Le raccomandazioni dell’EDPB seguite alla sentenza Schrems II non possono essere considerate quale punto finale sulla questione data transfer, memori di quanto già precedentemente accaduto in occasione dell’invalidazione del cosiddetto Safe Harbor.
Sarebbe auspicabile, anche per garantire una maggior certezza giuridica per gli operatori e tenuto conto della circostanza che la gran parte delle piattaforme utilizzate in Europa sono fornite da grandi aziende nord americane, che si arrivi a delineare una disciplina equilibrata che non faccia ricadere totalmente sulle spalle delle aziende europee decisioni sulle quali, il più delle volte, non detengono alcun potere (contrattuale e normativo). Analizziamo i punti previsti dalle raccomandazioni.
Indice degli argomenti
Il contesto normativo
La Corte di Giustizia dell’Unione Europea con la decisione dello scorso 16 luglio, cosiddetta “Sentenza Schrems II”, ha invalidato il Privacy Shield che legittimava il trasferimento di dati personali negli Stati Uniti lasciando spiazzati numerosi operatori che si sono ritrovati a dover valutare le modalità con cui svolgere tali trasferimenti, essenziali in alcuni casi per lo svolgimento delle loro attività imprenditoriali.
La sentenza, inoltre, ha previsto che anche per utilizzare le clausole standard pubblicate dalla Commissione Europea, che costituiscono una misura di salvaguardia in caso di trasferimento dei dati extra-UE, il titolare del trattamento debba comunque effettuare una valutazione sull’ordinamento dello Stato in cui è stabilito il soggetto destinatario valutandone la compatibilità con i principi dell’ordinamento europeo.
Per poter fornire degli strumenti di guida e supporto alla conduzione di tali valutazioni l’European Data Protection Board ha pubblicato il testo di nuove raccomandazioni (Recommendations 1/2020 on measures that supplement transfers tools to ensure compliance with the EU level of protection of personal data) che sarà aperto a consultazione pubblica fino al 30 novembre.
Parallelamente la Commissione Europea ha posto in consultazione, fino al 10 dicembre 2020, i nuovi modelli di clausole contrattuali standard integrati sulla base della decisione della Corte di Giustizia.
Le raccomandazioni 1/2020 dell’EDPB
Le Raccomandazioni 01/2020 contengono una sorta di roadmap delle attività che devono essere eseguite nel momento in cui si effettuano trasferimenti di dati personali in un Paese extra-UE; inizialmente per mappare il complesso dei trasferimenti effettuati e, successivamente, per valutare la necessità o meno di adottare misure supplementari a maggior tutela degli interessati.
Considerando che secondo il principio di accountability previsto all’interno del Regolamento (UE) n. 679/2016 (“GDPR”) è onere del titolare del trattamento quello di essere in condizione in ogni momento di dimostrare il rispetto della disciplina, il Comitato ha configurato un vero e proprio “Data Transfer Impact Assessment – DTIA”, ossia una procedura in sei fasi, che gli operatori possono seguire per stabilire se sia possibile e a quali condizioni operare il trasferimento.
Nel ricordare che le raccomandazioni sono indirizzate sia ai titolari del trattamento sia ai responsabili che intendano individuare eventuali sub-responsabili, il DTIA, che deve essere documentato in ossequio al principio di accountability sopra richiamato, si avvia con una mappatura dei trasferimenti di dati personali effettuati dall’organizzazione.
Ovviamente in tale fase verrà in soccorso il registro dei trattamenti formato ai sensi dell’art. 30 del GDPR (e vogliamo ricordare che il Garante per la protezione dei dati personali italiano ha sottolineato come, pur non essendo un adempimento sempre obbligatorio, è fortemente raccomandato a tutti i titolari del trattamento di provvedere alla redazione e tenuta del registro, proprio per poter avere contezza del complesso dei trattamenti effettuati).
In questa fase sarà anche necessario valutare il rispetto del principio di minimizzazione e l’eventuale esistenza di sub-responsabili in Paesi extra-UE.
Interessante evidenziare che in tale documento l’EDPB ha tenuto a precisare che anche l’accesso remoto da un Paese terzo ai dati personali costituisce trasferimento così come l’uso di piattaforme cloud al di fuori dell’Unione.
