Il Tribunale dell’Unione europea, con sentenza del 3 settembre, ha respinto il ricorso del deputato francese Philippe Latombe diretto ad annullare il nuovo quadro normativo per il trasferimento dei dati personali tra la UE e gli USA. Non si sono fatte attendere le prime reazioni alla sentenza. Il team legale di Latombe ha scelto un ricorso piuttosto mirato e ristretto contro l'accordo sui dati UE-USA. Sembra che, nel complesso, il Tribunale non sia stato convinto dalle argomentazioni e dai punti sollevati da Latombe. Tuttavia, ciò non significa che un'altra contestazione, che contenga una serie più ampia di argomenti e problemi relativi all'accordo, non possa avere successo. Latombe potrebbe anche decidere di appellare la decisione alla CGUE, che (a giudicare dalle precedenti decisioni in "Schrems I" e "Schrems II") potrebbe avere un'opinione diversa da quella del Tribunale. Max Schrems, fondatore di NOYB – European Center for Digital Rights, ha dichiarato: "Si è trattato di una sfida piuttosto ristretta. Siamo convinti che un esame più ampio della legge statunitense, in particolare dell'uso degli ordini esecutivi da parte dell'amministrazione Trump, produrrebbe un risultato diverso. Stiamo valutando le nostre opzioni per presentare tale ricorso". Sebbene la Commissione abbia guadagnato un altro anno, manca ancora la certezza del diritto per gli utenti e le imprese" Leggi l'articolo

Il prossimo caso “Schrems III” del 3 settembre 2025 potrebbe invalidare l’EU–US Data Privacy Framework (DPF), interrompendo nuovamente i trasferimenti di dati tra l’Unione Europea e gli Stati Uniti e costringendo le imprese a ricorrere a soluzioni alternative come le Clausole Contrattuali Standard e le Transfer Impact Assessments, creando un potenziale momento di panico per molte aziende. Il 3 settembre 2025 la Corte di Giustizia dell’Unione Europea (CGUE) emetterà la propria sentenza nel caso Latombe vs Commissione Europea. In gioco c’è il futuro dell’EU–US Data Privacy Framework, la decisione di adeguatezza adottata nel luglio 2023 per ripristinare una base giuridica stabile ai flussi di dati transatlantici. Se il framework dovesse essere annullato, le aziende si troverebbero nuovamente ad affrontare l’incertezza regolatoria e operativa che aveva caratterizzato la decisione Schrems II del 2020. Molti parlano già di questo scenario come di un “Schrems III”. Perché il DPF è sotto attacco nel caso Latombe vs Commissione Europea Il ricorso è stato presentato nel settembre 2023 da Philippe Latombe, deputato francese, che ha contestato direttamente la decisione di adeguatezza della Commissione ai sensi dell’articolo 263 TFUE. A differenza di Schrems I e II, che arrivarono alla CGUE tramite giudizi nazionali e rinvii pregiudiziali, questo caso prende di mira direttamente la decisione, con la possibilità di accelerare il controllo giudiziario. Secondo Latombe, il DPF non garantirebbe una protezione “sostanzialmente equivalente” per i cittadini europei, come richiesto dall’articolo 45 GDPR e dalla Carta dei diritti fondamentali dell’UE. Quali sono i principali argomenti del ricorso e quali i possibili scenari? Leggi l'articolo

Come ormai sappiamo, WhatsApp ha dato un ultimatum a tutti i suoi utenti: chi non ha accettato la nuova policy entro il 15 maggio non potrà più usare WhatsApp. L'azienda di proprietà di Facebook, con sede Europea in Irlanda, ci aveva già provato a febbraio 2021 sollevando feroci critiche che l'avevano indotta a rimandare la scadenza per avere il tempo di spiegare meglio agli utenti i cambiamenti introdotti nella policy. PRIVACY, RIASSUNTO DELLE PUNTATE PRECEDENTI. Perdonate il riassunto, ma altrimenti è impossibile capire la situazione già ingarbugliata di suo. Alla fine di aprile del 2016 l'Unione Europea ha adottato un regolamento per la protezione dei dati (GDPR - General Data Protection Regulation), il testo entra in vigore a partire dal maggio 2018. Da wikipedia: "Con questo regolamento, la Commissione europea si propone come obiettivo quello di rafforzare la protezione dei dati personali di cittadini dell'Unione europea (UE) e dei residenti nell'UE, sia all'interno che all'esterno dei confini dell'UE, restituendo ai cittadini il controllo dei propri dati personali, semplificando il contesto normativo che riguarda gli affari internazionali, unificando e rendendo omogenea la normativa privacy dentro l'UE." [1] Tra le altre figure il regolamento istituisce anche quella del "Titolare del trattamento dei dati", che incaricherà il responsabile della protezione dei dati di prendere tutti gli accorgimenti necessari. Ora attenzione, perché quanto scritto sotto, si rivelerà importante ai fini del mio ragionamento. Il titolare del trattamento dei dati deve prendere tutte le precauzioni possibili affinché sia impedita una violazione, perdita, furto di dati personali del cui trattamento è titolare. Per esempio: un incendio distrugge un data center; i dati personali memorizzati nel data center stesso non sono recuperabili; il responsabile del trattamento dei dati non ha predisposto un backup; il titolare del trattamento dei dati è responsabile legalmente del danno causato dalla perdita di dati. Ancora da Wikipedia: "Il testo affronta anche il tema dell'esportazione di dati personali al di fuori dell'UE e obbliga tutti i titolari del trattamento dei dati (anche con sede legale fuori dall'UE) che trattano dati di residenti nell'UE ad osservare e adempiere agli obblighi previsti." La questione del trasferimento dei dati all'estero è rilevante. Il garante della privacy in proposito afferma che "il trasferimento verso Paesi non appartenenti alle Spazio Economico Europeo sono consentiti a condizione che l’adeguatezza del Paese terzo o dell’organizzazione sia riconosciuta tramite decisione della Commissione europea".