Trasferimento dati extra UE: le raccomandazioni dell’EDPB
26 Novembre 2020
Con la sentenza della Corte di Giustizia dell’Unione Europea (CGUE) dello scorso 16 luglio 2020, c.d. Sentenza Schrems II, è stato invalidato il Privacy Shield, ovvero lo “Scudo per la privacy”, il quale legittimava il trasferimento dei dati personali tra l’Unione Europea e gli Stati Uniti.
Durante questi mesi, moltissimi Titolari del trattamento, si sono dunque ritrovati a dover valutare, modalità alternative per il trasferimento dei dati personali.
Per meglio comprendere i recenti sviluppi, è inoltre importante ricordare che, la Sentenza Schrems II, ha previsto altresì, per i Titolari del trattamento che utilizzano clausole contrattuali standard (SCC), l’“obbligo” di verificare, caso per caso, il livello di protezione dei dati personali trasferiti garantito dalla legislazione del Paese terzo. Livello di protezione che dovrà essere equivalente a quello vigente nello Spazio economico europeo (SEE).
A tal fine, la CGUE, ha autorizzato i titolari del trattamento “esportatori”, c.d. data exporter, a ricorrere a misure supplementari alle clausole contrattuali standard, in tutti quei casi in cui queste ultime siano insufficienti.
A fornire un aiuto concreto in tale situazione di incertezza, interviene l’European Data Protection Board (EDPB), ovvero il Comitato europeo per la protezione dei dati.
Raccomandazioni 01/2020 – EDPB:
In occasione della sua 41° sessione plenaria tenutasi a Bruxelles il 10 novembre 2020, l’European Data Protection Board (di seguito EDPB), ha adottato raccomandazioni sulle misure supplementari che integrano gli strumenti di trasferimento dei dati personali. Il fine è quello di garantire il rispetto del livello di protezione richiesto dall’Unione Europea:
- Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data. Le raccomandazioni sono oggi sottoposte a consultazione pubblica fino al 21 dicembre 2020 e saranno immediatamente applicabili dopo la loro pubblicazione.
Secondo la Presidente dell’EDPB, Andrea Jelinek, l’intento di tali raccomandazioni, è dunque proprio quello di coadiuvare i data exporter, siano essi Titolari o Responsabili del trattamento, nell’individuare ed attuare le necessarie misure supplementari, affinché i dati personali trasferiti godano di un livello di protezione equivalente a quello vigente nello Spazio Economico Europeo (SEE), così da assicurare un’applicazione coerente del GDPR e della Sentenza Schrems II in tutto il territorio.
Ma vediamo ora insieme i punti salienti delle raccomandazioni 01/2020.
Roadmap attività
Le raccomandazioni 01/2020 suggeriscono innanzitutto una roadmap di attività da intraprendere per verificare se un data exporter, Titolare o Responsabile del trattamento, necessita di implementare misure supplementari per trasferire i dati personali extra UE.
Analizziamo di seguito i sei step previsti dalle raccomandazioni:
1. “Know your transfer”, che si traduce nella necessità di effettuare una mappatura dei trasferimenti extra UE posti in essere dal Titolare o dal Responsabile del trattamento, nel rispetto del principio di accountability. Per fare ciò, l’EDPB, suggerisce di far riferimento ai flussi di dati contenuti nel Registro dei trattamenti redatto ai sensi dell’art. 30 GDPR. Nel mappare i trasferimenti, bisogna inoltre tenere in debito conto l’eventuale esistenza di responsabili e/o sub-responsabili extra UE, nonché valutare il rispetto del principio di minimizzazione dei dati. A tal proposito, è importante evidenziare che l’EDPB, precisa come l’accesso remoto da un paese terzo, così come l’archiviazione dei dati in un cloud situato fuori dal SEE, sono da considerarsi allo stesso modo trasferimento di dati personali.
