Con oltre 15 anni di esperienza come avvocato, il suo ruolo di cofondatrice di un comitato consultivo per la protezione dei dati e la sua partecipazione attiva ai procedimenti dinanzi alla Corte di giustizia europea – insieme a Max Schrems e Thomas Lohninger – Katharina Raabe-Stuppnig è una delle voci più influenti nel diritto europeo della protezione dei dati. Nel suo studio legale di Wickenburggasse a Vienna, parla del suo percorso professionale, delle sfide del GDPR e della crescente complessità delle nuove leggi digitali dell’UE.
Dal diritto dei media alla protezione dei dati: un esperto in Austria
Katharina Raabe-Stuppnig ha iniziato la sua carriera nel diritto dei media. Ha fornito consulenza a case editrici e società di telecomunicazioni su questioni relative al diritto della concorrenza, alla pubblicità e alla responsabilità dei media. Il passaggio alla protezione dei dati è avvenuto quasi automaticamente: “Molti clienti si sono rivolti a me dicendomi: lei conosce i nostri processi e il nostro bilanciamento di interessi – può aiutarci anche con la protezione dei dati?”.
Con l’entrata in vigore del GDPR, la protezione dei dati si è spostata al centro della realtà aziendale. Le multe milionarie hanno aumentato la pressione. Le aziende avevano bisogno di concetti chiari e si affidavano alle partnership esistenti. Di conseguenza, la legge sulla protezione dei dati si è trasformata da una questione periferica al centro delle loro attività.
“Il mio desiderio sarebbe quello di rafforzare l’economia europea – attraverso alternative europee. La strategia digitale e il Data Act vanno nella giusta direzione. L’unica domanda è: arriverà in tempo?”.
Mag. Kathrina Raabe-Stuppnig
La protezione dei dati come fattore abilitante
Dall’introduzione del GDPR nel 2018, la necessità di assistenza legale è aumentata enormemente – e rimane elevata. Ciò è dovuto non da ultimo al fatto che il regolamento non fa distinzione tra grandi aziende e piccole imprese. Tutte devono rispettare gli stessi standard.
“Un sistema di gestione della protezione dei dati funzionante è oggi un vero e proprio fattore abilitante”, spiega Raabe-Stuppnig. “Fornisce alle aziende una panoramica dei sistemi, dei processi e dei rischi, e costituisce la base per l’ottimizzazione e l’aumento dell’efficienza”.
Allo stesso tempo, l’ambiente sta diventando sempre più complesso: nuove leggi come la NIS-2, la legge sulla resilienza informatica, la legge sull’IA e la legge sui dati impongono ulteriori requisiti alle aziende, in tutti i settori. Chi ha già creato una base stabile per la protezione dei dati ha ora un chiaro vantaggio.
Strategie per la trasformazione digitale
I problemi per i quali le aziende si rivolgono allo studio oggi sono molti e vari:
- Che impatto ha il NIS-2 se sono un fornitore di infrastrutture critiche?
- Di quali politiche ho bisogno per l’AI Act?
- Come posso gestire i nuovi diritti di accesso ai dati ai sensi del Data Act, senza mettere a rischio il livello di protezione dei dati che ho costruito finora?
Oltre alle valutazioni legali, le questioni strategiche assumono un ruolo sempre più importante: dove devono essere assegnate le responsabilità all’interno dell’azienda? Come armonizzare la conformità, la sicurezza informatica e la capacità di innovare? Raabe-Stuppnig e il suo team supportano le aziende non solo nell’implementazione, ma anche nel posizionamento all’interno del nuovo quadro normativo.
UE e USA: atteggiamenti di base diversi
L’utilizzo di software proveniente da Paesi terzi, ad esempio da parte degli hyperscaler statunitensi, è una questione particolarmente delicata. Sebbene anche negli Stati Uniti esistano leggi sulla protezione dei dati, spiega Raabe-Stuppnig, la protezione si applica principalmente ai cittadini statunitensi. Per i cittadini dell’UE queste norme sono molto più deboli.
“Il problema sta nella ponderazione: gli interessi di sicurezza della NSA hanno spesso la precedenza sulla protezione dei dati dei non americani. La Corte di giustizia europea ha già stabilito questa sproporzione due volte – e quindi ha rovesciato principi centrali come Safe Harbour e Privacy Shield”.
