Dopo circa due mesi dalla storica sentenza della Corte di Giustizia, detta “Schrems II”, che ha archiviato definitivamente la Decision 2016/2150 sul Privacy Shield e ha minato l’applicabilità della Decision 2010/87/EC (riguardante le clausole contrattuali standard tra titolare e responsabile, di seguito “SCC”) nel trasferimento dei dati personali verso gli USA e in Paesi con analoghe situazioni legislative, le conseguenze e gli effetti dirompenti che ne sono conseguiti devono ancora integralmente dispiegarsi.
L’EDPB delle autorità di controllo europee ha persino creato una task force di esperti ad hoc per fare fronte ai conseguenti reclami provenienti da aziende e singoli interessati (come la NOYB di Schrems stesso), nonché agli ulteriori quesiti ancora senza risposta.
Di fatto, l’EDPB nella sua dichiarazione sulla Schrems II del 17 luglio scorso ha procrastinato a futuri interventi i chiarimenti sul nodo fondamentale della vicenda, cioè sul possibile utilizzo degli strumenti legali di trasferimento dei dati, in particolare circa le misure aggiuntive che – a cura del singolo titolare coinvolto – dovrebbero essere applicate per poter trasferire i dati in un Paese come gli USA.
Tra questi strumenti merita senza dubbio un’analisi più approfondita la questione relativa alla validità delle c.d. norme vincolanti d’impresa (in inglese Binding Corporate Rules, dette di prassi “BCR”) che alcune voci hanno identificato come strumento alternativo, alla luce della situazione, per trasferire in piena legittimità i dati.
Sebbene l’attenzione della Corte sia stata rivolta in particolare verso il Privacy Shield nonché verso le SCC, da un’attenta analisi della sentenza in oggetto si comprende che anche le BCR ricadono nel limbo applicativo generato dalla sentenza – ovvero l’applicazione di misure supplementari a bilanciare le ingerenze legislative non conformi al quadro richiesto dal contesto europeo.
E dunque non si possono applicare senza alcuna riflessione, ritenendole una sorta di jolly da giocarsi perché messi alle strette.
Indice degli argomenti
Cosa sono le norme vincolanti d’impresa (BCR): per molti ma non per tutti
Partiamo dalle premesse normative: le BCR, disciplinate all’art. 47 GDPR ma già presenti e approvate fin dai tempi della Direttiva 95/46/CE, sono uno strumento a beneficio dei gruppi imprenditoriali o gruppi di imprese volto a conseguire il trasferimento dei dati da soggetti stabiliti nell’Unione Europea verso soggetti dello stesso gruppo al di fuori dell’Unione.
Nascono per agevolare le multinazionali nella gestione dei flussi di dati da infra-gruppo, senza che vi sia l’obbligo di ottemperare – entità per entità, Paese per Paese – ad altri specifici adempimenti di garanzia dei trasferimenti (es. Paesi ritenuti adeguati, SCC ecc.) purché i dati restino nell’alveo della stessa organizzazione.
Si traducono in uno o più documenti in cui vengono delineati principi, clausole, garanzie e regole di condotta che le imprese del medesimo gruppo sono tenute formalmente a rispettare, per garantire agli interessati la tutela dei propri diritti e delle proprie libertà.
Con questo singolo strumento una multinazionale può gestire illimitati trasferimenti di gruppo in qualsiasi Paese, adeguato o meno ai sensi del GDPR, ove siano site le proprie imprese aderenti alle BCR, con una intuibile semplificazione delle differenze normative e giurisdizionali dei vari Paesi.
Questo strumento si presta ad assumere connotati diversi a seconda che venga utilizzato da titolari del trattamento (Binding Corporate Rules for Controllers, di seguito “BCR–C”) o da responsabili del trattamento (Binding Corporate Rules for Processors, di seguito “BCR–P”).
Nel primo caso, le BCR–C l’input al trasferimento di dati personali proviene da titolari del trattamento – stabiliti nell’UE – verso altri titolari o responsabili del trattamento dello stesso gruppo ma stabiliti extra-UE.
I principi e gli obblighi definiti nelle BCR–P, al contrario, tutelano i dati personali ricevuti da un terzo titolare del trattamento – stabilito nell’UE – ma non facente parte del gruppo imprenditoriale e successivamente trattati dai membri del gruppo d’impresa in qualità di responsabili e/o sub-responsabili del trattamento.
Concretamente, le BCR–P vincolano le società facenti parte del gruppo imprenditoriale che trattano dati di terzi in qualità di responsabili del trattamento, secondo le istruzioni fornite da un titolare del trattamento non appartenente al gruppo.
