La Sentenza Schrems II e le linee guida dell’EDPB
La Corte UE a luglio si pronuncia sul Privacy Shield e gli effetti sui trasferimenti extra-UE dei dati personali. L’11 novembre l’EDPB adotta raccomandazioni.
Lo scorso 16 luglio, la Corte di Giustizia dell’Unione europea (CGUE) si è pronunciata in merito al regime di trasferimento dei dati tra l’Unione europea e gli Stati Uniti, invalidando la decisione di adeguatezza del cosiddetto “Privacy Shield”, ovvero lo “scudo per la privacy” tra UE e USA adottato nel 2016 dalla Commissione europea. Lo scudo consisteva in un meccanismo di autocertificazione per le società stabilite negli USA che intendevano ricevere dati personali dall’Unione europea con il quale le società si impegnavano a rispettare i principi in esso contenuti e a fornire agli interessati adeguati strumenti di tutela.
Nella stessa sentenza, la CGUE ha inoltre ritenuto valida la decisione 2010/87 relativa alle clausole contrattuali tipo per il trasferimento di dati personali (la cosiddetta decisione SCC – Standard Contractual Clauses) a incaricati del trattamento stabiliti in Paesi terzi.
Le disposizioni contenute nel GDPR
Per poter analizzare la sentenza “Schrems II” e comprenderne le conseguenze pratiche, è opportuno ricordare le disposizioni contenute nel Capo V del GDPR, che disciplina il trasferimento dei dati personali verso paesi terzi.
Il Capo V del GDPR contiene una serie di disposizioni che tengono conto di due esigenze all’apparenza contrapposte:
- da un lato, che i flussi di dati personali da e verso paesi extra UE sono necessari per l’espansione del commercio internazionale e della cooperazione internazionale, e vanno quindi agevolati;
- dall’altro il principio per cui, quando i dati personali sono trasferiti al di fuori dell’Unione, il livello di tutela delle persone fisiche assicurato nell’Unione dal GDPR non debba essere compromesso. D’altra parte, la protezione delle persone fisiche – con riguardo al trattamento dei dati personali – è un diritto fondamentale sancito dalla Carta dei Diritti fondamentali dell’Unione Europea.
Per cercare di conciliare queste due esigenze, il Capo V del GDPR prevede una serie di norme, specificatamente quelle che disciplinano le “decisioni di adeguatezza” (art. 45), le “garanzie adeguate” (art. 46) e le “deroghe in casi particolari” (art. 49).
In particolare, l’art. 46 GDPR stabilisce che il trasferimento di dati oltreoceano possa trovare fondamento anche su garanzie adeguate di protezione e tutela per il trasferimento stesso.
Sulla base di questa normativa, sembrerebbe quindi plausibile credere di poter continuare legittimamente ad avvalersi delle Standard Contractual Clauses (clausole contrattuali standard) approvate dalla Commissione europea.
Ma anche sulla validità di queste clausole è intervenuta la sentenza Schrems II che, oltre ad invalidare – come anticipato – il Privacy Shield si è pronunciata anche sull’idoneità delle clausole standard di protezione dei dati a regolare e legittimare il trasferimento di dati fuori dallo spazio economico europeo, vincolando il loro utilizzo ad efficaci meccanismi che garantiscano livelli di protezione equivalenti a quelli predisposti dal GDPR.
L’onere in capo all’esportatore
L’avviso della Corte rivolto all’esportatore è chiaro: spetta a lui (che sia il titolare o il responsabile del trattamento) prevedere le garanzie adeguate.
E’ quanto evidenziato anche dall’EDPB (European Data Protection Board) che l’11 novembre ha adottato raccomandazioni sulle misure che integrano gli strumenti di trasferimento dei dati e che sono utili per garantire il rispetto del livello di protezione dati stabilito dal GDPR.
Le raccomandazioni hanno l’obiettivo di aiutare gli esportatori di dati nell’individuazione, caso per caso, di misure di sicurezza e procedure idonee ad assicurare il rispetto della protezione dei dati.
E’ stato individuato un elenco (anche se non esaustivo) di esempi di misure di sicurezza supplementari che possono essere adottate dall’esportatore per protezione dei dati oltreoceano:
- Mappatura dei trasferimenti dei dati – e’ la base per poter procedere con l’identificazione delle misure successive. L’European Data Protection Board consiglia di fare una mappatura di tutti i trasferimenti di dati personali verso paesi terzi;
- Verifica del trasferimento – ll trasferimento deve rispondere ai principi di adeguatezza e pertinenza, e dovrebbe essere limitato nel rispetto del principio di “minimizzazione”;
- Decisione di adeguatezza – per i trasferimenti verso paesi terzi che hanno ottenuto una decisione di adeguatezza, non sono necessarie ulteriori misure;
- Altre misure – In mancanza di una decisione di adeguatezza, se il trasferimento è regolare e ripetitivo è invece necessario basarsi su uno degli strumenti previsti dall’articolo 46 GDPR;
- Analizzare lo strumento individuato per il trasferimento – L’EDPB richiede agli esportatori di analizzare le misure di sicurezza dello strumento di trasferimento e le garanzie in merito alla protezione dei dati;
- Adozione di misure supplementari – È necessario individuare e adottare misure supplementari che possano consentire, caso per caso, che il livello di protezione dei dati trasferiti sia sostanzialmente equivalente a quello dell’UE;
- Fasi procedurali – Se sono state individuate misure supplementari efficaci, l’esportatore dovrebbe quindi adottare le misure richieste. Le misure devono essere di natura contrattuale, tecnica e organizzativa;
- Audit periodici – Secondo quanto stabilito dal GDPR, in particolare nel rispetto dell’Art. 24 o 28, è necessario rivalutare a intervalli regolari il livello di protezione offerto.
Proprio da tali considerazioni e ultime raccomandazioni deriva l’onere in capo all’esportatore (nella persona del titolare o del responsabile) di effettuare le necessarie valutazioni al fine di verificare, caso per caso, se il diritto del paese terzo di destinazione garantisce una protezione adeguata dei dati personali trasferiti sulla base di clausole tipo di protezione dei dati e se sia necessario completare le garanzie contenute nelle dette clausole tipo mediante l’adozione di misure supplementari.
Qualora l’esportatore, stabilito nell’Unione, non possa adottare misure supplementari sufficienti a garantire tale protezione, questi o, in subordine, l’autorità di controllo competente, è tenuto a sospendere o mettere fine al trasferimento di dati personali verso il paese terzo interessato (compreso gli USA).
Inoltre, la decisione impone al suddetto destinatario di informare l’esportatore dei dati della sua eventuale impossibilità di conformarsi alle clausole tipo di protezione, con l’onere, in tal caso, per quest’ultimo di sospendere il trasferimento di dati e/o di risolvere il contratto concluso con il primo.
È evidente che, sulla scorta di questa pronuncia e sulle recenti raccomandazioni, imprese ed operatori economici sono chiamati ad effettuare un penetrante esame ogni volta che debbano programmare trasferimenti di dati in assenza di decisioni di adeguatezza rilasciati dalla Commissione europea.
Si tratta di valutazioni che richiedono l’assistenza di un professionista in grado di valutare caso per caso se il trasferimento risponda alle indicazioni sopra esaminate.
Contattaci per un primo colloquio dove esporci le tue necessità e capiremo insieme quali interventi mettere in atto per apprestare un audit necessario ad individuare potenziali criticità ed eventuali soluzioni.