In seguito alla mappatura è necessario verificare gli strumenti (tra quelli indicati dal GDPR) che sono utilizzati per il trasferimento. In presenza di una decisione di adeguatezza da parte della Commissione Europea non sarà necessario proseguire oltre nell’assessment ed il trasferimento si considererà legittimo (fatta salva la necessità di monitorare la decisione per eventuali revoche o invalidazioni), ricordando che le decisioni possono riguardare un intero Paese terzo oppure specifici settori.
Gli strumenti dell’articolo 46 GDPR
Qualora non sia stata adottata una decisione di adeguatezza ed il trasferimento non sia basato su una delle deroghe di cui all’art. 49 del GDPR (che essendo eccezioni devono essere interpretate restrittivamente e valutate sulla base delle Linee Guida n. 2/2018 dell’EDPB) sarà necessario procedere alla valutazione di uno degli strumenti elencati all’articolo 46 GDPR.
Tale articolo prevede la possibilità di procedere al trasferimento verso il Paese terzo adottando alternativamente: le clausole standard approvate dalla Commissione Europea (cd. standard contract clauses (SCCs)); le norme vincolanti di impresa (o Binding Corporate Rules (BCRs); i codici di condotta; i meccanismi di certificazione; clausole contrattuali ad hoc.
Qualora sia utilizzato uno di tali strumenti la terza fase del DTIA consiste nel valutare se la legislazione del Paese terzo possa incidere sull’efficacia ed effettività di tali garanzie.
In particolare, è necessario tenere conto delle disposizioni che eventualmente autorizzano nel Paese importatore l’accesso ai dati da parte delle autorità pubbliche a fini di sorveglianza “ambigui”. In assenza di leggi sull’accesso ai dati da parte delle autorità pubbliche, l’analisi della legislazione deve tenere conto di fattori oggettivi e rilevanti e, inoltre, deve includere i controlli necessari ed essere documentata secondo il principio di responsabilità.
L’analisi può essere condotta utilizzando la documentazione dell’EDPB, della CEDU, delle decisioni di adeguatezza esistenti, delle risoluzioni delle Nazioni Unite, del Consiglio d’Europa e delle organizzazioni internazionali, della giurisprudenza locale e dei rapporti istituzionali o di ONG.
Misure aggiuntive
Laddove la valutazione di cui al punto precedente individui degli ostacoli all’efficacia delle garanzie per il lecito trasferimento, sarà necessario individuare e adottare misure supplementari anche in collaborazione con il soggetto importatore dei dati.
L’obiettivo di questa fase è di assicurare agli interessati una protezione equivalente a quella loro riconosciuta all’interno dell’Unione Europea, e richiede una valutazione caso per caso di quali misure aggiuntive implementare per ottenere tale risultato.
Le misure aggiuntive possono essere sia organizzative sia tecniche, tenendo conto però del fatto che la prima tipologia non è in grado di risolvere eventuali problematiche derivanti dall’accesso indiscriminato ai dati da parte della pubblica autorità per finalità di sorveglianza o controllo.
In tali ipotesi sarà necessario adottare necessariamente anche misure tecniche, tenuto conto di quanto previsto dalle Linee Guida 2/2020 adottate dall’EDPB relative alle garanzie essenziali per le misure di sorveglianza.
Le ulteriori misure possono riguardare diversi fattori: formato dei dati, natura dei dati, complessità del percorso dei dati, numero di attori coinvolti, trasferimenti successivi.
L’EDPB propone, nell’allegato 2 alle Raccomandazioni, una serie di misure tecniche (crittografia, separazione del trattamento, pseudonimizzazione), contrattuali (trasparenza degli obblighi, diritti delle persone) e organizzative (politica interna, trasparenza, procedure) che dovranno essere documentate e giustificate.
Nel caso in cui l’adozione di tali misure non si riveli sufficiente a ridurre i rischi derivanti dal trasferimento il medesimo non dovrà essere effettuato o, se già attuato, dovrà sospendersi.
A seconda dello strumento utilizzato a garanzia del trasferimento sarà necessario eseguire delle formalità in relazione alle nuove misure individuate.
