Poco piu' di un mese fa, Noyb ha archiviato 101 reclami contro diverse aziende con sede nell'UE/SEE perché continuano a utilizzare Google Analytics e Facebook Connect sui loro siti web - trasferendo così i dati personali a Google e Facebook negli Stati Uniti. Secondo la Sentenza della CGUE del 16 luglio 2020Tali trasferimenti di dati sono illegali perché Google e Facebook sono soggetti alle leggi di sorveglianza statunitensi e devono divulgare i dati degli utenti europei ai servizi segreti statunitensi.
Quasi nessuna reazione da parte delle aziende interessate - nonostante la minaccia di una multa di 20 milioni di euro
Mentre è politicamente chiaro che non ci sarà un nuovo "Scudo della Privacy" o "Porto Sicuro" nel prossimo futuro, molte aziende sembrano continuare a nascondere la testa sotto la sabbia
Anche molti avvocati e "esperti" ignorano le chiare affermazioni della CGUE e sostengono che tutto va bene finché si stipula una clausola contrattuale standard ("SCC") con il destinatario dei dati - un completo errore di valutazione della situazione, che può costare caro alle aziende
La CGUE ha dichiarato chiaramente che i CSC non possono essere utilizzati se il destinatario negli USA è soggetto alle leggi di sorveglianza statunitensi (come la FISA 702). Le autorità per la protezione dei dati possono infliggere multe fino a 20 milioni di euro o il 4% del fatturato annuo per una violazione delle norme GDPR sul trasferimento dei dati. Ciò si aggiunge alle possibili richieste di risarcimento danni da parte degli utenti interessati.
Le 101 denunce presentate da noyb erano quindi da intendersi come un campanello d'allarme: la sentenza della massima Corte dell'UE deve essere rispettata; sia gli esportatori di dati nell'UE che gli importatori di dati negli USA devono ispezionare i trasferimenti di dati critici e, se necessario, fermarli. Se non lo fanno volontariamente, la CGUE ha esplicitamente imposto alle autorità europee di protezione dei dati l'obbligo di vietare tali trasferimenti di dati
Questo sembra essere stato ampiamente ignorato dagli operatori del sito web contro cui noyb ha presentato i 101 reclami. Al 22.09.2020 solo due aziende e un'università hanno contattato noyb, tutte con sede nel Liechtenstein. Esse hanno potuto dimostrare di aver rimosso dai loro siti web gli elementi di codice di Google Analytics o Facebook Connect. noyb ha successivamente ritirato i reclami in questione dinanzi all'autorità per la protezione dei dati del Liechtenstein.
"Finora solo gli operatori di siti web del Liechtenstein ci hanno sorpreso positivamente. Hanno reagito in modo rapido e corretto e hanno fermato i trasferimenti di dati che violavano il GDPR. In seguito abbiamo ritirato i reclami. Purtroppo non abbiamo avuto notizie dai gestori di siti web di altri Stati membri. Quanto più a lungo queste aziende attendono, tanto più è probabile che vengano sanzionate dalle autorità per la protezione dei dati". - Marco Blocher, avvocato per la protezione dei dati presso la noyb.
Anche Google e Facebook mantengono il loro silenzio
Oltre ai gestori del sito web, i 101 reclami sono diretti anche contro gli importatori di dati Google e Facebook negli USA, che possono essere ritenuti responsabili anche per il trasferimento di dati in violazione delle norme GDPR. Finora Facebook non ha fatto alcun commento sostanziale sui 101 reclami; Google ha fornito solo parole vuote, affermando di essere "impegnata a garantire che, in base agli SCC applicabili forniti da Google, le necessarie protezioni della privacy siano mantenute a prescindere dall'ubicazione dei dati". Il gigante della Silicon Valley, tuttavia, non ha alcuna risposta su come intende evitare di essere soggetto alle leggi di sorveglianza degli Stati Uniti.
"Finora, le grandi società di dati statunitensi ripetono come un mantra che stanno valutando la situazione e garantendo la protezione dei dati degli utenti sulla base degli SCC. Queste frasi vuote non cambiano il fatto che le leggi statunitensi sulla sorveglianza danno alle autorità come la NSA il diritto di accedere a grandi quantità di dati che vengono trasferiti negli Stati Uniti. Finora non c'è altro che silenzio su questo conflitto tra i contratti con i clienti dell'UE e le leggi statunitensi". - Marco Blocher
Il Comitato europeo per la protezione dei dati ha istituito una task force sui reclami della noyb
C'è uno sviluppo positivo a livello europeo. Il Comitato europeo per la protezione dei dati ("EDPB", un organo dell'UE composto da rappresentanti delle autorità europee per la protezione dei dati) ha istituito una task force speciale per trattare i 101 reclami. Questa task force ha il compito di indagare sui fatti alla base dei reclami e di garantire una stretta collaborazione tra i membri del comitato. L'IFPD preparerà inoltre "raccomandazioni per assistere i responsabili del trattamento e gli incaricati del trattamento nel loro compito di individuare e attuare adeguate misure supplementari per garantire un'adeguata protezione nel trasferimento dei dati verso paesi terzi".
"Siamo molto lieti che l'EDPB abbia assunto un ruolo attivo in questa materia e si impegni a lavorare per un trattamento coerente dei nostri reclami. Ci auguriamo che questo coordinamento porti a un trattamento altrettanto efficace e tempestivo dei reclami in tutti i Paesi dell'UE/SEE". Finora, la nostra esperienza dimostra che alcune autorità per la protezione dei dati sono molto produttive, mentre altre sembrano desiderose di stroncare sul nascere qualsiasi procedura. Un approccio paneuropeo è quindi in ogni caso benvenuto. I 101 reclami non sono complessi nella sostanza e sono quasi identici. Se l'autorità dello Stato membro A riesce a trattare un reclamo in modo tempestivo, l'autorità dello Stato membro B non ha scuse per non farlo". - Marco Blocher
noyb continua a monitorare la situazione su ogni denuncia per assicurare che le decisioni della CGUE proteggano anche i diritti di ogni cittadino nella sua vita quotidiana.