[2] In assenza di tale decisione possono costituire garanzie adeguate al trasferimento dei dati all'estero, previa autorizzazione del garante, le clausole contrattuali ad hoc (art. 46, par. 3, lett. a). [2] Sappiamo che la sentenza Schrems II della Corte di Giustiza Europea ha invalidato l'accordo tra UE e USA relativamente alla protezione dei dati personali detto "Privacy Shields", affermando che l'ordinamento giuridico sulla protezione dei dati degli USA non garantisce la stessa protezione dell'ordinamento UE. In sostanza per trasferire dati personali dall'Europa agli USA in maniera legale si deve fare leva su uno dei metodi menzionati dal garante della privacy [2]. TORNIAMO A WHATSAPP. Nella nuova privacy policy, quella che WhatsApp chiede di accettare pena la sospensione del servizio, nel paragrafo "Operazioni a livello globale", è scritto a chiare lettere che "Le informazioni controllate da WhatsApp potrebbero essere trasferite o trasmesse o archiviate e trattate negli Stati Uniti" [3] e che per farlo utilizza le clausole contrattuali standard approvate dalla Commissione Europea [4]. Inoltre è scritto anche: “WhatsApp condivide informazioni a livello globale, sia internamente con le aziende di Facebook, che esternamente con i nostri partner e con le persone con cui l'utente comunica in tutto il mondo, nel rispetto della presente Informativa sulla privacy e dei nostri Termini.“ Che vuol dire? Innanzi tutto vuol dire che l'accettazione delle nuove clausole da parte dell'utente aggira il divieto di trasferimento dei dati negli USA. Oltre a ciò, l’accettazione di questo paragrafo da parte dell’utente consente a Facebook, proprietaria di WhatsApp, di acquisire i dati degli utenti dell’App di messaggistica e incrociarli (quando non unificarli) con quelli degli utenti di Facebook per rendere i profili degli utenti sempre più precisi e sempre più remunerativi. In ogni caso, WhatsApp dovrebbe attivamente garantire, secondo il GDPR, tutte le protezioni dei dati personali dei propri utenti adeguandosi alla giurisdizione UE. A prescindere dalla possibilità e volontà di farlo, tutto ciò funziona fintantoché il titolare del trattamento dei dati personali è WhatsApp. Ma può capitare che il titolare non sia Facebook. Non sono un legale, ma leggendo vari articoli ho capito che per esempio il titolare del trattamento dei dati di un gruppo WhatsApp è l'amministratore del gruppo e/o l'amministratore del condominio. [5] La stessa cosa si può dire per il medico di base che invia una ricetta tramite WhatsApp al suo paziente. In sostanza va tutto bene, a norma di legge, finché il titolare del trattamento dei dati è WhatsApp ltd. In caso sia un soggetto diverso la responsabilità legale di una eventuale violazione, furto, distruzione, etc., dei dati personali sarebbe del soggetto in questione: il medico di base e l'amministratore del gruppo di condominio, come negli esempi descritti sopra. Il Titolare (es.: il medico) avrebbe dovuto far accettare ai partecipanti alla comunicazione tramite WhatsApp (es.: il paziente) una privacy policy che preveda l'esportazione dei dati verso gli USA. Una circostanza che nella vita reale non accade praticamente mai. IN CONCLUSIONE E quindi? In definitiva si tratta di disquisizioni di lana caprina. Il nocciolo della questione sta tutto nella sostanza del problema, che, al di la degli aspetti giuridici, è nella adeguatezza o meno di chiunque nel proteggere i dati personali degli utenti. E sulla sostanza la Corte di Giustiza Europea si è espressa con la sentenza Schrems II che invalida il precedente accordo con gli USA (il Privacy Shield). La giurisdizione degli USA non garantisce un livello di protezione dei dati personali conforme alla giurisdizione Europea. Praticamente non c'è da fidarsi di come gli americani proteggono i nostri dati. E se non c'è da fidarsi... Ci sarebbe da domandarsi anche se i nostri dati sono realmente al sicuro nei data center Europei o Italiani. Soprattutto ci sarebbe da domandarsi, più in generale, cosa vuol dire oggi, al tempo del "cloud", fidarsi di come i nostri fornitori di App proteggono i nostri dati che raccolgono mediante le medesime App. Ma questo è un altro discorso. Sempre seguendo il filo del ragionamento, andando oltre il tema WhatsApp e messaggistica digitale, c'è da chiedersi se davvero abbiamo bisogno di raccogliere tutti questi dati. Alcune domande le ho poste in questo articolo Note: [1] https://it.wikipedia.org/wiki/Regolamento_generale_sulla_protezione_dei_dati [2] https://www.garanteprivacy.it/temi/trasferimento-dati-estero [3] https://www.whatsapp.com/legal/updates/privacy-policy-eea [4] https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en [5] https://www.altalex.com/documents/news/2021/04/12/condominio-e-gruppi-whatsapp-quali-implicazioni-per-privacy#p2