Citando una nota canzone di Bowie: “This is not America” . Ancor più di prima, l’affermazione vale per le attività di trasferimento di dati personali svolte verso gli Stati Uniti dopo la decisione della CGUE “Schrems II”, gli spunti strategici forniti dal Garante europeo della protezione dei dati e la proposta delle nuove SCC.
Così, scoprendo che l’app IO esporta alcuni dati negli Stati Uniti, avvalendosi prima di soggetti certificati secondo il Privacy Shield e ora delle SCC, è d’obbligo domandarsi quali siano le garanzie predisposte. Dall’informativa resa (v.2.2, aggiornata al 18 novembre 2020), è possibile contattare il DPO per richiedere “copia delle misure adottate”, e così dovrebbe fare ciascun interessato che abbia interesse a conoscere quali siano le garanzie predisposte per assicurare i dichiarati “adeguati livelli di tutela”.
Chi tratta però i nostri dati negli States? In attesa di una risposta ufficiale, è già possibile individuarne almeno due: Google e Microsoft.
In che modo? È sufficiente leggere il “Parere e autorizzazione sullo schema di provvedimento del Direttore dell’Agenzia delle entrate recante Modalità di applicazione delle disposizioni in materia di tax credit vacanze – 12 giugno 2020” dell’Autorità Garante per la protezione dei dati personali per scoprire che “Nell’ambito dell’accordo di servizio tra l’Agenzia e PagoPA è emerso che l’utilizzo dell’app IO per l’erogazione del bonus da parte dell’Agenzia comporta il trasferimento di dati personali verso Paesi terzi. La società, infatti, per la gestione della Piattaforma IO, si avvale di alcuni fornitori (tra cui Microsoft e Google) che effettuano trattamenti al di fuori dell’Unione europea.”. Dunque, i soggetti destinatari sono almeno Google e Microsoft, quantomeno stando alla valutazione d’impatto svolta dall’Agenzia delle entrate.
A suo tempo, il Garante aveva indicato che per rispettare la trasparenza informativa si sarebbero dovuti indicare i Paesi terzi di destinazione e, “l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, paragrafo 1, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali garanzie o il luogo dove sono state rese disponibili.”, conformemente agli artt. 13 e 14 GDPR. Così è stato fatto, dunque.
Con il successivo “Parere su uno schema di regolamento recante le condizioni e i criteri per l’attribuzione delle misure premiali per l’utilizzo degli strumenti di pagamento elettronici, c.d. cashback – 13 ottobre 2020”, il Garante ha confermato che in occasione della verifica sulla valutazione d’impatto che sarà svolta dal Ministero dell’economia e delle finanze avrebbe riesaminato le caratteristiche dell’App IO richiamando il provvedimento di autorizzazione del 12 giugno 2020 (e dunque anche la relativa valutazione d’impatto), con particolare riferimento alle osservazioni relative “al previsto utilizzo di notifiche push, all’attivazione automatica di servizi non espressamente richiesti dall’utente, nonché al trasferimento di dati personali verso Paesi terzi, peraltro da attualizzarsi alla luce della recente sentenza della Corte di giustizia relativa al caso Schrems II (16 luglio 2020, causa C-311/18).”.
Insomma, restiamo in fiduciosa attesa di ricevere copia delle SCC adottate, sperando che la versione beta non riveli alcun bug relativo alla privacy. Certamente, si può dire che con la trasparenza si sarebbe potuto fare di meglio, precisando ad esempio gli ambiti di trattamento per cui si è reso necessario trasferire dei dati personali verso paesi terzi o i destinatari (insomma: quali dati vengono forniti a chi e per quali finalità) evitando quanto più possibile l’adozione di formule informative che rischiano di apparire un po’ generiche e perdere quelle caratteristiche di forma concisa ed intelligibile prescritte dall’art. 12 GDPR.
