Il dopo Privacy Shield è uno degli scenari meno chiari con i quali le aziende devono fare i conti. Ma qual’è la situazione dei negoziati? Come conviene porsi in questa situazione? Quali sono le effettive certezze?

Tante sono le domande cui le aziende sono costrette dal vuoto legislativo a far fronte e trovare delle risposte attraverso i loro consulenti e DPO. Cerchiamo di affrontare le questioni una alla volta.

Stato dei negoziati

Intanto chi se ne occupa. Dal lato europeo una delle figure coinvolte in questo delicatissimo negoziato è proprio un italiano il dott. Bruno Gencarelli, Capo dell’Unità flussi internazionali e protezione dei dati personali della Commissione dell’UE. Il negoziato è in corso tra noi e gli Stati Uniti. Ma come tutti i negoziati non è qualcosa che in un tempo veloce possa essere portato a compimento. Intanto perché a negoziare si è in due e si possono avere delle divergenze, in seconda istanza perché l’accordo deve essere efficace e in grado di reggere all’urto di un nuovo esposto. Altrimenti si sarebbe solo perso del tempo e il vuoto legislativo proseguirebbe frustrando ancora di più le aziende europee. Infine, qui il problema non è filosofico ma strutturale, concerne due ordinamenti che si sono rivelati non compatibili su questo fronte per una quantità notevole di aspetti.

Dopo i negoziati?

Giungere alla fine del negoziato non significa avere una nuova decisione di adeguatezza ai sensi dell’articolo 45 del GDPR. Vuol dire essersi trovati in accordo su una serie di principi e a quel punto inizia il vero iter approvativo ai sensi del GDPR che poi condurrà alla tanto sospirata decisione di adeguatezza. Quindi i tempi sono ancora incerti.

Il vuoto legislativo

L’Europa sta vivendo questa vicenda con assoluta incertezza. Da un punto di vista legislativo le indicazioni della Corte sono state a dir poco perentorie, lo abbiamo più volte sottolineato nei nostri precedenti articoli, l’EDPB ha seguito (correttamente) le indicazioni di cui sopra con raccomandazioni e linee guida. Ma pare che i Garanti stiano agendo con sana prudenza nell’applicare sanzioni in questa direzione, onde evitare di frustrare in modo grave il tentativo di ripresa economica in via di accensione in tutto il territorio continentale. Aggiungerei che, ancora una volta l’autorità posta a salvaguardia dei dati personali sta agendo con saggezza. Tuttavia, laddove dovesse scontrarsi con oggettivi scostamenti da quanto richiesto da Corte ed EDPB, non potrà esimersi dal sanzionare. Diciamo che al momento non va a cercare di proposito questo genere di inadempienze.

Proprio in questa pagine abbiamo dato riscontro delle sentenze di alcuni dei Garanti europei ad esempio quello bavarese su Mailchimp, che di fatto ha reso inservibile quel software in UE.

Ma il vuoto non è solo legislativo

Le aziende hanno un problema oggettivo. Non esistono realtà alternative ai giganti americani. Quindi? Per restare in ossequio alla compliance al GDPR chiudiamo tutti? Se volessi un’alternativa a Google e Microsoft per una gestione efficace dei servizi quali quelli che loro offrono in Europa a chi potrei rivolgermi avendo lo stesso livello di servizio e sicurezza e prezzi? Facile a nessuno. Qualsiasi servizio cui dovessimo rivolgersi dovrà necessariamente essere più costoso, meno efficiente e meno sicuro.

Quindi in ossequio (di nuovo) a una sorta di autarchia del dato dobbiamo peggiorare la sua protezione? Ma non era un regolamento sulla protezione dei dati? Il Garante lo sa molto bene e sa l’imbarazzo che stanno vivendo le aziende in questa fase di sospensione. Compito delle istituzioni europee allora è anche di stimolare la costruzione della Google Europea. Ma questo richiede sforzi e mentalità non europee, c’è poco da dire.

Che senso avrebbe l’autarchia del dati?

Semplicemente sarebbe una follia, una contraddizione in termini visto che il regolamento europeo parla di protezione dei dati e libera circolazione degli stessi. Pensare di blindare i dati personali sul solo territorio europeo sarebbe andare contro al GDPR, ma sopratutto contro la realtà del mondo odierno che è un mondo che almeno digitalmente vede sempre meno i confini nazionali e mira con una decisione mai vista prima nella storia dell’umanità a una unione sostanziale.

Come agire quindi?

La parola magica torna a essere accountability. Si deve essere seri in questo approccio. Non possiamo usare una logica del ma tanto chi vuoi che controlli. Come sempre basta un singolo soggetto interessato che faccia un singolo esposto e il Garante è tenuto a intervenire. Serietà significa seguire i passi suggeriti dall’EDPB nelle Raccomandazioni di cui ampiamente abbiamo parlato.

Scomodo? Sicuramente. Oneroso per le aziende e gli enti? Sì, non possiamo dire il contrario. Utile? Certamente, accountability è anche questo approccio, sicuramente più faticoso, ma anche più redditizio in termini di consapevolezza e conoscenza della materia e del nostro modo di gestire i dati personali.

Prossimi step

Sicuramente dovremo attendere l’esito degli incontri tra USA e UE per vedere a cosa porteranno in modo da sperare in una decisione di adeguatezza in tempi ragionevoli. Nel frattempo si deve restare vigili. Ad esempio non esiste che una società americana che dichiari di usare le SCC come misura aggiuntiva di sicurezza e adeguamento al GDPR non le renda disponibili.

Io posso anche sostenere di avere pronta una nuova teoria della relatività in grado di unire tutte le teorie della fisica in un unicum, ma dirlo e non dimostrarlo capite bene che è un approccio risibile.

Jaera team

Jaera team

Jaera S.r.l. si occupa di consulenza aziendale in ottica compliance e di nomina di specifiche funzioni aziendali, di consulenza in informatica e formazione.