenza concreta degli effetti della sentenza Schrems II, a conferma delle considerazioni cui sopra, proviene dal Garante Tedesco del Baden-Württemberg che ha indicato nella criptazione, nell’anonimizzazione e nella pseudomizzazione le garanzie necessarie aggiuntive a suo avviso per le SCC siglate con operatori USA.
Non può quindi revocarsi in dubbio che ci troviamo solo all’inizio di quella che sarà una sicura rivoluzione nell’ambito della protezione dei dati personali per quei soggetti a cui si applica il GDPR nel caso di trasferimento dei dati stessi al di fuori della UE.
La situazione creatasi per effetto della sentenza Schrems II influisce, evidentemente, anche sull’Ambiente di Condivisione dei Dati (AcDat), o Common Data Environment (CDE) che dir si voglia, da adottarsi ai sensi del D.M. 560/2017 per l’esecuzione di un appalto pubblico con l’approccio BIM.
Prima dell’entrata in vigore del D.M. 560/2017, il Ministero delle Infrastrutture e Trasporti, nella “Relazione di accompagnamento alla consultazione pubblica sul decreto per la modellazione elettronica” definiva l’ACDat come “un ecosistema digitale in cui i dati strutturati principalmente attraverso il modello informativo sono, qualora possibile, prodotti, raccolti e condivisi in base a criteri contrattuali, a principi giuridici sulla tutela della proprietà intellettuale e a dispositivi di protezione della sicurezza dei dati” ( www.mit.gov.it/documentazione/codice-appalti-relazione-accompagnamento-consultazione-pubblica-decreto-modellazione-elettronica ) .
Il D.M. 560/2017 all’art. 2 lett. a) definisce l’ACDat come: “un ambiente digitale di raccolta organizzata e condivisione di dati relativi ad un’opera e strutturati in informazioni relative a modelli ed elaborati digitali prevalentemente riconducibili ad essi, basato su un’infrastruttura informatica la cui condivisione è regolata da precisi sistemi di sicurezza per l’accesso, di tracciabilità e successione storica delle variazioni apportate ai contenuti informativi, di conservazione nel tempo e relativa accessibilità del patrimonio informativo contenuto, di definizione delle responsabilità nell’elaborazione dei contenuti informativi e di tutela della proprietà intellettuale”.
Va da sé che laddove si parla, nella citata definizione di ACDat, di sistemi di sicurezza per l’accesso, di tracciabilità, di conservazione del patrimonio informativo e della definizione delle responsabilità nell’elaborazione dei contenuti informativi, vengono necessariamente in gioco i dati personali di coloro ai quali sono riconducibili le dette operazioni.
Invero un’ ACDat costruita correttamente ai sensi del D.M. 560/2017, ma anche ai sensi di quanto previsto dalla norma UNI 113337, dovrà necessariamente prevedere in capo ai soggetti che vi accedono un sistema di identificazione; così pure dovrà tenere conto di quanti e quali accessi saranno stati effettuati dai vari operatori, identificandoli ai fini dell’attribuzione della responsabilità ed anche ai fini della valutazione della produttività di chi partecipa al progetto. Oltre a poter prevedere che nell’ ACDat stessa possano essere inseriti altri dati personali quali, ad esempio, quelli relativi alle anagrafiche, ai curricula, alle certificazioni, ai conti correnti per i pagamenti, etc..
Il GDPR statuisce che per “dato personale” si intende: “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, comma 1, n. 1 Regolamento 2016/679).
Ne deriva che in un’ ACDat che risponda ai requisiti richiesti dal D.M. 560/2017, sicuramente vi saranno informazioni riconducibili a dati personali.
L’ ACDat, come tutte le piattaforme informatiche moderne, potrebbe prevedere l’utilizzo anche di server cloud e alcuni di questi server potrebbero essere utilizzati per tutte le informazioni contenute nell’ambiente di condivisione dei dati o, soltanto, per alcune di esse e potrebbero essere ubicati anche fuori dal territorio UE, con la conseguenza che, in tal caso, dovranno essere adottati tutti quegli accorgimenti nell’acquisizione dei dati personali all’interno dell’ ACDat che l’intervenuta sentenza Schrems II necessariamente comporta per poter rendere legittimo il loro trattamento.
