Arrivano negli stessi giorni alcuni rilevanti interventi dall’EDPB (Comitato europeo per la protezione dei dati) in merito al trasferimento di dati all’estero.
- Ha pubblicato due linee guida il 24 febbraio;
- e il 28 febbraio ha pubblicato un parere non vincolante sul nuovo accordo di adeguatezza Usa-UE.
Trasferimento dati UE-USA, primo passo verso una decisione di adeguatezza: ecco la bozza
Indice degli argomenti
Parere EDPB sulla bozza di decisione di adeguatezza UE-USA su trasferimento
A quanto si legge nel parere, “l’EDPB accoglie con favore i miglioramenti sostanziali, come l’introduzione di requisiti che incorporano i principi di necessità e proporzionalità per la raccolta di dati da parte dell’intelligence statunitense e il nuovo meccanismo di ricorso per gli interessati dell’UE”.
“Allo stesso tempo, esprime preoccupazioni e chiede chiarimenti su diversi punti”.
Questi riguardano, in particolare, “alcuni diritti delle persone interessate, i trasferimenti successivi, la portata delle esenzioni, la raccolta temporanea di dati in massa e il funzionamento pratico del meccanismo di ricorso”.
L’EDPB si dichiara favorevole ad aspettare l’adozione di politiche e procedure aggiornate per l’attuazione dell’Ordine Esecutivo 14086 da parte di tutte le agenzie di intelligence statunitensi, prima dell’adozione ed entrata in vigore della decisione di adeguatezza.
L’EDPB raccomanda alla Commissione europea di valutare tali politiche e procedure aggiornate e di condividere la propria valutazione con l’EDPB.
Ricordiamo che la nuova decisione di adeguatezza, pubblicata in bozza dalla Commissione europea il 13 dicembre 2022, si basa sul Data Privacy Framework (DPF) UE-USA, destinato a sostituire il Privacy Shield invalidato dalla CGUE nella sentenza Schrems II. L’elemento chiave del DPF è costituito dai Principi del Quadro sulla privacy dei dati UE-USA, emanati dal Dipartimento del Commercio degli Stati Uniti. Il DPF è applicabile solo alle organizzazioni statunitensi che si sono autocertificate.
Il presidente dell’EDPB Andrea Jelinek ha dichiarato: “Un elevato livello di protezione dei dati è essenziale per salvaguardare i diritti e le libertà degli individui dell’UE. Pur riconoscendo che i miglioramenti apportati al quadro giuridico statunitense sono significativi, raccomandiamo di affrontare le preoccupazioni espresse e di fornire i chiarimenti richiesti per garantire la validità della decisione di adeguatezza. Per lo stesso motivo, riteniamo che dopo la prima revisione della decisione di adeguatezza, le revisioni successive debbano avvenire almeno ogni tre anni e ci impegniamo a contribuirvi”.
Per quanto riguarda gli aspetti commerciali, “l’EDPB accoglie con favore una serie di aggiornamenti apportati ai principi del DPF. Rileva inoltre che alcuni principi rimangono essenzialmente gli stessi del Privacy Shield”.
“Pertanto, permangono alcune preoccupazioni, ad esempio in relazione ad alcune esenzioni al diritto di accesso, all’assenza di definizioni chiave, alla mancanza di chiarezza sull’applicazione dei principi del DPF agli incaricati del trattamento, all’ampia esenzione dal diritto di accesso per le informazioni disponibili al pubblico e alla mancanza di norme specifiche sul processo decisionale automatizzato e sulla profilazione”.
“L’EDPB ribadisce inoltre che il livello di protezione non deve essere compromesso dai trasferimenti successivi. Pertanto, invita la Commissione a chiarire che le garanzie imposte dal destinatario iniziale all’importatore nel Paese terzo devono essere efficaci alla luce della legislazione del Paese terzo, prima di un trasferimento successivo”.
Le linee guida su trasferimento e dark pattern
Le tre linee guida:
- Linee guida sull’interazione tra l’applicazione dell’articolo 3 e le disposizioni sui trasferimenti internazionali di cui al capo V del GDPR (05/2021);
- Linee guida sulla certificazione come strumento per i trasferimenti (07/2022); e
- Linee guida sui deceptive designe patterns nelle interfacce sulle piattaforme di social media (3/2022).
Si tratta di tre linee guida che offrono delle importanti indicazioni su temi molto specifici e che possono offrire importanti chiarimenti, utili a titolari e “privacy experts”, per affrontare casistiche sempre più ricorrenti nel contesto di insistente sviluppo della digitalizzazione.
Linee guida sull’interazione tra l’applicazione dell’articolo 3 e le disposizioni sui trasferimenti internazionali di cui al capo V del GDPR
Le linee guida 05/2021 mirano a chiarire l’interazione tra l’ambito di competenza territoriale del GDPR, definito nell’articolo 3 del Regolamento, e le disposizioni sui trasferimenti internazionali di cui al capo V GDPR.
Le linee guida in oggetto si dimostrano particolarmente utili in quanto, innanzitutto, offrono una puntuale definizione di trasferimento.
Come osserva l’EDPB, infatti, il GDPR non offre, né all’interno dell’art. 4 né nel capo V, una definizione puntuale di “trasferimento di dati personali a un paese terzo o a un’organizzazione internazionale”.
