IL TRASFERIMENTO DI DATI PERSONALI E LO SCENARIO EUROPEO DOPO L’ABOLIZIONE DEL PRIVACY SHIELD. COSA FARE.

 

Sommario. 

1 – IL REGOLAMENTO EUROPEO 679/2016

1.1 – Dove e a chi si applica il regolamento

1.2 – A cosa si applica il regolamento

2 – LE REGOLE PER IL TRASFERIMENTO DI DATI PERSONALI

2.1 – LE CONDIZIONI PER I TRASFERIMENTI

2.1. a – Decisione di adeguatezza

2.1. b – Le garanzie adeguate. Binding Corporate Rules (BCR)

2.1. c – Standard Contractual Clauses

2.1. d – Meccanismi di certificazione, Codici di condotta  e altre garanzie

2.1. e – Le deroghe 

3 – L’ABOLIZIONE DEL PRIVACY SHIELD

3.1 – L’antefatto

3.2. – L’invalidazione del Privacy Shield

4 – L’ORIENTAMENTO DEL BOARD EUROPEO

4.1. – LE FAQ 

4.2. – LE RECOMMENDATIONS DELL’EDPB

5 – LE INDICAZIONI DEL SUPERVISOR EUROPEO (EDPS)

6 – LE NUOVE SCCs

7 – COSA FARE

 

1. IL REGOLAMENTO EUROPEO 679/2016

Il Regolamento Europeo 679/2016, il cosiddetto GDPR, ha come scopo principale quello di proteggere le persone fisiche mediante un’attenta e capillare tutela delle informazioni che le riguardano; nel contempo mira a sviluppare e a facilitare i flussi informativi, imprescindibili in quella che Luciano Floridi ha chiamato la quarta rivoluzione dell’essere umano, l’“infosfera”.

Questa protezione, demandata certamente anche al controllo e alla supervisione delle autorità garanti, è in prima battuta posta a carico degli operatori commerciali e professionali che nell’ambito delle loro attività utilizzano, ossia trattano, dati personali.

I recenti sviluppi dovuti all’abolizione del Privacy Shield che apprestava uno “scudo” ai trasferimenti transfrontalieri con gli Stati Uniti e le recenti prese di posizione dell’EDPS (il Garante Europeo), dell’EDPB (il Comitato dei Garanti Europei) e la recentissima nuova edizione delle Clausole Contrattuali Standard da parte della Commissione Europea, mettono le imprese di fronte alla necessità di prendere decisioni attente e ponderate. 

Una veloce e incompleta carrellata sulle regole generali ci consentirà di affrontare gli ultimi sviluppi, analizzarne le conseguenze e valutare come adattarsi al nuovo quadro normativo.

 

1.1. Dove e a chi si applica il Regolamento

La protezione che l’Unione Europea ha voluto assicurare alle informazioni riguardanti una persona fisica identificata o identificabile (questa la definizione di “dati personali”) è tale per cui il Regolamento si applica ai trattamenti di dati personali: 

  1.  effettuati (per autonoma e indipendente scelta da un Titolare, oppure da un Responsabile per conto di altri) da soggetti, enti, aziende, gruppi “stabiliti” in Europa (ossia che  abbiano uno “stabilimento” nello Spazio Economico Europeo), oppure nel caso in cui le attività svolte, pur extra UE, siano “inestricabilmente” e concretamente “connesse” con attività o effetti di attività svolte nell’Unione. Il Regolamento si applica inoltre quando venga effettuato
  2. il targeting di soggetti (interessati, data subjects in inglese) che si trovino nell’Unione Europea, indipendentemente dalla loro nazionalità, oppure a tali soggetti siano offerti, mediante i cosiddetti servizi della società dell’informazione (Dir. 2015/1535) beni o servizi, con particolare riferimento alla possibilità di “intercettarli” come clienti offrendo loro pagamenti in euro, consegne a domicilio o comunque beni e servizi “pensati” per i cittadini in Europa o, ancora più concretamente, mediante vero e proprio monitoraggio elettronico (attraverso targeting, behavioural advertising, geolocalizzazione, tracciamente con cookie, ecc.).
  3. Il Regolamento è infine operante allorché sia applicabile la legge di uno Stato membro in virtù di una norma di diritto internazionale pubblico (come avviene su una nave, in un Consolato, ecc.; per dettagli: EDPB Guidelines on territorial scope, 3/2018).

Ne deriva che, di fatto, il Regolamento Europeo si applica praticamente nella stragrande maggioranza delle attività commerciali, di impresa e professionali:

  • effettuate da soggetti europei (stable arrangements) o 
  • effettuate anche mediante enti che, pur soggetti ad un diritto extra UE, con quest’ultima abbiano una connessione concreta: o perché ivi hanno una sede o uno stabilimento, o
  • perché, pur da un altro Paese, offrano beni e servizi o 
  • in qualche modo “monitorino” comportamenti che avvengono in Europa.

