Lo scorso 27 aprile, il CNPD ha sospeso l’invio di dati personali raccolti per il Censimento 2021 verso gli Stati Uniti o altri paesi che non assicurano un adeguato livello di protezione.
Fino alla fine del mese di aprile, l’Istituto Nazionale di Statistica portoghese (INE), incaricato della gestione del Censos 2021, ha raccolto informazioni personali di più di sei milioni di cittadini residenti in Portogallo. Non sono tuttavia mancati dubbi e obiezioni in merito ad alcune modalità di svolgimento delle operazioni di censimento.
Le perplessità, sollevate sia sui social media sia dinanzi alle autorità portoghesi, riguardavano il modulo reso disponibile dall’INE sul proprio sito Internet, ed erano legate al fatto che detto sondaggio richiede il conferimento di dati identificativi ritenuti eccessivi rispetto alle finalità statistiche perseguite.
A tale considerazione generale se n’è poi aggiunta una più specifica: il modulo di raccolta dati impiegato dall’INE è stato implementato mediante l’infrastruttura fornita da Cloudflare, società con sede a San Francisco, California, Stati Uniti d’America.
Proprio sulla base di tale ultimo rilievo, il 27 aprile 2021 il Comissão Nacional de Proteção de Dados (CNPD), autorità di controllo indipendente portoghese, ha emesso la Deliberazione n. 2021/533 con la quale ha ordinato all’INE l’immediata sospensione del flusso dei dati personali verso paesi terzi che, come gli USA, non garantiscono un adeguato livello di protezione.
Di seguito, le specifiche circostanze e considerazioni che hanno portato il CNPD ad adottare, con urgenza, detta misura correttiva.
Analisi della tecnologia impiegata
Come anticipato, il modulo di raccolta dati utilizzato per il censimento è accessibile attraverso l’infrastruttura di Cloudflare, la quale offre servizi di sicurezza Internet e di Content Delivery Network (CDN).
La CDN consiste in una rete di server impiegati per garantire il più rapido ed efficiente scambio di contenuti attraverso Internet. Più nello specifico, un algoritmo “dialoga” simultaneamente con tutti i duecento datacenter di Cloudflare, situati in più di cento paesi del pianeta. Tra questi, l’algoritmo sceglie quello che presenta la latenza minore, ossia che impiega il minor tempo a rispondere alla richiesta dell’utente.
Anche se il criterio alla base di tale algoritmo è quello della prossimità al luogo di origine della richiesta, osserva il CNDP, non c’è garanzia che il server di destinazione sia sempre quello più vicino. Se infatti tale server è particolarmente “carico” – circostanza plausibile nel caso di specie, data la mole di informazioni trasmesse nelle operazioni di censimento – l’algoritmo reindirizza il contenuto della richiesta verso un altro server meno vicino. Ciò vuol dire che vi è una certa probabilità che i dati personali dei residenti in Portogallo siano stati trasferiti in paesi extraeuropei, nei quali si applicano normative che non garantiscono un adeguato livello di protezione dei dati personali.
Stando alle indagini condotte dal garante portoghese, inoltre, il nome a dominio “censos2021.ine.pt” risulta associato a un IP situato proprio negli Stati Uniti d’America e assegnato a Cloudflare. Gli utenti accedono al sito utilizzando un protocollo di comunicazione sicuro (HTTPS), ma il relativo certificato di sicurezza è rilasciato da un ente certificatore di Cloudflare stesso. Di conseguenza, la società americana detiene sia la chiave privata sia la chiave pubblica ed è l’unica autorizzata a criptare e decriptare le comunicazioni di coloro che, utilizzando il modulo online, inviano dati ai server assegnati all’INE.
L’INE ha ammesso di non avere nessun potere di controllo sulla trasmissione di queste informazioni, né ha modo di sapere se il traffico è diretto a server situati nel territorio dell’Unione Europea o in qualsiasi altra area del mondo. Evenienza, questa, autorizzata dall’INE ed esplicitamente prevista nel contratto di outsourcing informatico siglato con Cloudflare.
Inquadramento nella disciplina del GDPR
Naturalmente, le informazioni raccolte per un censimento sono dati personali, poiché riferibili a persone fisiche identificate o identificabili. Taluni di questi dati hanno peraltro natura sensibile, e sono quindi riconducibili alle particolari categorie di cui all’art. 9 GDPR.
Titolare del trattamento è l’Istituto Nazionale di Statistica portoghese il quale, in forza dell’art. 28 del GDPR, ricorre a Cloudflare in qualità di responsabile del trattamento alle condizioni stabilite dall’accordo di nomina (Data Protection Addendum) allegato al suddetto contratto di outsourcing informatico. Si aggiunga che il trattamento di dati delegato a Cloudflare prevede l’uso di nuove tecnologie e – esaminandone la natura, l’oggetto, il contesto e le finalità – può presentare rischi elevati per i diritti e le libertà delle persone fisiche.
Sulla scorta di queste considerazioni, il titolare INE avrebbe dovuto compiere una valutazione di impatto sulla protezione dei dati (DPIA), avente ad oggetto tutte le operazioni compiute sui dati personali, compreso il trasporto delle informazioni da e verso i server di Cloudflare. Ai sensi dell’art. 35, paragrafo 3, del GDPR, invero, una DPIA è particolarmente necessaria nei casi in cui si abbia:
- una valutazione sistematica e globale di aspetti personali degli individui, basata su di un trattamento automatizzato, e sulla quale si fondano decisioni che incidano significativamente su dette persone fisiche;
- un trattamento, su larga scala, di categorie particolari di dati personali.