Il documento fornisce tre criteri cumulativi per qualificare un trasferimento di dati personali ai sensi del GDPR:
- il titolare del trattamento o responsabile del trattamento (“esportatore”) è soggetto al GDPR;
- l’esportatore trasmette, o mette altrimenti a disposizione di un altro titolare del trattamento, contitolare del trattamento o responsabile del trattamento (“importatore”) i dati personali oggetto del trattamento cui si applica il GDPR in virtù dei criteri sanciti dall’art. 3 del Regolamento; e
- l’importatore si trova in un paese terzo o è un’organizzazione internazionale.
Il documento fornisce poi degli utili esempi pratici per aiutare i Titolari ed i Responsabili del trattamento a verificare se un trattamento di dati costituisce al contempo un trasferimento verso un paese terzo o un’organizzazione internazionale e, di conseguenza, se è necessario conformarsi alle disposizioni del capo V del GDPR.
Linee guida sulla certificazione come strumento per i trasferimenti
Le Linee guida 07/2022 forniscono indicazioni sui trasferimenti di dati personali a paesi terzi o a organizzazioni internazionali sulla base di una certificazione.
Lo scopo principale di queste linee guida è fornire ulteriori chiarimenti sull’uso pratico di questo strumento di trasferimento.
Le linee guida sono composte da quattro parti, ciascuna incentrata su specifici aspetti riguardanti l’utilizzo della certificazione quale condizione per il trasferimento ai sensi dell’art. 46 GDPR.
Nella prima parte viene chiarito che le linee guida integrano le già esistenti Linee guida generali 1/2018 sulla certificazione e affrontano i requisiti specifici del Capitolo V del GDPR quando la certificazione viene utilizzata come strumento di trasferimento.
La Parte III fornisce orientamenti sui criteri di certificazione già enunciati nelle Linee guida 1/2018 e stabilisce criteri specifici che dovrebbero essere previsti nel meccanismo di certificazione per poter utilizzare quale fondamento del trasferimento verso Paesi terzi. Tra questi:
- obblighi specifici di trasparenza per esportatori e importatori;
- strumenti da attivare nei casi in cui la legislazione nazionale dell’importatore impedisca il rispetto degli impegni assunti nell’ambito della certificazione;
- previsione di espresse previsioni circa la possibilità di effettuare trasferimenti successivi, e i requisiti da rispettare per poterlo fare.
La Parte IV fornisce delle indicazioni circa gli impegni vincolanti (preferibilmente in forma contrattuale) che i titolari o responsabili del trattamento non soggetti al GDPR devono assumere al fine di fornire garanzie adeguate ai dati personali trasferiti presso Paesi terzi.
Conclusioni
Le Linee Guida adottate costituiscono sicuramente uno strumento interpretativo importante in mano ad organizzazioni e data protection manager.
La copiosa produzione “paranormativa” dell’EDPB può infatti aiutare a dipanare i dubbi delle organizzazioni che devono applicare il GDPR e che, per necessità o per opportunità, interloquiscono con fornitori o organizzazioni che hanno sede fuori dall’Unione Europea e necessitano di trasferire i loro dati al di là dei confini comunitari.
L’EDPB, che a livello comunitario rappresenta una delle massime istituzioni sulla protezione dei dati personali, prosegue nel perseguimento del suo obiettivo di offrire chiavi ermeneutiche ed esplicative delle norme vigenti (in primis il GDPR), ponendo sempre i diritti e le libertà degli interessati al centro delle sue analisi.
Per quanto riguarda il parere su adeguatezza, è un sì senza riserva; la palla ora è alla Commissione politica, ma i rilievi (preoccupazioni) di EDPB probabilmente saranno accolti perché sono gli stessi già avanzata dal Parlamento UE. E quindi la Commissione li accoglierà spingendo per un accordo politico con gli USA e che potrebbe arrivare prima dell’estate. Con qualche mese di ritardo quindi, per questi rilievi, rispetto alla previsione di marzo-aprile.
Linee guida sui “deceptive design pattern” nelle interfacce delle piattaforme dei social media
Le Linee guida 03/2022 offrono alcune indicazioni pratiche indirizzate agli sviluppatori e agli utenti delle piattaforme di social media su come valutare ed evitare pattern ingannevoli che violano il GDPR.
Per dark pattern si intendono quelle interfacce ed “artifizi”, implementati sulle piattaforme di social media, che tentano di indirizzare gli utenti verso decisioni non intenzionali, non volute e potenzialmente dannose, spesso contraria agli interessi degli utenti stessi e a favore degli interessi delle piattaforme di social media. Le Linee guida forniscono esempi di modelli di dark pattern, che spingono l’utente a fornire informazioni utili ai social provider o ad indirizzare la propria volontà verso la scelta desiderata dai web masters.
L’EDPB indica poi alcune best practices e raccomandazioni specifiche per gli sviluppatori di interfacce che mirano a facilitare l’effettiva attuazione del GDPR, per non incorrere in illegittimi dark pattern.
A seguito della consultazione pubblica, le Linee guida pubblicate per consultazione sono state aggiornate per riflettere i feedback ricevuti, tra cui la sostituzione del termine “dark pattern” con “deceptive design patterns” nel titolo delle Linee guida stesse.