Trasferimenti di dati all'estero: reazione in tre mosse per l'export di dati fuori dall'Ue
Reazione in tre mosse per l'export di dati fuori dall'Europa: esaminare se effettivamente c'è bisogno dei servizi di un fornitore extra Ue verificare con un'analisi «caso per caso» se la privacy è adeguatamente tutelata nel paese terzo; in caso negativo, rinegoziare eventuali clausole contrattuali, passare a un'altra base giuridica o cessare il trasferimento dei dati. Queste in sintesi le risposte del Comitato europeo per la protezione dei dati ai quesiti più frequenti sugli effetti della sentenza della Cgue sul Privacy Shield.
Molte indicazioni operative sono anche reperibili sul sito www.noyb.eu (facente capo ai soggetti che hanno promosso l'azione che ha condotto alla sentenza della Cgue del 16 luglio 2020), in cui sono messi a disposizione anche alcuni fac simile.
A parte l'opzione (teorica, molto spesso) di cambiare fornitore, sul sito noyb.eu si trova un'elencazione esemplificativa dei servizi direttamente interessati, un elenco non esaustivo dei provider statunitensi che sono toccati dalla pronuncia della Cgue, nonché un questionario da inviare al fornitore Usa per appurare se si rientri nel campo di applicazione della sentenza europea.
Passiamo, ora, alla sintesi delle Faq del Comitato Ue per la protezione dei dati.
Che fare. I trasferimenti sulla base di tale quadro giuridico sono illegali. Qualora si desideri continuare a trasferire i dati verso gli Stati Uniti, occorre verificare se ciò sia possibile ad altre condizioni (fonte: Edpb, Comitato Europeo per la protezione dei dati).
Clausole contrattuali standard (Scc). La Cgue ha rilevato che la normativa degli Stati Uniti non garantisce un livello di protezione sostanzialmente equivalente. La possibilità o meno di trasferire dati personali sulla base di Scc dipende dall'esito della valutazione che si dovrà compiere, tenuto conto delle circostanze del trasferimento e delle misure supplementari eventualmente messe in atto. Le misure supplementari unitamente alle Scc, alla luce di un'analisi caso per caso delle circostanze del trasferimento, dovrebbero garantire che la normativa statunitense non interferisca con l'adeguato livello di protezione garantito dalle Scc e dalle misure supplementari stesse. Se si è giunti alla conclusione che, tenuto conto delle circostanze del trasferimento e delle eventuali misure supplementari, non vi sarebbero adeguate garanzie, occorre sospendere o porre fine al trasferimento di dati personali. Tuttavia, se si intende continuare ciononostante a trasferire i dati, occorre informarne l'autorità di controllo competente (fonte: Edpb).
Norme vincolanti di impresa. La possibilità di trasferire i dati personali sulla base delle norme vincolanti d'impresa dipenderà dal risultato della valutazione eseguita, tenendo conto delle circostanze dei trasferimenti e delle misure supplementari eventualmente attuabili. Tali misure supplementari unitamente alle norme vincolanti d'impresa, previa analisi caso per caso delle circostanze del trasferimento, dovrebbero assicurare che la legislazione statunitense non interferisca con il livello di protezione adeguato dalle stesse garantito. Qualora si giunga alla conclusione che, tenuto conto delle circostanze del trasferimento e delle possibili misure supplementari, non sarebbero assicurate garanzie adeguate, vi è l'obbligo di sospendere o cessare il trasferimento dei dati personali. Se si intende tuttavia continuare il trasferimento dei dati a dispetto di questa conclusione, è obbligatorio informare l'autorità di controllo competente.
Consenso. È ancora possibile trasferire dati dalla Ue agli Stati Uniti sulla base delle deroghe previste dall'articolo 49 del Gdpr, purché siano soddisfatte le condizioni di cui a tale articolo. In particolare, è opportuno ricordare che i trasferimenti possono essere basati sul consenso esplicito dell'interessato, con le cautele specificate dal citato articolo 49. (fonte Edpb).
Altri casi. Per quanto riguarda i trasferimenti necessari all'esecuzione di un contratto tra l'interessato e il titolare del trattamento, occorre tenere presente che i dati personali possono essere trasferiti solo su base occasionale. Dovrebbe essere stabilito caso per caso se i trasferimenti di dati in questione abbiano natura «occasionale» ovvero «non occasionale». In ogni caso, tale deroga può essere invocata solo quando il trasferimento è oggettivamente necessario all'esecuzione del contratto.
In relazione ai trasferimenti necessari per importanti motivi di interesse pubblico, il Comitato europeo per la protezione dei dati ricorda che il requisito essenziale per l'applicabilità di tale deroga è la constatazione della sussistenza di importanti motivi di interesse pubblico, e non già la natura del soggetto coinvolto nel trasferimento, e che, sebbene tale deroga non sia limitata ai trasferimenti di dati aventi natura «occasionale», ciò non significa che i trasferimenti di dati sulla base della deroga relativa alla sussistenza di importanti motivi di interesse pubblico possano configurarsi su larga scala e in modo sistematico. Occorre rispettare il principio generale per cui le deroghe non dovrebbero trasformarsi di fatto in una regola, essendo necessario limitarne l'applicazione a situazioni specifiche e purché ogni esportatore di dati garantisca che il trasferimento soddisfa un rigoroso test di necessità (fonte: Edpb).
Responsabile esterno. È il caso di chi si stia avvalendo di un responsabile del trattamento per dati mediante un contratto firmato che indica la possibilità di trasferire i dati verso gli Stati Uniti o un altro paese terzo.
Qualora i dati possano essere trasferiti verso gli Stati Uniti e non siano prevedibili misure supplementari atte a garantire che la legislazione statunitense non interferisca con il livello di protezione sostanzialmente equivalente a quello garantito nella Ue fornito dagli strumenti di trasferimento, né si applichino le deroghe di cui all'articolo 49 del Gdpr, l'unica soluzione è negoziare una modifica o una clausola supplementare al contratto al fine di vietare i trasferimenti verso gli Stati Uniti.
Non solo la conservazione, ma anche l'amministrazione dei dati deve avvenire in un luogo diverso dagli Stati Uniti (fonte Edpb).
di Antonio Ciccia Messina (Italia Oggi Sette del 7 settembre 2020)