APP IO: scontro istituzionale. Come si risolverà?

2120 0

Con il provvedimento n. 230 del 9 giugno 2021 Il Garante per la Protezione dei dati personali in relazione a criticità di ordine generale sul funzionamento dell’App IO, ha ordinato in via d’urgenza alla società PagoPA di bloccare provvisoriamente alcuni trattamenti di dati effettuati mediante la predetta app .

Tali trattamenti prevedono l’interazione con i servizi di Google e Mixpanel, e comportano quindi un trasferimento verso Paesi terzi (es. Usa, India, Australia) di dati particolarmente delicati (es. transazioni cashback, strumenti di pagamento, bonus vacanze), effettuato senza che gli utenti ne siano stati adeguatamente informati e abbiano espresso il loro consenso.

Pago PA: il MITD smentisce l’illegittimo trasferimento di dati

La reazione della società non si è fatta attendere ed il 10 giugno con un comunicato congiunto con il Ministro per l’innovazione tecnologica e la transizione digitale ha smentito l’esistenza di un illegittimo trasferimento di dati verso paesi non europei affermando che lo stesso Garante ha dato parere favorevole a tutti i servizi esposti sull’App IO fra cui il Cashback e il Bonus Vacanze, che restano attivi per milioni di cittadini, proprio perché essa opera nel pieno rispetto del Regolamento europeo sulla protezione dei dati personali (GDPR).

La reazione di Pago PA

La stessa società PagoPA, insieme al Dipartimento per la trasformazione digitale, si è riservata di esaminare i dettagli tecnici e giuridici del provvedimento per ogni opportuna iniziativa e, con spirito collaborativo e determinato, ha anche avviato un tavolo con le strutture del Garante per portare celermente il Green Pass su App IO, nell’interesse dei milioni di cittadini italiani utilizzatori della stessa app.

App IO, un App sicura e affidabile

Nel Comunicato viene, inoltre, ribadito che l’App IO è un’applicazione sicura e affidabile nonché uno dei pilastri della strategia di trasformazione digitale dei servizi della Pubblica Amministrazione inseriti nel PNRR ed è già stata installata da oltre 11,5 milioni di cittadini. La piattaforma pagoPA, integrata sull’App IO, è il moderno sistema di pagamenti per le Pubbliche Amministrazioni e ha registrato nel solo mese di maggio oltre 12 milioni di transazioni per un controvalore economico di circa 2,5 miliardi di euro e rappresenta una best practice italiana a livello europeo.

Il Garante e la Relazione tecnica su AppIO

Al fine di fare chiarezza il giorno dopo il Garante nel ribadire tutte le motivazioni del suo provvedimento, ha ritenuto opportuno – ai fini di una piena valutazione di quanto in esso affermato e stante la complessità della materia – di rendere nota la relazione tecnica che ha accompagnato il provvedimento sull’App IO trasmesso il 9 giugno a PagoPa Spa.

Trasferimento dati verso Paesi non SEE

Si ricorda che la materia del trasferimento dei dati personali verso Paesi non appartenenti allo Spazio Economico Europeo (SEE, ossia UE + Norvegia, Liechtenstein, Islanda) o verso un’organizzazione internazionale è molto delicata in quanto sono consentiti a condizione che l’adeguatezza del Paese terzo o dell’organizzazione sia riconosciuta tramite decisione della Commissione europea (art. 45 del Regolamento UE 2016/679).

Trasferimento dati verso Paesi “non adeguati” e garanzie adeguate

In assenza di tale decisione, il trasferimento è consentito ove il titolare o il responsabile del trattamento forniscano garanzie adeguate che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati (art. 46 del Regolamento UE 2016/679).

Al riguardo, possono costituire garanzie adeguate:

  • senza autorizzazione da parte del Garante:
  1. gli strumenti giuridici vincolanti ed esecutivi tra soggetti pubblici (art. 46, par. 2, lett. a);
  2. le norme vincolanti d’impresa (art. 46, par. 2, lett. b)
  3. le clausole tipo (art. 46, par. 2, lett. c e lett. d)
  4. i codici di condotta (art. 46, par. 2, lett. e)
  5. i meccanismi di certificazione (art. 46, par. 2, lett. f)
  • previa autorizzazione del Garante:
  1. le clausole contrattuali ad hoc (art. 46, par. 3, lett. a)
  2.  gli accordi amministrativi tra autorità o organismi pubblici (art. 46, par. 3, lett. b).

In assenza di ogni altro presupposto, è possibile trasferire i dati personali in base ad alcune deroghe che si verificano in specifiche situazioni (art. 49 del Regolamento UE 2016/679).

I trasferimenti dati negli USA

Riguardo, poi, i trasferimenti di dati in USA per molto tempo è stato operativo il c.d. “Safe Harbor” (approdo sicuro) un accordo che aveva introdotto un regime che rendeva sicuro il trasferimento di dati personali negli Stati Uniti. Esso si fondava, essenzialmente, nell’impegno delle imprese americane di rispettare i principi e le regole fondamentali comunitarie in materia di protezione dei dati.

Dal Safe Harbor…

A seguito, poi, della sentenza causa C-362/14 della Corte di Giustizia dell’Unione Europea, che ha dichiarato invalido il regime introdotto in virtù dell’accordo “Approdo sicuro” (Safe Harbor), è venuto meno il presupposto di legittimità per il trasferimento negli Usa di dati personali dei cittadini europei per chi utilizzava questo strumento ed il Garante, inevitabilmente, ha dichiarato decaduta l’autorizzazione emanata a suo tempo con la quale si consentivano i trasferimenti di dati verso gli Stati Uniti sulla base del suddetto accordo.