Variazione della consapevolezza in Europa dal 2018
Dall’entrata in vigore del GDPR, la consapevolezza in Europa è cambiata notevolmente. Le aziende sono ora molto più sensibili quando si tratta di gestire i dati personali. L’attenzione dei media sulle sentenze in materia di protezione dei dati e sui casi più importanti ha svolto un ruolo fondamentale in questo senso.
“Abbiamo creato uno standard d’oro per la protezione dei dati in Europa”, riassume Raabe-Stuppnig. “Ed è piacevole vedere come molte aziende si stiano impegnando attivamente non solo per soddisfare questo standard, ma anche per utilizzarlo come vantaggio competitivo”.
Cosa rende così delicato il trasferimento dei dati verso gli Stati Uniti e qual è la situazione legale nell’UE?
Il dibattito sulla protezione dei dati tra l’UE e gli Stati Uniti è complesso e, soprattutto, molto dinamico dal punto di vista giuridico. A differenza di Paesi come la Svizzera, per i quali la Commissione europea ha emesso una cosiddetta decisione di adeguatezza, la situazione negli Stati Uniti era ed è molto più complicata. Tale decisione stabilisce che i dati personali possono essere trasferiti in un Paese terzo perché il livello di protezione dei dati è paragonabile a quello dell’UE. In paesi come la Cina o la Russia – e per molto tempo anche negli Stati Uniti – non esisteva una decisione di questo tipo.
Il trattamento dei dati negli Stati Uniti: un gioco di equilibri legali
Non appena le aziende collaborano con fornitori di servizi per l’elaborazione dei dati negli Stati Uniti, ad esempio, devono adottare misure di protezione aggiuntive per mantenere il livello di protezione dei dati richiesto dal GDPR. Ciò significa maggiori sforzi, maggiori controlli obbligatori e maggiori rischi.
Un esempio pratico: anche se si sceglie una sede di server all’interno dell’UE per i fornitori di cloud statunitensi, il problema esiste ancora, ad esempio se la filiale europea è sotto il controllo di una società madre statunitense. In caso di emergenza, le autorità statunitensi, come la NSA, potrebbero richiedere l’accesso ai dati, anche attraverso una catena di comando interna. L’ubicazione del server nell’UE riduce il rischio, ma non lo esclude completamente.
Dal Safe Harbour al Data Privacy Framework: uno sguardo al passato
La storia degli accordi sulla protezione dei dati tra l’UE e gli USA si presenta come una serie di battute d’arresto dal punto di vista legale:
- Safe Harbor è stato il primo accordo a imporre determinati standard di protezione dei dati alle aziende statunitensi su base volontaria. È stato abrogato nel 2015 dalla sentenza Schrems I.
- Il Privacy Shield è stato il successore, una versione rivista del Safe Harbour. Tuttavia, anche questo accordo è stato dichiarato nullo dalla Corte di giustizia europea nella sentenza Schrems II del 2020.
- In risposta, è entrato in vigore il Data Privacy Framework, sulla base del quale la Commissione europea ha nuovamente adottato una decisione di adeguatezza per gli Stati Uniti.
La nuova decisione, tuttavia, si basa ancora una volta su fondamenta poco solide.
Questo perché il Data Privacy Framework si basa su un ordine esecutivo del Presidente degli Stati Uniti – in altre parole, un ordine che può teoricamente essere revocato in qualsiasi momento. I critici dubitano quindi della stabilità a lungo termine di questo quadro. Un’azione legale contro la decisione di adeguatezza è già stata depositata presso la Corte di giustizia europea, ma l’esito è incerto.
Inoltre, l’autorità di controllo statunitense responsabile, il PCLOB, non è attualmente in grado di agire perché tre dei suoi cinque direttori sono stati licenziati dall’ex presidente Trump. Il risultato è una grande incertezza sulla reale stabilità del meccanismo di protezione dei dati negli Stati Uniti.
Quanto è importante il Data Privacy Framework per le aziende dell’UE?
Se state pianificando a lungo termine e volete concentrarvi sulla sicurezza dei dati, non dovreste affidarvi ciecamente al Data Privacy Framework. Come in passato, la situazione legale può cambiare rapidamente. Il costo delle valutazioni d’impatto sul trasferimento dei dati (TIA) è elevato e le violazioni possono comportare sanzioni severe, fino al 4% del fatturato globale annuo.