 

1.2. A COSA SI APPLICA IL REGOLAMENTO

Il GDPR si applica al trattamento dei dati personali interamente o parzialmente automatizzato (e pertanto con qualsiasi strumento o device elettronico) e al trattamento che non sia effettuato per motivi esclusivamente personali (household exemption), indipendentemente dalla finalità di lucro e con particolare riferimento al contesto in cui avviene il trattamento: se il trattamento di dati personali è destinato, in qualche modo, a “circolare” presso una platea indeterminata di soggetti, anche tale trattamento dovrà essere considerato soggetto all’ambito di applicazione “materiale” del Regolamento (come avviene, per esempio, nel caso di pubblicazione di dati personali di soggetti privati ma accessibili a chiunque su una pagina social). 

 

2 – LE REGOLE PER IL TRASFERIMENTO DI DATI PERSONALI

La regola generale per il trasferimento prevede che qualsiasi trasferimento di dati personali oggetto di trattamento, o destinati a essere oggetto di trattamento dopo il trasferimento, compresi i successivi eventuali trasferimenti (dal Paese terzo), possa avere luogo solo se siano rispettate alcune condizioni. 

Il GDPR esplicita chiaramente che le regole che stiamo per esaminare devono essere applicate per “assicurare che il livello di protezione delle persone fisiche garantito dal Regolamento stesso non sia pregiudicato” (Art. 44).  

L’aspirazione, che diviene pretesa normativa, è quella per cui l’elevato livello di tutela dei diritti e delle libertà fondamentali assicurato agli interessati che si trovino nell’Unione da parte del GDPR sia, a certe condizioni, assicurato anche allorché i loro dati personali siano in qualche modo trattati all’esterno del perimetro dello Spazio Economico Europeo (gli attuali 27 Stati membri oltre a Islanda, Norvegia, Liechtenstein).

Sull’assunto che il dato personale, “in Europa”, sia in un certo senso “più sicuro” (Bolognini), le norme prevedono che ogni qualvolta esso “esca”, materialmente o immaterialmente dal territorio, si debbano, come anticipato, osservare determinate garanzie.

Mentre la semplice pubblicazione (inserimento) di dati personali da parte di un utente su di un sito internet, caricata mediante il proprio internet service provider, laddove questo provider sia stabilito nel territorio dell’Unione, non è considerata trasferimento di dati personali (anche se tali dati possano di conseguenza essere poi “trasferiti”, dal provider, a un destinatario extra UE che possa averne accesso: v. sentenza CJEU C-101/01), vi sono invece innumerevoli e frequenti circostanze in cui il trasferimento di dati a un Paese extra UE deve essere considerato sussistente: una vasta mole di trattamenti di dati personali che le aziende effettuano abitualmente e continuativamente è tale perché eseguita mediante trasferimenti a soggetti, enti, aziende, gruppi, situati in Paesi extra-europei o, comunque, sottoposti a leggi extraeuropee, come avviene nell’ipotesi in cui un fornitore statunitense, per fornire servizi ad aziende europee, abbia “stabilito” una propria sede in Europa e qui siano situati alcuni server.

Il GDPR, dunque e in ciò sta anche una parte della sua portata rivoluzionaria (Panetta), si applica a tutti i trattamenti effettuati da titolari (data controllers) o da responsabili (data processors) non solo “established” nell’Unione, ma anche al di fuori di essa, laddove tali trattamenti consistano nell’offerta di beni e servizi, anche gratuiti, a soggetti che si trovino all’interno dell’Unione o riguardino dati raccolti mediante l’osservazione e il monitoraggio di comportamenti che avvengono nell’Unione Europea.

Il fenomeno, come si comprende, è estremamente ampio. Basti pensare alla vastità delle applicazioni cloud, in tutte le sue forme (Saas, Iaas, Pas, ecc.), ai provider di posta elettronica, alle piattaforme per l’utilizzo di sistemi di videocall, ai moltissimi servizi di posta elettronica e di email marketing, alle piattaforme di servizi di gestione della clientela (customer o vendor management), ai servizi di assistenza tecnica e monitoraggio dei sistemi informatici.

Le aziende che 

  • hanno database e/o infrastrutture tecnologiche localizzate negli Stati Uniti o che 
  • si avvalgono di fornitori o subfornitori americani, sono coinvolte nel trasferimento a Paesi terzi che stiamo esaminando; ciò vale, peraltro, anche nell’ipotesi di un fornitore stabilito nell’UE/SEE ma collegato a un’azienda statunitense.