Si badi che il rapporto che viene a delinearsi tra titolare e responsabili deve necessariamente trovare la propria ragion d’essere in un separato contratto come previsto all’art. 28, par. 3 del GDPR. La lettera di quanto indicato dal WP29 menziona infatti la necessità di uno specifico “accordo di servizio” di complemento a tal proposito.
Le BCR nascono su eventuale iniziativa e proposta dell’impresa stessa – che deve predisporne il proprio testo, non esiste uno standard unico sebbene ex art. 47 GDPR la Commissione possa in futuro specificare il formato e le procedure per lo scambio di dati – per poi sottoporlo all’esame dell’autorità di controllo nazionale competente (in base allo stabilimento della propria controllante). La quale può procedere all’approvazione solo dopo aver riscontrato la sussistenza di tutti i requisiti di cui all’art. 47 del GDPR (es. l’indicazione dei trasferimenti previsti, i diritti degli interessati e i mezzi per esercitarli, le modalità con cui sono fornite nozioni sulle BCR in sede di informativa ex artt. 13 e 14 GDPR, i meccanismi interni per garantire il rispetto delle BCR, i compiti del DPO, ecc.). Ciò nel rispetto del meccanismo di coerenza tra le autorità di controllo europee di cui all’art. 63 del GDPR.
La lista completa e aggiornata – fino al 25 maggio 2018 – delle BCR approvate è consultabile alla pagina web della Commissione Europea. La lettura di alcune BCR approvate è istruttiva, ad es. quando si riscontra una certa genericità o la riproduzione pedissequa della normativa vigente, facendo intuire che le maglie di approvazione non siano così strette come si potrebbe pensare a mente dell’impianto normativo.
L’impatto della Schrems II sulle BCR: la scheggia nascosta
L’importanza e l’utilità delle BCR è dimostrata dal fatto che diverse multinazionali si avvalgono di questo strumento, in considerazione dell’elevato standard di conformità al GDPR che sono in grado di garantire – pur a fronte di un iter di approvazione né rapido né semplice.
Al pari del Privacy Shield e delle SCC, le BCR rappresentano un importante meccanismo di adeguatezza per garantire un livello di tutela adeguato alla salvaguardia dei dati degli interessati.
Le principali differenze tra questi strumenti, tuttavia, risiedono nella fonte da cui originano nonché nel soggetto sul quale incombe l’onere di valutare l’adeguatezza delle garanzie a tutela dei dati.
Le SCC, infatti, così come il defunto Privacy Shield, sono il prodotto dell’operato della Commissione Europea e contengono l’obbligo per l’importatore e l’esportatore dei dati di verificare – prima del trasferimento – il livello di protezione garantito nel Paese terzo.
Le BCR, invece, vengono approvate dall’autorità di controllo compente, la quale quindi già a monte effettua una valutazione circa il livello di adeguatezza garantito dal testo proposto, non già dai Paesi coinvolti. Tuttavia, saranno poi i meccanismi interni a dover monitorare quanto accade e la costante adeguatezza.
La sentenza della CGUE sul caso Schrems ha un impatto sia per quanto riguarda la validità delle BCR già approvate, sia per quelle in corso di approvazione.
Le prime, sebbene mantengano un elevato standard di qualità posto che sono diretta espressione di un’autorità di controllo, dovranno certamente essere sottoposte a revisione.
Le stesse FAQ dell’EDPB sul caso Schrems II delineano la strada da percorre per importatori ed esportatori dei dati: dovranno comunque valutare se allo stato attuale il livello di tutela dei dati richiesto e garantito all’interno dello Spazio Economico Europeo sia rispettato nel Paese terzo al fine di determinare l’adeguatezza delle BCR.
In caso di esito negativo, gli strumenti utilizzati per legittimare il trasferimento dovranno essere integrati con le pluricitate misure di sicurezza supplementari. In attesa di un intervento chiarificatore da parte delle autorità, l’EDPB impone a importatori ed esportatori dei dati di sospendere immediatamente il trasferimento e – qualora ciò non fosse realizzabile, ad es. per esigenze aziendali non procrastinabili – di effettuare una notifica all’autorità di controllo competente.
Discorso diverso meritano le BCR già in corso di approvazione. Innanzitutto, occorre fare una premessa, in quanto in seguito alla sentenza in oggetto è possibile che sempre più gruppi imprenditoriali vorranno avvalersi di questo strumento.