Ne discende che nel caso di ACDat che prevedano l’esportazione di dati personali verso server collocati negli USA, o in generale al di fuori della UE, i soggetti che forniscono l’ambiente di condivisione dei dati dovranno adottare con i propri fornitori extracomunitari di servizi server e/o cloud, dopo la sentenza Schrems II e nell’assenza di accordi sostitutivi da parte della UE con gli stati di destinazione dei dati che siano extracomunitari, oltre alle SCC, anche tutte quelle garanzie aggiuntive che assicurino la fattiva applicazione da parte dei destinatari extra UE del trasferimento dei dati di quei principi che caratterizzano il GDPR.
Ne consegue, altresì, che oltre a quanto sopra, tutti coloro i cui dati personali dovranno essere acquisiti a qualsiasi titolo e trattati nell’ ACDat, dovranno ricevere idonea informativa ai sensi degli artt. 13 e 14 del GDPR. Dovranno in particolare tali soggetti (interessati), tra le altre cose, anche venire correttamente informati relativamente al fatto o meno che i loro dati personali siano suscettibili di essere esportati verso uno stato extra UE ai sensi della lett. f), comma 1, dell’art. 13 e della lett. f), comma 1, dell’art. 14 del GDPR.
La richiamata lett. f) dei succitati articoli 13 e 14, il cui tenore letterale di tale lettera è identico in entrambi, recita che il Titolare del trattamento, sia che raccolga i dati presso l’interessato sia che non li raccolga presso l’interessato, in ogni caso è tenuto a fornire a quest’ultimo la seguente informazione, ovverosia che: “ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un destinatario in un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, secondo comma, il riferimento alle garanzie adeguate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili”.
Da quanto sopra, concludendo, se ne ricava, che all’esito della sentenza Schrems II la realtà nel trattamento dei dati personali che ne preveda da parte del Titolare del trattamento l’esportazione verso stati extracomunitari, è notevolmente cambiata a far data dal 16 luglio u.s. e che tale cambiamento, inevitabilmente, si ripercuoterà su tutti quegli operatori (Titolari del trattamento) che esportavano i dati personali trattati al di fuori dalla UE.
Cambiamento che, per quanto detto, si ripercuoterà inevitabilmente anche su quei fornitori di ACDat che a livello europeo acquisivano all’interno delle loro piattaforme dati personali e si avvalevano anche di fornitori extracomunitari per il loro trattamento, con la conseguenza che laddove le clausole contrattuali standard (SCC) adottate non siano supportate da ulteriori accorgimenti e garanzie vi è il serio rischio di non trovarsi a norma nell’attuale contesto privacy con i principi espressi dal GDPR, con l’ulteriore conseguente necessità di doversi quanto prima adattare al mutato stato delle cose sopportandone i relativi e non previsti costi di adeguamento.
Ne deriva che tutto ciò influirà, sicuramente, anche sugli sviluppi degli appalti pubblici BIM già in corso di esecuzione laddove utilizzino ambienti di condivisione dei dati che si avvalgano di server web collocati all’esterno della UE e su cui trasferiscano i dati personali acquisiti ai fini dell’esecuzione dell’appalto stesso.
Se ne ricava che la partecipazione del BIM non si limita soltanto alla progettazione ma si estende anche ad altri campi che vi impattano in modo significativo come, appunto, la materia del trattamento dei dati personali che non può trovare una meccanica applicazione se si vuole che il sistema privacy da applicarsi all’appalto BIM risponda fattivamente ai principi della privacy by default e della privacy by design imposti dal GDPR a garanzia dei dati personali, rendendone legittimo il trattamento anche all’interno dell’ ACDat, perno ai sensi del D.M. 560/2017 attorno a cui deve ruotare il BIM per una corretta adozione nel nostro ordinamento.
