Le raccomandazioni dell’EDPB sui trasferimenti dei dati verso Paesi terzi e l’adozione di misure supplementari a seguito della sentenza Schrems II
Come un déjà-vu, la Corte di Giustizia dell’Unione Europea (CGUE) si è recentemente pronunciata sull’invalidità del c.d. Privacy Shield, la decisione di adeguatezza che regolava il trasferimento di dati verso gli Stati Uniti in vigore dal 2016 (implementata al fine di supplire all’invalidazione del suo precursore, il c.d. Safe Harbor), con la decisione adottata nel caso C-311/18, più comunemente nota come “Schrems II”.
In estrema sintesi e rinviando al nostro precedente articolo, la CGUE ha colto l’occasione per riproporre il principio cardine che regola i trasferimenti dei dati personali dall’Unione Europea verso Paesi terzi: il livello di protezione, dato dall’insieme di garanzie adeguate, diritti opponibili e mezzi di ricorso effettivi presenti nel Paese di destinazione, deve essere “sostanzialmente equivalente” a quello garantito all’interno dell’Unione.
Poiché tale sentenza ha comportato l’invalidazione del Privacy Shield, quindi l’immediata cessazione del trasferimento dei dati verso gli Stati Uniti tramite tale meccanismo, professionisti e aziende si sono inevitabilmente ritrovati in una situazione di grande incertezza.
Tuttavia, al fine di far maggior chiarezza, l’European Data Protection Board (EDPB), l’organismo europeo indipendente che contribuisce all’applicazione coerente delle norme sulla protezione dei dati in tutta l’UE e promuove la cooperazione tra le autorità competenti, è intervenuto e ha adottato una raccomandazione sulle misure che possono efficacemente integrare gli strumenti di trasferimento dei dati, col fine ultimo di dare seguito a quanto stabilito dalla giurisprudenza della CGUE nella “saga Schrems”.
Più precisamente, la raccomandazione n. 1/2020 dell’EDPB, oggetto della presente analisi, ha lo scopo di assistere i titolari e i responsabili del trattamento che esportano dati verso Paesi terzi nell’identificazione e implementazione di determinate misure supplementari, proprio al fine di garantire un livello di protezione “sostanzialmente equivalente” a quello garantito all’interno dell’Unione. Infatti, in questo documento, l’organismo europeo suggerisce una serie di stepagli esportatori nonché fornisce un elenco delle misure supplementari ai meccanismi di trasferimento poc’anzi menzionati. Infine, a più riprese, l’EDPB non si esime dal rammentare che è in capo agli esportatori, operanti sia in qualità di titolari che responsabili del trattamento, la responsabilità e l’accountability delle operazioni di trasferimento dati che intendono effettuare verso Paesi terzi, in assenza di una decisione di adeguatezza.
Passiamo ad analizzare singolarmente gli step elaborati dall’EDPB, più precisamente, viene caldamente consigliato agli esportatori di seguire un “percorso”, così articolato:
- Conoscere la portata dei trasferimenti effettuati e che si intendono effettuare, e. mappare i trasferimenti di dati verso Paesi terzi al fine di essere consci, nello specifico, del livello di protezione garantito nel paese di destinazione. Inoltre, si ritiene che questa attività di mappatura possa consentire di effettuare tali trasferimenti di dati limitatamente a ciò che è necessario per le finalità di trattamento nel Paese terzo, in ottemperanza al principio di minimizzazione dei dati;
- Individuare lo strumento che si intende utilizzare per effettuare i trasferimenti di dati, e. se il trasferimento viene effettuato sulla base di una decisione di adeguatezza ex Art. 45 GDPR, una delle misure di sicurezza ex Art. 46 (SCCs, BCRs, codici di condotta, certificazioni e clausole contrattuali ad hoc) o se, nel contesto di un trasferimento occasionale e non ripetitivo e nel rispetto di specifiche condizioni, possa essere invocata una delle deroghe previste dall’Art. 49;
- Verificare se, nel Paese di destinazione e nel contesto di uno specifico trasferimento dati, vi sono normative o pratiche che potrebbero vanificare l’efficacia delle misure adottate dall’esportatore al fine di garantire un livello di protezione adeguato e che potrebbero avere un impatto sui diritti fondamentali degli individui come sanciti della Carta dei Diritti Fondamentali dell’Unione Europea. In particolare, viene richiesto di prestare particolare accortezza quando la normativa applicabile nel Paese terzo relativa all’accesso ai dati personali da parte delle autorità pubbliche è ambigua nonché di valutare il rispetto dei principi dello stato di diritto e l’esistenza di una normativa comprensiva relativa alla protezione dei dati personali e una preposta ed indipendente autorità;
- Identificare e adottare le misure supplementari necessarie a rendere il livello di protezione dei dati trasferiti essenzialmente equivalente a quello garantito negli Stati Membri. Tuttavia, viene sottolineato come questo passaggio sia necessario solamente nei casi in cui l’assessment di cui sopra – condotto dall’esportatore – riveli che la normativa applicabile nel Paese terzo influisca negativamente sull’efficacia dei meccanismi di trasferimento adottati o che si intendono adottare ex Art. 46 GDPR. Inoltre, a tal riguardo, non sorprende come l’EDPB non perda occasione per ribadire, da una parte, la responsabilità e l’accountability in capo agli operatori che intendono trasferire dati verso Paesi terzi in assenza di una decisione di adeguatezza e, dall’altra, che le misure supplementari potrebbero non necessariamente avere la stessa efficacia in tutti i Paesi terzi, richiedendo quindi una valutazione a sé stante caso per caso da parte dell’operatore coinvolto;
- Adottare eventuali procedure formali, ove esse siano necessarie al fine di adottare le misure supplementari e a seconda del meccanismo di trasferimento impiegato. Infatti, a titolo esemplificativo, potrebbe essere necessario consultare le Autorità competenti nell’ipotesi di utilizzo di BCRs come base per il trasferimento, la cui adozione è infatti vincolata a un’apposita e strutturata procedura, sia a livello europeo sia a livello nazionale;
- Valutare nuovamente e continuare a monitorare il livello di protezione garantito ai dati personali trasferiti nel Paese terzo.