Pertanto, le autorità di controllo nazionali non potranno semplicemente rifiutare le richieste di approvazione di BCR provenienti da gruppi d’imprese con sedi o filiali nei Paesi ritenuti non adeguati, magari sull’assunto che ci vorrà tempo prima che vengano individuate le misure di sicurezza adeguate da applicare a tale trasferimento.
Per risolvere l’impasse che i giuridici della CGUE hanno generato si potrebbero adottare alcune soluzioni, più o meno temporanee. Ad esempio, l’approvazione delle BCR potrebbe essere sottoposta a revisione e/o aggiornamento al fine di integrare le misure addizionali di sicurezza che verranno individuate in futuro dallo stesso EDPB.
In alternativa, si potrebbe procedere con un’approvazione delle BCR caso per caso, andando a verificare in modo certosino che ogni singolo trasferimento dei dati sia soggetto a quei requisiti di adeguatezza imposti dal GDPR.
Infine, non scordiamo che – stando alla lettera dell’art. 47 GDPR e delle BCR finora approvate – toccherà comunque alle singole imprese attivare i meccanismi interni di verifica della conformità delle attività alle BCR, incluse le verifiche sulla protezione dei dati tali da assicurare “provvedimenti correttivi” (ovvero quelli invocati ma non chiariti dalla Corte nel caso Schrems, nel nostro esempio) di protezione dei dati (vedi art. 47 c. 2 lett. j) GPDR).
Provvedimenti che andranno comunicati anche al DPO oltre che all’organo amministrativo dell’impresa controllante; questi ultimi dovranno collaborare, nei rispettivi ruoli, per far adeguare le BCR adottate alle correnti esigenze.
Tanto più che l’art. art. 47 c. 2 lett. m) GPDR prescrive alle BCR anche meccanismi “per segnalare all’autorità di controllo competente ogni requisito di legge cui è soggetto un membro del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attività economica comune in un paese terzo che potrebbe avere effetti negativi sostanziali sulle garanzie fornite dalle norme vincolanti d’impresa”.
Il che è proprio il caso in parola, ove la sentenza Schrems ha acclarato che le leggi degli Stati Uniti possono arrecare un vulnus ai diritti e alle libertà degli interessati.
Da tutti questi elementi dovrebbe essere più chiaro perché anche le BCR finiscono nel raggio di azione della dirompente Schrems II, comportando persino un potenziale onere di notifica all’autorità di controllo.
Conclusioni (più o meno amare)
Le questioni poste dalla sentenza comunitaria, come abbiamo potuto constatare, sono ben lungi dall’essere risolte. Sarà necessario attendere l’EDPB e le misure supplementari integrative, applicabili a strumenti come le SCC o le BCR.
Auspicando tempi celeri: di fatto con il suo messaggio l’EDPB – al momento – ha “scaricato” sui titolari l’onere di compiere autovalutazioni di tali misure, senza che sia possibile comprendere con sufficiente precisione se e come possano essere articolate (“le misure supplementari unitamente alle clausole contrattuali tipo, previa analisi caso per caso delle circostanze del trasferimento, dovrebbero assicurare che la legislazione statunitense non interferisca con il livello di protezione adeguato dalle stesse garantito” afferma l’EDPB).
Germinando rilevanti dubbi su qualunque soluzione possa essere ideata privatamente in merito circa le predette misure correttive: sarà poi confermata dall’EDPB? Ricordiamo che la procrastinazione dell’EDPB – per quanto sancito dalla CGUE – non trova alcuna sponda in un periodo di tolleranza utile per adattarsi all’emergenza concreta, specie per chi ha fatto finora un uso massivo e non certo facilmente aggirabile di provider statunitensi.
Si lasci dire che paventiamo una triste degenerazione del principio di accountability – qui virato in una sorta di “gioco d’azzardo” -, ancor più considerato che questo “esercizio” di adattamento si deve applicare a tutti gli strumenti principali di trasferimento dei dati diffusi nella prassi.
Rischiando così di legittimare sia un sospetto di incuria (o giochi politici, non sapendo cosa possa essere peggio) da parte delle istituzioni, sia chi avversa il costrutto europeo per la protezione dei dati ritenendolo un pachiderma controproducente.
Non da ultimo, se anche l’autorità di controllo irlandese, di solito ben disposta verso i big player statunitensi, ha recentemente sospeso i trasferimenti di dati verso gli USA da parte di Facebook alla luce del quadro attuale, non si può esitare ancora.
L’EDPB deve pronunciarsi per riattribuire sia efficacia che realismo alla protezione dei dati: sprecare questa occasione sarebbe – oltre che una fonte di potenziali danni – un amaro risultato, a due anni dal varo del GDPR.