2.Identificare gli strumenti di trasferimento adeguati, tra quelli previsti al capo V del GDPR. Sul punto l’EDPB specifica che, in presenza di una decisione di adeguatezza della Commissione Europea ai sensi dell’art. 45 GDPR, non sono necessarie ulteriori misure, in quanto il trasferimento si considera già legittimo. Chiaramente il data export dovrà, in ogni caso, verificare che la decisione di adeguatezza non sia stata revocata o invalidata. In mancanza di una decisione di adeguatezza della Commissione Europea, il data exporter può trasferire i dati personali verso un paese terzo in presenza di garanzie adeguate ai sensi dell’art. 46 GDPR, ovvero, clausole contrattuali standard (SCC), norme vincolanti d’impresa (BCR), clausole contrattuali tipo, codici di condotta e meccanismi di certificazione. In caso invece di trasferimenti dei dati extra UE “occasionali”, l’EDPB ricorda al Titolare e/o al Responsabile del trattamento la possibilità di ricorrere alle deroghe previste all’art. 49 GDPR.
3. Valutare l’efficacia dello strumento utilizzato per il trasferimento dei dati rispetto al trasferimento che si vuole effettuare in concreto. Quando lo strumento è efficace? Quando è in grado di assicurare nel paese terzo, un livello di protezione dei dati personali trasferiti essenzialmente equivalente a quello garantito nel SEE. L’EDPB ritiene dunque necessario verificare, se del caso, anche con il supporto del data importer (Paese terzo importatore dei dati), la presenza di qualche aspetto nella legislazione o nella prassi di quest’ultimo, che potrebbe in qualche modo pregiudicare la validità dello strumento ex art. 46 GDPR, posto a fondamento del trasferimento dei dati. Il Titolare e/o il Responsabile del trattamento (data exporter), dovranno a questo punto tenere conto delle raccomandazioni 02/2020 dell’EDPB le quali forniscono elementi utili per determinare se vi siano interferenze o meno, e dunque stabilire se adottare o meno misure supplementari. Tale valutazione dovrà essere condotta con diligenza e dovrà essere documentata, nel rispetto del principio di accountability, ovvero di responsabilizzazione.
4.Individuare e adottare misure supplementari nel caso in cui lo strumento di trasferimento ex 46 GDPR utilizzato risulti inefficace a garantire un livello di protezione ai dati personali trasferiti, equivalente a quello vigente nel SEE. Le misure supplementari possono avere natura contrattuale, tecnica o organizzativa. Lo stesso EDPB, propone nell’Allegato 2 delle raccomandazioni 01/2020, un elenco non esaustivo di misure contrattuali, tecniche ed organizzative, che potranno essere prese come esempio dai data exporter, la cui scelta dovrà essere in ogni caso documentata e giustificata.Qualora, nonostante l’adozione di misure supplementari, il livello di protezione non risulti ancora adeguato rispetto agli standard europei, allora il Titolare e/o il Responsabile del trattamento non dovrà iniziare o continuare il trasferimento dei dati
5. Step procedurali, nel caso in cui siano state individuate misure supplementari efficaci. Tali ulteriori passaggi procedurali, variano a seconda dello strumento ex 46 utilizzato.
6. Rivalutare periodicamente il livello di protezione dei dati personali trasferiti. L’EDPB invita i data exporter a monitorare, su base continuativa, i trasferimenti effettuati verso Paesi terzi, al fine di verificare l’eventuale presenza di circostanze che potrebbero impattare negativamente sul livello di protezione iniziale.
A tal fine, l’EDPB, suggerisce di adottare adeguati meccanismi per sospendere immediatamente il trasferimento dei dati nel caso in cui:
- il Paese terzo importatore (data importer) abbia violato o non sia in grado di onorare gli impegni assunti ex 46 GDPR;
- le misure supplementari non risultino più efficaci nel Paese terzo.
Conclusioni
Il processo valutativo, così come sopra descritto, dovrà essere accuratamente documentato da parte dei data exporter, i quali saranno chiamati a rispondere delle decisioni assunte in base ad esso, nel rispetto del principio di responsabilizzazione, ovvero di accountability previsto dal GDPR.
Il prossimo step, sempre relativamente al trasferimento di dati personali extra UE, già intrapreso dall’EDPB durante la 42° sessione plenaria del 19 novembre 2020, riguarda proprio l’adozione di nuove clausole contrattuali standard (SCC) in materia.