…al Privacy Shield…

Successivamente per un certo periodo di tempo fra USA ed UE è stato in vigore l’accordo detto Privacy  Shieldche imponeva alle imprese americane obblighi più stringenti di tutela dei dati personali degli europei.

L’accordo conteneva per la prima volta dichiarazioni e impegni assunti formalmente per quanto riguarda l’accesso ai dati da parte di soggetti dell’Amministrazione americana.

Ad esempio:

  • L’accesso delle autorità pubbliche ai dati personali era soggetto a limiti, garanzie e meccanismi di controllo specifici e definiti.
  • Le Autorità USA dichiaravano l’inesistenza di attività di sorveglianza indiscriminata o massiva.
  • Le imprese potevano dichiarare il numero approssimativo di richieste di accesso ricevute.
  • Era disponibile un nuovo strumento di tutela giuridica attraverso il cosiddetto «difensore civico» (Ombudsperson) creato per il Privacy Shield: un soggetto indipendente incaricato di ricevere e decidere i reclami presentati dagli interessati.

…fino alla sentenza Schrems II

Ma il 16 luglio, come noto la Corte di Giustizia dell’Unione europea (CGUE) si è pronunciata (c.d. Sentenza Schrems II) in merito al regime di trasferimento dei dati tra l’Unione europea e gli Stati Uniti invalidando la decisione di adeguatezza del “Privacy Shield, adottata nel 2016 dalla Commissione europea in seguito alla decadenza dell’accordo “Safe Harbor”.

Nella stessa sentenza la CGUE ha inoltre ritenuta valida la decisione 2010/87 relativa alle clausole contrattuali tipo (SCC) per il trasferimento di dati personali a incaricati del trattamento stabiliti in Paesi terzi.

Le FAQ della sentenza Schrems

Il Comitato Europeo per la Protezione dei Dati (EDPB) ha predisposto delle FAQ relative alla sentenza Schrems e ai suoi effetti.

Nel suddetto documento l’EDPB ha chiarito che in generale, per i paesi terzi, la soglia fissata dalla Corte si applica anche a tutte le garanzie adeguate ai sensi dell’articolo 46 del GDPR delle quali ci si avvalga per trasferire dati dal SEE a qualsiasi paese terzo. La normativa statunitense cui fa riferimento la Corte (vale a dire l’articolo 702 della FISA e l’Executive Order (EO) 12333) si applica a qualsiasi trasferimento verso gli Stati Uniti per via elettronica che rientra nell’ambito di applicazione della suddetta normativa, indipendentemente dallo strumento utilizzato per il trasferimento.

Il chiarimento dell’EDPB

Nello specifico l’EDPB, sul presupposto dell’inidoneità della normativa statunitense nel garantire un livello di protezione sostanzialmente equivalente, ha precisato che la possibilità o meno di trasferire dati personali sulla base di SCC dipende dall’esito della valutazione che si dovrà compiere, tenuto conto delle circostanze del trasferimento e delle misure supplementari eventualmente messe in atto. Le misure supplementari unitamente alle SCC, alla luce di un’analisi caso per caso delle circostanze del trasferimento, dovrebbero garantire che la normativa statunitense non interferisca con l’adeguato livello di protezione garantito dalle SCC e dalle misure supplementari stesse. Se si è giunti alla conclusione che, tenuto conto delle circostanze del trasferimento e delle eventuali misure supplementari, non vi sarebbero adeguate garanzie, occorre sospendere o porre fine al trasferimento di dati personali. Tuttavia, se si intende continuare ciononostante a trasferire i dati, occorre informarne la SA competente.

L’applicazione alle norme vincolanti d’impresa

La valutazione della Corte si applica anche con riguardo alle norme vincolanti d’impresa (BCR), in quanto la normativa statunitense prevarrà anche sull’applicazione di quest’ultimo strumento. Anche in questo caso la possibilità di trasferire o meno dati personali sulla base delle BCR dipenderà dall’esito della valutazione, tenuto conto delle circostanze del trasferimento e delle misure supplementari eventualmente messe in atto. Le misure supplementari unitamente alle BCR, alla luce di un’analisi caso per caso delle circostanze del trasferimento, dovrebbero garantire che la normativa statunitense non interferisca con l’adeguato livello di protezione garantito dalle BCR e dalle misure supplementari stesse. In caso contrario si perverrà alle stesse conclusioni già evidenziate per le SCC.

E per gli strumenti di trasferimento diversi da SCC e BCR?

Il Comitato europeo si è inoltre riservato di valutare le conseguenze della sentenza sugli strumenti di trasferimento diversi dalle SCC e dalle BCR. Difatti, la sentenza chiarisce che il parametro per l’adeguatezza delle garanzie di cui all’art. 46 del GDPR è costituito dalla “equivalenza sostanziale”.

Inoltre, l’EDPB ha specificato che è ancora possibile trasferire dati dal SEE agli Stati Uniti sulla base delle deroghe previste dall’articolo 49 del GDPR, purché siano soddisfatte le condizioni di cui a tale articolo.

App IO: verso un componimento bonario

Riguardo, comunque, la vicenda dell’APP IO sicuramente lo scontro istituzionale si risolverà mediante un componimento bonario, anche se sarebbe opportuno prevenire queste situazioni incresciose che creano preoccupanti aree di incertezza nell’ambito di una tematica già di per sé molto complessa e delicata.

Michele Iaselli

Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II.  Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore di numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.
Scopri tutte le pubblicazioni di Michele Iaselli edite da EPC Editore

Michele Iaselli

Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II.  Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore di numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici. Scopri tutte le pubblicazioni di Michele Iaselli edite da EPC Editore