I servizi cloud statunitensi sono (ancora) utilizzabili, ma non senza rischi
I servizi cloud dei fornitori statunitensi possono attualmente essere utilizzati nel rispetto delle **regole sulla protezione dei dati, a condizione che vengano implementate **adeguate misure di protezione, quali clausole contrattuali standard e misure tecniche di sicurezza. Ma c’è ancora un rischio residuo. È particolarmente problematico che non esista ancora una crittografia end-to-end adatta all’ uso quotidiano per tutti i tipi di utilizzo, ad esempio per il trattamento continuo dei dati (“dati in uso”).
L’utilizzo dei servizi statunitensi deve quindi essere sempre valutato individualmente: Quanto sono sensibili i dati trattati? Quali misure di sicurezza vengono adottate? E in che misura l’azienda è effettivamente in grado di mitigare i rischi?
Tra bianco e nero e realismo: come le aziende dovrebbero affrontare la protezione dei dati e i fornitori di cloud
La questione se le aziende debbano utilizzare solo software e servizi cloud di origine europea – un “completamente o per niente” – sembra a prima vista una posizione chiara. Ma è proprio questo che l’esperta di protezione dei dati Katharina Raabe-Stuppnig mette in guardia. Un principio del genere non solo è poco pratico, ma anche difficile da giustificare alle autorità. Al contrario, ogni decisione sull’utilizzo di software o servizi cloud deve essere presa caso per caso, a seconda della sensibilità dei dati trattati e delle misure di protezione specifiche che possono essere adottate.
Non lasciatevi cullare da un falso senso di sicurezza – anche con il Privacy Framework
Un altro tema che attualmente preoccupa molte aziende: Che cosa accadrebbe se la Corte di giustizia europea annullasse il nuovo quadro sulla privacy dei dati tra l’UE e gli USA, come ha fatto in precedenza con “Safe Harbour” e “Privacy Shield”? La risposta è chiara: si verificherebbe nuovamente un’enorme incertezza giuridica. Proprio per questo motivo Kargl sta già consigliando alle aziende di non affidarsi esclusivamente al quadro normativo, ma di concordare clausole contrattuali standard (SCC) aggiuntive. Queste dovrebbero sempre includere una valutazione dell’impatto del trasferimento (TIA), ovvero un’analisi del rischio di trasferimento dei dati a Paesi terzi.
Tuttavia, l’avvocato chiarisce anche che se il Data Privacy Framework dovesse effettivamente cadere e la proporzionalità del trasferimento dei dati verso gli USA dovesse essere fondamentalmente messa in discussione, anche i TIA raggiungerebbero i loro limiti. La speranza è quindi quella di adottare misure tecniche e organizzative supplementari, soprattutto la crittografia.
Crittografia: affermazioni e realtà divergono
Le autorità per la protezione dei dati e la Corte di giustizia europea chiedono ai fornitori di cloud statunitensi una soluzione chiara: i dati devono essere memorizzati solo in forma criptata e la chiave deve essere gestita al di fuori del fornitore, idealmente in Europa e sotto il controllo dell’azienda responsabile dei dati o di un fiduciario europeo. L’obiettivo di questa cosiddetta soluzione di “gestione esterna delle chiavi” è quello di garantire che, anche in caso di accesso da parte di autorità statunitensi come la NSA, possano essere trasmessi solo dati criptati, cioè inutilizzabili.
In pratica, però, secondo Katharina Raabe-Stuppnig, questo tipo di crittografia può essere implementato solo per i dati di backup. Non appena i dati vengono
Il ruolo dell’Europa: opportunità attraverso il Data Act
Nonostante queste sfide, l’avvocato è ottimista per il futuro: il Data Act dell’UE traccerà una strada importante. I fornitori di cloud saranno obbligati a consentire strategie multi-cloud, ossia a supportare un facile passaggio da un fornitore all’altro, senza costi elevati. Ciò contribuirà attivamente a rafforzare la sovranità europea nello spazio digitale e a creare più alternative agli hyperscaler statunitensi nel lungo termine.
Resta da chiedersi se l’Europa sarà in grado di agire in modo più indipendente e sicuro nello spazio digitale nel tempo. La signora Raabe-Stuppnig è comunque fiduciosa: “La volontà politica c’è e, con un sostegno e una regolamentazione mirati, potrebbero presto emergere valide alternative europee”.
Una rinuncia generalizzata alle soluzioni di Paesi terzi non è né praticabile né legalmente necessaria. Le aziende devono valutare attentamente la sensibilità dei propri dati, i partner adatti e le misure di protezione specifiche da implementare. Chi si affida già a SCC, TIA e crittografia non solo è al sicuro dal punto di vista legale, ma rafforza anche la posizione dell’Europa nella competizione digitale.