Clausole contrattuali standard
In caso di utilizzo di clausole contrattuali standard le raccomandazioni precisano che non sarà necessario chiedere un’apposita autorizzazione all’Autorità di controllo per l’adozione di tali ulteriori misure (e sempre che esse non restringano i diritti degli interessati e non contraddicano, direttamente o indirettamente, le previsioni delle clausole standard).
Qualora, invece, si intendano modificare le SCCs sarà necessario richiedere l’autorizzazione dell’Autorità di controllo competente, ai sensi dell’art. 46, 3° comma, lett. a) del GDPR.
L’implementazione delle ulteriori misure nell’ambito delle norme vincolanti di impresa in realtà non è del tutto chiarita dalle raccomandazioni, che si limitano a ribadire l’applicabilità anche a tale strumento delle conseguenze della decisione della Corte di Giustizia Europea, affermando che l’impatto della stessa sulle BCRs è ancora in discussione così come devono esserne valutati gli sulle clausole contrattuali ad hoc.
In tali ambiti rimangono comunque ferme le considerazioni svolte nel documento relativamente agli strumenti di sorveglianza predisposti dalle autorità pubbliche con le conseguenze già esaminate in merito alle SCCs.
L’ultima fase del DTIA consiste nel rivalutare regolarmente i trasferimenti verso i Paesi terzi al fine di verificare se eventuali sviluppi (normativi o regolamentari) adottati negli stessi possano in qualche modo incidere sulle garanzie e misure adottate.
In particolare, è richiesta l’adozione di meccanismi per sospendere immediatamente il trasferimento quando l’importatore non può più rispettare lo strumento adottato e/o le misure aggiuntive si rivelano non più sufficienti a garantire un adeguato livello di protezione degli interessati.
È altresì opportuno sottolineare come il paragrafo n. 78 delle raccomandazioni preveda che i titolari del trattamento potrebbero dover applicare alcune o tutte le misure indipendentemente dal livello di protezione previsto dalle leggi applicabili all’importatore in quanto necessarie per conformarsi agli articoli 25 (privacy by design e by default) e 32 (sicurezza) del GDPR nelle circostanze concrete del trasferimento.
In pratica agli esportatori potrebbe essere richiesto di attuare le misure descritte nelle raccomandazioni anche in presenza di una decisione di adeguatezza, così come i responsabili del trattamento e gli altri soggetti autorizzati potrebbero essere tenuti a implementarle quando i dati vengono elaborati all’interno del SEE.
Dalle Raccomandazioni emerge che sarà sempre necessario svolgere una corretta valutazione di impatto del trasferimento dei dati (DTIA) e valutare l’eventuale combinazione di misure (aggiuntive) tecniche/organizzative/contrattuali; ciò potrà valere sia per i trasferimenti verso paesi extra-UE sia in caso di trasferimento all’interno della UE qualora vi sia la necessità di rispettare elevati standard in materia di privacy by design e sicurezza informatica.
La responsabilizzazione degli operatori
Per concludere, le Raccomandazioni dell’EDPB rinforzano ulteriormente il principio di responsabilizzazione degli operatori che effettuano trattamenti di dati personali, sostanzialmente introducendo accanto agli adempimenti che erano già previsti direttamente all’interno del GDPR, l’esecuzione di ulteriori valutazioni da parte dei titolari e dei responsabili del trattamento basate sull’analisi dei rischi derivanti, prevalentemente, dalla legislazione vigente nel Paese in cui risiede l’importatore rispetto alla protezione dei diritti e libertà fondamentali degli interessati a cui i dati si riferiscono.
Viene da domandarsi se effettivamente un titolare del trattamento sia in grado in totale autonomia di procedere alle valutazioni richieste dalle Raccomandazioni, soprattutto quando si tratti di ponderare l’esistenza di sistemi di sorveglianza statali dei quali, il più delle volte, non si ha notizia pubblica (l’esistenza dei programmi di sorveglianza PRISM e Upstream, espressamente richiamati nella sentenza Schrems II della Corte di Giustizia Europea ad esempio, è stata resa nota solo grazie alle rivelazioni di Edward Snowden che rese pubblica, nel 2013, la documentazione interna della NSA).
