Anche la Svizzera dirà STOP all’uso degli analytics?

Recentemente, l’autorità garante per la protezione dei dati italiana (GPDP), in seguito ai suoi omologhi austriaci (DSB ) e francese (CNIL) ha detto stop all’uso degli Analytics ed in particolare stop al servizio di Google Analytics in quanto non conforme alle disposizioni previste dal Regolamento UE 2016/679 (GDPR) in materia di trasferimento di dati verso gli Stati Uniti, paese privo di un adeguato livello di protezione.

Tali decisioni sono la conseguenza della sentenza della Corte di Giustizia dell’Unione Europea (CGUE), Schrems II del 16 luglio 2020, che invalida il Privacy Shield (adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy).  

Conseguenze della sentenza Schrems II

A decorrere dalla data della sentenza, :

  • Abolizione della presunzione di conformità al GDPR sulla protezione dei dati per il trasferimento di dati tra aziende statunitensi e aziende europee;
  • Incertezze rispetto alle Standard Contractual Clauses (SCC) e alle Binding Corporate Rules (BCR) meccanismi previsti dall’art. 46 GDPR, quali “garanzie adeguate” per trasferimenti di dati personali verso paesi terzi in assenza di decisione di adeguatezza
In effetti, il solo utilizzo delle SCC e BCR come meccanismi di trasferimento dei dati non è più sufficiente, occorre anche eseguire (i) una valutazione dei rischi caso per caso (Transfert Impact Assesment – TIA), (ii) la verifica delle circostanze del trasferimento, ossia che  la legislazione del paese terzo destinatario consenta di rispettare gli obblighi previsti dalle clausole e, che nel caso le SCC e BCR non fossero sufficienti a garantire la protezione dei dati (iii) attuare delle misure supplementari di protezione.  

In particolare, il garante italiano ha evidenziato la possibilità per le autorità governative e le agenzie di “Intelligence” statunitensi, di accedere ai dati personali trasferiti senza le dovute garanzie.

Ed in Svizzera? Quali sono le conseguenze della sentenza?

Non essendo un membro dell’UE, la sentenza Schrems II non è giuridicamente vincolante per la Svizzera.

Tuttavia, le disposizioni dell’art. 3.2 GDPR prevedono l’applicabilità della norma europea e di conseguenza della sua giurisprudenza ad aziende non stabilite in UE per trattamenti di dati personali di persone interessate UE (Data Subject), quando le attività di trattamento riguardano:
  1. L’offerta di beni o prestazioni di servizi nell’Unione indipendentemente dal fatto che vi sia pagamento
  2. Il monitoraggio del comportamento dell’utente effettuato all’interno dell’Unione.
Di conseguenza anche le aziende svizzere devono, all’occorrenza, aspettarsi di vedersi imporre da parte dalle autorità e tribunali UE il rispetto della normativa europea in materia di protezione dei dati.

Alla luce di ciò, l’Incaricato Federale della Protezione dei dati e della Trasparenza (IFPDT) ha dovuto riesaminare il regime dello scudo per la privacy svizzero (PS CH). Nel suo Parere dell’8 settembre 2020, l’IFPDT è giunto alla conclusione che gli Stati Uniti non garantiscono un livello di protezione dei dati adeguato ai sensi dell’art. 6 cpv 1 della legge Federale sulla Protezione dei Dati (LPD) e pertanto invalida il PS CH.

In assenza del regime di scudo per la privacy, cosi come per il regime UE, il trasferimento dei dati verso un paese non “adeguato” (ossia non incluso nell’elenco degli stati allestito dall’IFPDT) è lecito se effettuato sulla base dell’art. 6 cpv 2 lett. a., ossia una trasmissione di dati che si fonda su garanzie contrattuali, quali ad esempio le SCC.

Tuttavia anche la Svizzera considera che le SCC non costituiscono uno “standard” che permette ipso facto il trasferimento di dati personali verso paesi non adeguati.

Un trasferimento di dati basato sulle SCC richiede :

  • una valutazione dei rischi; assicurarsi che il destinatario dei dati è effettivamente autorizzato ed in grado di garantire una protezione dei dati ai sensi della normativa svizzera di protezione dei dati; se così non fosse, valutare delle misure tecniche che impediscono l’ingerenza delle autorità del paese destinatario sui dati trasferiti 1;
  • l’obbligo d’informare l’IFPDT in caso di comunicazioni transfrontaliere (obbligo che decadrà con la nuova Legge Federale sulla protezione dei dati (nLPD)).

Considerando l’equiparabilità dei regimi CH e UE per quanto riguarda il concetto di liceità di un trasferimento di dati personali verso paesi non “adeguati”, possiamo considerare che anche l’autorità garante svizzera potrebbe pronunciarsi per un blocco dell’utilizzo degli analytics?

Così sembrerebbe alla luce della recente presa di posizione dell’IFPDT del 13 maggio 2022, pubblicata il 13 giugno 2022 in riposta alla SUVA sul suo imminente progetto di esternalizzazione dei dati personali in centri informatici Cloud sul territorio elvetico.

Questa presa di posizione suona come un “avvertimento” per le amministrazioni ed i privati che trattano dati personali, in particolare considerando che la sola possibilità di accesso da parte delle autorità statunitensi viene considerato dall’ IFPDT come una comunicazione transfrontaliera e di conseguenza tutte le disposizioni volte a garantire un livello adeguato di protezione dei dati devono essere prese e rispettate conformemente alle disposizioni legislative.