Dopo aver indicato gli step da seguire, l’EDPB approfondisce l’attesissimo tema delle misure supplementari – che possono avere natura contrattuale, tecnica od organizzativa – basandosi sull’assunto che l’individuazione e successiva implementazione di tali strumenti debba essere effettuata caso per caso dagli operatori.
Tuttavia, viene chiarito che, generalmente, l’adozione di sole misure contrattuali ed organizzative non possa garantire un livello di protezione essenzialmente equivalente a quello dell’UE, specialmente nelle ipotesi in cui, nel Paese di destinazione, venga effettuato l’accesso ai dati personali da parte di pubbliche autorità. Infatti, viene spiegato come ci possano essere circostanze tali per cui le sole misure tecniche possano prevenire il verificarsi di un simile scenario creando, ad esempio, degli ostacoli fisici all’accesso ai dati o altre ipotesi in cui, a prescindere dalla quantità e dalla qualità delle misure adottate, sarebbe impossibile effettuare un trasferimento dati nel rispetto dei precetti della normativa europea e della relativa giurisprudenza della CGUE.
Pertanto, con lo scopo di supportare gli esportatori, l’EDPB ha fornito una lista, non esaustiva, delle misure supplementari più efficaci, come di seguito riportate:
A. Misure tecniche:
- Cifratura nei casi in cui venga richiesta la conservazione di dati per finalità di back-up e altri scopi che non richiedono l’accesso ai dati in chiaro;
- Pseudonimizzazione dei dati;
- Cifratura dei dati che vengono trasferiti verso Paesi terzi che offrono protezione adeguata transitando prima attraverso un altro Paese terzo;
- Effettuare il trasferimento presso un destinatario “protetto” da una particolare normativa del Paese terzo di destinazione, e.g. con lo scopo di fornire congiuntamente un trattamento medico a un pazienze o consulenza legale a un cliente;
- Effettuare un trattamento e trasferimento frazionato ed attuato coinvolgendo più parti.
Inoltre, l’EDPB ha indicato anche quelle specifiche misure tecniche che non si configurano come efficaci al fine di garantire un trasferimento in sicurezza, fra cui:
- Trasferimento a servizi di cloud o altri responsabili del trattamento che richiedono l’accesso ai dati in chiaro;
- Accesso da remoto ai dati per scopi di business.
B. Misure contrattuali aggiuntive, i.e. impegni contrattuali unilaterali, bilaterali o multilaterali che impongano all’operatore di:
- Utilizzare specifiche misure tecniche identificate dall’esportatore;
- Essere trasparente: indicare in eventuali allegati contrattuali le informazioni che l’importatore deve fornire, ad esempio, le specifiche relative all’accesso ai dati da parte di autorità pubbliche, indicando i relativi riferimenti normativi;
- Vagliare la legittimità di ogni ordine ricevuto dalle autorità pubbliche che imponga di rendere accessibili i dati alle stesse ed eventualmente impugnare tale atto se illegittimo;
- Garantire agli individui l’esercizio dei propri diritti attraverso specifiche clausole che sottopongano l’acceso ai dati in chiaro al consenso dell’esportatore e/o dell’individuo;
- Notificare prontamente il soggetto nel caso in cui riceva un ordine di accesso ai dati da parte di autorità pubbliche.
C. Misure organizzative:
- Adozione di policy interne per la regolamentazione dei trasferimenti, specialmente nel contesto di gruppi societari, contenenti e che implichino:
- una ripartizione chiara delle responsabilità per il trasferimento di dati;
- la predisposizione di canali appositi e di procedure standard per riportare le richieste di accesso ai dati effettuati dalle autorità pubbliche;
- la creazione di un apposito dipartimento, all’interno delle società del gruppo e basato nello Spazio Economico Europeo (SEE), composto da esperti legali e IT;
- Misure per la trasparenza e accountability:
- documentare le richieste di accesso da parte delle autorità pubbliche e il relativo responso nonché le sottostanti ragioni giuridiche, gli attori coinvolti e rendere nota tale documentazione all’esportatore di dati;
- pubblicazione regolare di report sulla trasparenza e riguardanti le richieste governative di accesso ai dati, compatibilmente con la normativa locale;
- Misure organizzative e di minimizzazione dei dati;
- Adozione di standard e best practice.
In conclusione, dopo aver riportato le misure contenute nella raccomandazione in esame, preme sottolineare che, come tutte le altre raccomandazioni dell’EDPB, tale documento non è vincolante e che, essendo aperto a consultazione pubblica fino al 30 Novembre 2020, potrebbe essere potenzialmente modificato nel futuro prossimo.
Pertanto, potranno verificarsi importanti novità, tanto in ambito regolamentare quanto dal punto di vista pratico ed operativo, che si auspica portino ad un quadro normativo più chiaro, nella speranza di poter effettuare i trasferimenti di dati verso Paesi terzi con maggiore sicurezza, sia per gli operatori quanto per i soggetti interessati.