La decisione della Corte di Giustizia dell’unione Europea (CGUE) di luglio, la cd. sentenza Schrems II, ha provocato una deflagrazione normativa in relazione ai trasferimenti internazionali di dati personali al di fuori dello spazio economico europeo e, almeno inizialmente, ha fornito più domande che risposte. Tuttavia, ad alcune di queste è stata data risposta in seguito alle successive pubblicazioni del Comitato europeo per la protezione dei dati (“EDPB”). Inoltre, la Commissione europea ha recentemente pubblicato una bozza delle clausole contrattuali standard aggiornate per il trasferimento dei dati personali a paesi non SEE (“SCC”).
Come riconosciuto dall’EDPB nella sua bozza di Raccomandazioni 1/2020 (“Raccomandazioni EDPB”), la mappatura dei dati è il primo passo che tutte le organizzazioni che trasferiscono dati personali al di fuori del SEE dovrebbero intraprendere. L’EDPB riconosce la complessità della registrazione e della mappatura di tutti i trasferimenti di dati, ma richiede comunque un approccio dettagliato, che tenga conto dei trasferimenti successivi, dei requisiti di minimizzazione dei dati e dell’identificazione del luogo in cui vengono utilizzati i servizi cloud. Molte organizzazioni dispongono di processi di mappatura dei dati integrati nei loro programmi di conformità, dati i requisiti del GDPR relativi ai record di elaborazione e trasparenza, e quindi questi potrebbero già essere sufficienti, o almeno un buon punto di partenza.
Se già esiste una decisione di adeguatezza per un paese non SEE, non sono necessarie ulteriori valutazioni o passaggi per procedere al trasferimento. Inoltre, sebbene l’EDPB ci ricordi che le deroghe (ad esempio il consenso esplicito o l’esecuzione di un contratto) sono limitate e solo per trasferimenti occasionali, sembrerebbe che, se applicabile, l’EDPB considera qualsiasi ulteriore valutazione altrettanto inutile.
Le raccomandazioni dell’EDPB definiscono un approccio graduale per gli esportatori di dati per aiutarli a determinare se i loro trasferimenti di dati personali al di fuori del SEE possono procedere in conformità con il diritto dell’UE. L’obiettivo in questo caso è verificare, prima di qualsiasi trasferimento, che il livello di protezione dei dati personali nel paese destinatario sia “sostanzialmente equivalente” al livello di protezione previsto dal diritto dell’UE.
Per i trasferimenti che si basano su SCC (o qualsiasi altro strumento di trasferimento diverso dall’adeguatezza o dalle deroghe), i passaggi rimanenti includono:
- valutare le leggi o le prassi del paese destinatario;
- adottare le misure supplementari necessarie;
- adottare le misure procedurali formali richieste dalle misure supplementari; e
- riesaminare regolarmente il livello di protezione nei paesi destinatari a cui vengono trasferiti i dati.
L’EDPB afferma che gli esportatori di dati devono valutare, se del caso in collaborazione con l’importatore, se c’è qualcosa nella legge o nella prassi del paese terzo che può pregiudicare l’efficacia dello strumento di trasferimento invocato, nel contesto di ogni trasferimento specifico . Ciò significa valutare e documentare le circostanze specifiche del trasferimento (ad esempio entità coinvolte, scopo, settore del destinatario, tipo di accesso, ecc.), Ma anche, cosa più importante, valutare le leggi e le prassi del paese terzo. Quelle relative all’accesso da parte delle autorità pubbliche ai dati personali a fini di sorveglianza saranno particolarmente, anche se non esclusivamente, rilevanti. Questa è un’area che potrebbe causare qualche preoccupazione e difficoltà per le organizzazioni, dato quanto possono essere opache le misure di sorveglianza in alcuni paesi.
L’EDPB fornisce alcune indicazioni su come valutare le misure di sorveglianza nelle sue Raccomandazioni 2/2020 sulle garanzie essenziali europee per le misure di sorveglianza (adottate il 10 novembre), specificando che l’interferenza da parte delle misure di sorveglianza con il diritto alla riservatezza dei dati personali è giustificabile solo in presenza di determinate garanzie essenziali.
Secondo la CGUE e l’EDPB, le misure di sorveglianza negli Stati Uniti (in particolare la sezione 702 FISA e l’ordine esecutivo 12 333) non sono sufficientemente limitate né prevedono un ricorso efficace per i singoli per far valere i propri diritti, come richiesto dal diritto dell’UE. Sarà quindi particolarmente importante garantire l’adozione di solide misure supplementari, anche se ciò potrebbe non essere sempre sufficiente a seconda del trasferimento in questione.
L’EDPB e la Commissione UE hanno adottato approcci leggermente diversi sulla questione se un’organizzazione possa tenere conto della probabilità che le autorità pubbliche accedano ai dati. Si spera che questo venga chiarito nelle versioni finali.
Le misure supplementari “colmano le lacune” laddove le leggi di un paese terzo, unitamente all’attuazione di adeguate garanzie, non soddisfano il livello richiesto. I progetti di misure supplementari dell’EDPB non sorprenderanno coloro che monitorano e commentano il tema dei trasferimenti internazionali da luglio, poiché riguardano, tra le altre cose, la crittografia, la minimizzazione dei dati e la comunicazione contrattuale delle richieste di sorveglianza.
Utilmente, sono inclusi studi di casi che mostrano come potrebbero essere applicate le misure supplementari. Tuttavia, in alcune situazioni, l’EDPB afferma di non poter prevedere che eventuali garanzie aggiuntive siano sufficienti (ad es. Servizi cloud negli Stati Uniti in cui vi è accesso ai dati o trasferimento infragruppo dei dati delle risorse umane a una società madre statunitense).
Il 30 novembre 2020 si è concluso il periodo di consultazione pubblica delle Raccomandazioni e le stesse saranno applicabili immediatamente dopo la loro pubblicazione in forma definitiva.
La Commissione Europea ha pubblicato poi le bozze delle SCC aggiornate. Queste coprono l’intera gamma degli scenari di trasferimento di cui le organizzazioni potrebbero aver bisogno, inclusi quelli da Responsabile a Titolare e da Responsabile a sub-Responsabile. La consultazione si conclude il 10 dicembre. A seguito della sentenza Schrems II molte organizzazioni hanno optato per un approccio attendista. Sebbene sia possibile giustificare questo approccio fino a quando le raccomandazioni dell’EDPB non saranno nella forma definitiva, è chiaro che il tempo sta rapidamente scadendo e le organizzazioni farebbero quindi bene a iniziare a pianificare quanto prima la propria strategia di adeguamento.