Nella fattispecie, SUVA, sebbene non avesse alcun obbligo formale, ha consultato l’IFPDT in merito al suo progetto di esternalizzazione di alcuni dei suoi dati in un Cloud (servizi cloud M365 ed in particolare servizi Outlook and Teams) gestito dalla società statunitense Microsoft in territorio elvetico.
Nella sua valutazione dei rischi la SUVA ha indentificato un rischio minimo di accesso ai dati da parte delle autorità statunitense ai sensi del US CLOUD ACT2.

Nella sua presa di posizione l’IFPDT ritiene che la sola possibilità di accesso da parte delle autorità statunitense è da considerarsi come una comunicazione transfrontaliere a destinazione degli Stati Uniti indipendentemente dal fatto che i dati siano stoccati/ospitati nel Cloud sul territorio elvetico. Pertanto, considerando l’invalidazione del PS CH sopra menzionato, vanno applicate le disposizioni dell’art. 6 cpv 2 lett. a LPD.
L’IFPDT ritiene che la liceità di una comunicazione transfrontaliera non va fondata su un’analisi del rischio come è stato fatto dalla SUVA, anche se questa ultima rappresentata uno strumento utile e necessario alla valutazione dei rischi per la personalità e i diritti fondamentali delle persone interessate. La liceità viene definita dalle disposizioni previste dalla legge sulla protezione dei dati (rinvio dell’IFPDT alla sua guida per l’esame della liceità delle comunicazioni transfrontaliere pubblicata in giugno 2021).

In questa presa di posizione, l’IFPDT dimostra un gran scettiscismo nei confronti di una valutazione di liceità fondata sul rischio in quanto non ha nessuna base legale e invita SUVA a rivalutare il suo progetto riservandosi la possibilità di intervenire in futuro.

Questa presa di posizione diverge completamente dall’opinione dell’Incaricato Cantonale zurighese alla protezione dei dati che lo scorzo marzo ha approvato l’utilizzo dei servizi cloud Microsoft 365 (approvazione pubblicata il 14.4. 2022) al cantone di Zurigo. Il cantone zurighese, per dare il via all’autorizzazione dell’utilizzo dei servizi cloud Microsoft 365, aveva utilizzato il metodo di calcolo dell’avv. Rosenthal3.

È su base di questa metodologia di valutazione del rischio e della relativa approvazione dall’Incaricato cantonale zurighese alla protezione dei dati che SUVA ha fatto le sue valutazioni e presento il suo progetto all’IFPDT.

Perché questa divergenza di opinione?

Le recenti decisioni dei suoi omologhi europei riguardanti l’utilizzo degli analytics e la volontà di assicurarsi la decisione di adeguatezza da parte dell’UE per garantire una comunicazione transfrontaliera di dati senza ostacoli, potrebbero essere alla base delle divergenze di opinione tra le autorità di protezione dei dati Svizzere (cantonale e federale).

Ad oggi l’impatto di queste recenti decisioni / prese di posizione delle autorità garanti della protezione dei dati personali, sia europee che svizzera, nei confronti di leader di mercato come lo sono Google e Microsoft, è considerevole su tutti i titolari del trattamento (amministrazione e privati).
I titolari dei trattamenti non hanno più via di “scampo”, l’utilizzo di qualsiasi strumento che di per sé conduce a una comunicazione transfrontaliera verso un paese non adeguato deve essere fatta a norma GDPR o LPD. Dal punto di vista Europeo, la violazione avrebbe risvolti sanzionatori considerevoli (art. 83 cpv 5 lett.c). Dal punto di vista svizzero, nell’ambito della LPD vigente, l’IFPDT non ha alcun potere decisionale, può solo emanare delle raccomandazioni e adire il Tribunale amministrativo federale in caso di mancata ottemperanza alle sue raccomandazioni. Con la nuova legge sulla protezione dei dati (nLPD), i poteri  dell’IFPDT verranno estesi e potrà prendere delle decisioni vincolanti con risvolti sanzionatori in caso di inadempienza, tuttavia il perseguimento e il giudizio dei reati sono di competenza dei cantoni (art.65 nLPD) .
La speranza per gli attori economici è che a breve intervenga un accordo giuridicamente vincolante tra Europa e Stati Uniti. A tale riguardo va segnalato che nella sua presa di posizione l’IFPDT menziona che in data del 25 marzo 2022 sono stati avviati i negoziati tra la Commissione Europea e gli Stati Uniti per la definizione di un nuovo accordo prendendo in considerazione le preoccupazioni espresse dalla CGUE nella sentenza Schrems II. Una volta definito l’accordo sarà il turno della Svizzera di avviare i negoziati con gli Stati Uniti. Nel frattempo si vedrà se la decisione dell’IFPDT sarà realmente applicata.

Fidinam & Partners

Questo articolo è a cura di Isabel Costa, Manager Privacy di Fidinam & Partners

Per restare aggiornati sulle tutte le news, compilate il form in basso.

Per rivolgerci domande specifiche sulla tematica in oggetto, cliccare qui.

 

 


  1. Parere sulla trasmissione di dati personali negli Stati Uniti e in altri Stati che non garantiscono un livello di protezione adeguato conformemente all’art. 6 cpv 1 LPD pubblicato l’8.9.2020 (Punto 4.1 Indicazioni pratiche per le imprese svizzere).
  2. Legge federale americana che impone ai fornitori di servizi cloud statunitensi di trasmettere, nell’ambito di procedure in relazione con reati gravi, i dati che ospitano (anche all’estero) se le autorità statunitense lo richiedono.
  3. l metodo di calcolo sviluppato dall’Avv. David Rosenthal permette di determinare in modo strutturato la probabilità di successo dell’accesso legale da parte di un’autorità straniere. Form pubblicato e approvato dall’International Association of Privacy Professionals (IAPP).
 

Non perderti gli aggiornamenti: iscriviti alla newsletter!