Nonostante tutte le operazioni del Censos 2021 siano soggette a un monitoraggio sistematico e a misure di sicurezza, l’INE ha dichiarato di aver compiuto una valutazione d’impatto solamente sull’operazione statistica principale, e non sul trasferimento dei dati da e verso i server di Cloudflare.
Non avendo preso in considerazione i rischi per i diritti e le libertà delle persone fisiche derivanti da tali operazioni, osserva il garante portoghese, l’INE non ha potuto valutare l’adozione di misure aggiuntive per mitigare detti rischi. E anzi, se l’Istituto avesse quantomeno consultato il CNPD su tali operazioni, quest’ultimo avrebbe potuto pronunciarsi preventivamente al fine di proteggere i diritti e le libertà degli interessati.
Il trasferimento all’estero dei dati personali
Secondo i termini del Data Processing Addendum poc’anzi citato, i dati sono trasferiti negli Stati Uniti d’America utilizzando le clausole contrattuali tipo approvate dalla Commissione europea con la decisione 2010/87/UE del 5 febbraio 2010, che sono parte integrante dell’Addendum e quindi del contratto sottoscritto con Cloudflare.
Pur riconoscendo che le clausole contrattuali tipo possono costituire una garanzia adeguata per simili operazioni, il CNPD ha nondimeno richiamato il principio generale per il trasferimento all’estero dei dati, contenuto nell’art. 44 del GDPR. A prescindere dallo strumento utilizzato, dunque, l’esportatore è sempre tenuto a verificare se lo specifico paese di destinazione assicura un livello di protezione dei dati sostanzialmente equivalente a quello garantito nell’Unione Europea.
Di conseguenza, è necessario verificare se la legge dello specifico paese di destinazione – prevalente su strumenti di natura contrattuale quali le clausole tipo sopra richiamate – non diminuisca o neghi le garanzie stabilite dalle parti dell’accordo. Ed è esattamente quanto accade nel caso della legislazione americana, come già chiarito dalla Corte di Giustizia dell’Unione Europea nella sentenza Schrems IIdel 16 luglio 2020, che il garante portoghese richiama ampiamente.
Secondo l’analisi della CGUE, la legge degli Stati Uniti (come il Foreign Intelligence Surveillance Act e l’Ordine esecutivo n. 12333) può consentire, per esigenze di sicurezza nazionale e di interesse pubblico, l’accesso indiscriminato ai dati personali trasferiti dall’Unione agli USA e l’impiego di tali informazioni in programmi di sorveglianza. In qualità di fornitore di servizi di comunicazione elettronica soggetto alla normativa statunitense, Cloudflare è pertanto tenuto a concedere l’accesso in massa ai dati personali che tratta. Simili ingerenze sono ritenute sproporzionate e in aperta violazione della Carta dei diritti fondamentali dell’Unione europea per le ragioni di seguito riassunte:
- la portata delle limitazioni dei diritti degli individui non è ben definita;
- non ci sono regole chiare e precise sull’applicazione delle relative misure;
- non ci sono requisiti minimi per la protezione da rischi di abuso;
- non si verifica alcun test di necessità;
- agli interessati non sono garantiti né diritti esercitabili né vie di ricorso efficaci.
Il CNPD compie un’ulteriore osservazione rilevante. Nell’Addendum, Cloudflare riconosce che l’accesso governativo ai dati trattati può avvenire anche per il loro impiego in procedimenti potenzialmente “incongruenti” con la legge applicabile al suo cliente, dichiarando di informare prontamente il cliente di tale evenienza “a meno che tale notifica non sia vietata dalla legge”. Ma è esattamente il caso della legislazione USA, che impedisce alle aziende americane di informare i loro clienti dell’accesso che le autorità federali effettuano per raccogliere informazioni sugli stranieri nell’ambito delle attività di sicurezza nazionale.
Infine, e sempre secondo l’Addendum, l’INE ha dato un’autorizzazione generale a Cloudflare a servirsi di sub-appaltatori sia interni che esterni, riconoscendo e accettando che, per la fornitura del servizio, potrebbe essere necessario utilizzare sub-appaltatori stabiliti in paesi terzi. Secondo la stessa giurisprudenza della CGUE, anche se l’Istituto fosse in grado di dimostrare che i dati non sono trasferiti negli Stati Uniti, il trasferimento all’estero dipenderebbe sempre dalle anzidette verifiche sulla legge del paese di destinazione, nonché dall’adozione di misure supplementari adeguate e sufficienti, non presenti nel caso di specie.
Conclusioni
Le ragioni sopra esposte hanno portato il CNPD ad esercitare i poteri correttivi espressamente conferitigli dall’art. 58, par. 2, lett. j) del GDPR. Il garante portoghese ha cioè ordinato all’Istituto Nazionale di Statistica di sospendere immediatamente i flussi di dati personali del Censos 2021 verso gli Stati Uniti e/o altri paesi terzi senza un adeguato livello di protezione, attraverso Cloudflare o altra società.
La misura correttiva è stata disposta, peraltro, senza procedere all’audizione delle parti interessate, in forza dei motivi di urgenza previsti all’art. 124, par. 1, lett. a) del Código do Procedimento Administrativo. La mancata attivazione di tale deroga, infatti, avrebbe comportato la permanenza di un rischio per i diritti, le libertà e le garanzie di più di quattro milioni di cittadini portoghesi che non hanno ancora adempiuto al loro obbligo legale di rispondere al censimento.
