Trasferimento dati personali oltreoceano, si apre uno spiraglio dopo l'invalidazione del Privacy Shield
Dopo l’invalidazione del Privacy Shield, decisa dalla Corte di Giustizia dell’UE il 16 luglio 2020 nella causa C-311/18, (nota come "Schrems II"), migliaia di imprese ed enti che si scambiano informazioni con i propri partner d’oltreoceano rischiano di affogare nelle sopraggiunte complicazioni per il trasferimento di dati all’estero. Ma adesso un prezioso salvagente arriva dall’European Data Protection Board con le misure supplementari richieste per ricorrere lecitamente alle clausole contrattuali standard (SCC).
(Nella foto: Nicola Bernardi, presidente di Fedeprivacy)
Durante la sua 41esima sessione plenaria, il Comitato Europeo per la Protezione dei Dati ha infatti adottato le proprie raccomandazioni sulle misure supplementari che i titolari del trattamento devono attuare al fine di garantire il rispetto del livello di protezione richiesto dal diritto dell’Unione Europea quando intendono ricorrere alle clausole tipo della Commissione UE ai sensi dell’art. 46, par. 2, lettera c) del Gdpr per legittimare il trasferimento dei dati.
Come indicava infatti la sentenza Schrems II, è data la possibilità agli esportatori di dati personali di adottare adeguate misure supplementari che potrebbero colmare le lacune della normativa del paese di destinazione e consentire un livello di protezione sostanzialmente equivalente come richiesto dal diritto dell'UE, tuttavia questa previsione aveva lasciato finora molti interrogativi.
Dopo quattro mesi di attesa, l’11 novembre 2020 l’European Data Protection Board apre finalmente uno spiraglio con la pubblicazione delle Raccomandazioni 01/2020, che hanno l'obiettivo di aiutare gli esportatori di dati nell'individuazione, caso per caso, di adeguate misure supplementari e nella valutazione dei paesi terzi, delineando una serie passaggi chiave da seguire attentamente, indicando anche alcune potenziali fonti di informazioni con alcuni esempi che possono essere utili per le imprese interessate, che a questo punto sono chiamate a rimboccarsi le maniche.
Di seguito la sintesi dei sei passaggi chiave indicati nella roadmap delle raccomandazioni del board dei garanti europei:
1. Censimento dei trasferimenti - L'European Data Protection Board consiglia di fare una mappatura di tutti i trasferimenti di dati personali verso paesi terzi. Ciascun trasferimento dovrebbe essere verificato per adeguatezza e pertinenza, e dovrebbe essere limitato nel rispetto del principio di “minimizzazione”.
2. Identificazione degli strumenti di trasferimento da utilizzare - Per i trasferimenti verso paesi terzi che hanno ottenuto una decisione di adeguatezza, non sono necessarie ulteriori misure. In mancanza di una decisione di adeguatezza, se il trasferimento è regolare e ripetitivo è invece necessario basarsi su uno degli strumenti previsti dall'articolo 46 Gdpr. Per i trasferimenti occasionali, potrebbe essere possibile affidarsi ad una deroga ai sensi dell'art. 49 del Regolamento UE.
3. Valutazione dell’efficacia dello strumento individuato per il trasferimento – L’Edpb richiede ai titolari del trattamento di valutare con la dovuta diligenza e sotto la loro responsabilità, se qualcosa nella legislazione applicabile o nella prassi del paese terzo possa avere un impatto negativo sul livello di protezione e influenzare l'efficacia delle garanzie appropriate dello strumento di trasferimento individuato nell’art.46 del Gdpr.
4. Adozione misure supplementari - È necessario individuare e adottare misure supplementari che possano consentire, caso per caso, che il livello di protezione dei dati trasferiti sia sostanzialmente equivalente a quello dell'UE. La valutazione di potenziali misure supplementari dovrebbe essere documentata ed eseguita con la dovuta diligenza, attingendo agli esempi contenuti nell'Allegato 2 delle Raccomandazioni 01/2020. In alcuni casi, queste misure potrebbero essere adottate anche in modo combinato, mentre in altri casi potrebbero non essere disponibili misure supplementari adeguate che possano legittimare uno specifico trasferimento.
5. Fasi procedurali - Se sono state individuate misure supplementari efficaci, il titolare del trattamento dovrebbe quindi adottare le misure richieste, che potranno essere di natura contrattuale, tecnica o organizzativa, come specificato nelle raccomandazioni dell’Edpb. In alcuni casi, potrebbe anche rendersi necessario consultare l’autorità di controllo competente.
6. Audit periodici - Secondo il principio di accountability, è necessario rivalutare a intervalli regolari il livello di protezione offerto ai dati trasferiti a paesi terzi e monitorare attraverso audit periodici se vi siano stati o vi saranno sviluppi che potrebbero avere un impatto negativo sul livello di protezione fornito dallo strumento di trasferimento utilizzato.
Come dichiarato nel comunicato stampa dell’11 novembre 2020, l’auspicio dell’European Data Protection Board è che le raccomandazioni, attualmente in consultazione pubblica, possano aiutare imprese ed enti a identificare e attuare misure supplementari efficaci laddove siano necessarie, e consentire trasferimenti legittimi di dati personali a paesi terzi garantendo al contempo che ai dati trasferiti sia assicurato un livello di protezione essenzialmente equivalente a quello garantito all'interno dello Spazio Economico Europeo.
In attesa naturalmente che, dopo le invalidazioni prima del Safe Harbor e poi del Privacy Shield, Ue e Usa possano trovare nel medio termine un nuovo accordo per consentire stabilmente la libera circolazione dei dati personali garantendo al contempo le necessarie garanzie per gli interessati.