La circostanza è assai rilevante, come vedremo a breve, soprattutto per le implicazioni conseguenti alla decisione della Corte di Giustizia Europea che ha invalidato il Privacy Shield, perché anch’essa conferma che se i dati sono “affidati” a, ossia trattati mediante un, soggetto che, pur avendo una sede nell’Unione Europea, è sottoposto alla legislazione di uno Stato terzo, questa tipologia di operazione caratterizza un trasferimento di dati personali ad un Paese extra UE.

 

2.1 LE CONDIZIONI PER I TRASFERIMENTI

Premesso il principio generale di cui all’art. 44 del GDPR in base al quale “qualunque trasferimento di dati personali oggetto di trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento a un paese terzo … compresi i trattamenti successivi da un paese terzo verso un altro paese …” deve essere effettuato in base alle condizioni stabilite dal Regolamento, vediamo quali siano queste condizioni.

 

2.1. a. La decisione di adeguatezza

Una prima, fondamentale ipotesi, che legittima il trasferimento dei dati senza alcuna altra necessità è prevista nel caso in cui la Commissione Europea abbia espressamente stabilito che uno specifico Paese sia “adeguato”.

La Commissione valuta diversi parametri (si veda art. 45 GDPR), non limitati alla sola normativa di protezione dei dati personali (che deve ovviamente essere tale da garantire un livello adeguato di protezione degli individui), ma in generale anche diversi altri indici, come il grado e l’effettività della tutela dei diritti e delle libertà in generale.

La decisione, sottoposta a periodici riesami, può essere confermata, sostituita, abrogata. Attualmente i paesi considerati “adeguati” sono Andorra, Argentina, Canada, Faer Oer, Giappone, Guernsey, Isola di Man, Israele, Jersey, Nuova Zelanda, Svizzera, Uruguay. Il trasferimento dei dati in tali Paesi non è soggetto ad alcuna necessità particolare, salvo ovviamente il rispetto, da parte del titolare o del responsabile che vi proceda, di tutta la normativa data protection applicabile.

 

2.2.b. Le garanzie adeguate. Binding Corporate Rules 

Nell’ipotesi in cui manchi una decisione di adeguatezza della Commissione Europea in relazione al Paese terzo, è necessario che il titolare o il responsabile forniscano: 

  • “garanzie adeguate”, come analiticamente indicato nell’art. 46 del GDPR e alla ulteriore condizione che
  • gli interessati dispongano di “diritti azionabili e mezzi di ricorso effettivi”.

Senza necessità di ulteriore intervento da parte di un’Autorità di controllo possono costituire garanzie adeguate uno strumento giuridicamente vincolante ed esecutivo tra autorità pubbliche, le norme vincolanti di impresa, le clausole tipo adottate dalla Commissione Europea, le clausole tipo adottate da un’Autorità di Controllo e approvate dalla Commissione, un codice di condotta o un meccanismo di certificazione approvato secondo i criteri stabiliti dal Regolamento (artt. 40 e 42).

Possono, infine, costituire garanzie adeguate anche clausole contrattuali e le disposizioni da inserire in accordi amministrativi tra autorità pubbliche o organismi pubblici previa, peraltro, una autorizzazione preventiva dell’Autorità di controllo (si veda art. 46.4).

Le Binding Corporate Rules, ovvero le Norme Vincolanti d’Impresa, sono destinate a facilitare i flussi di informazioni all’interno dei gruppi societari che hanno sedi poste sia all’interno sia all’esterno dell’Unione e ai gruppi di imprese con attività imprenditoriali comuni.

Queste norme, oltre a dover rispettare determinati contenuti e condizioni (essere vincolanti, applicarsi a tutte le imprese del gruppo) devono anche conferire espressamente agli interessati diritti azionabili a tutela delle loro posizioni e soddisfare altri requisiti posti dal secondo paragrafo dell’art. 47. Quel che merita sottolineare, oltre alla lunga lista di condizioni qui solo richiamate, è che tali norme, per legittimare i trasferimenti infragruppo, devono essere approvate da una Autorità di controllo.

 

2.2.c. Le Clausole Contrattuali Standard (SCCs)

Le clausole contrattuali in esame sono specifiche “integrazioni” contrattuali adottate dalla Commissione Europea (o da un’Autorità ma approvate dalla EC) al fine di disciplinare, quali veri e propri “modelli” standard, i trasferimenti di dati personali.

Mediante tali modelli le imprese, laddove non presenti Decisioni di Adeguatezza, possono garantire che i trasferimenti di dati personali avvengano nel rispetto di condizioni di tutela di livello equivalente a quello garantito dalle norme europee.

Si tratta di schemi precostituiti che devono essere “semplicemente” compilati dalle imprese (nella loro veste di exporter o di importer, di titolari o responsabili) e inserite nella contrattazione internazionale delle imprese come parte della stessa o come allegati.

Le versioni adottate dalla Commissione nella vigenza della Direttiva Madre (la direttiva 95/46/CE) sono state recentemente rinnovate (v. infra).

 

2.2.d. Meccanismi di certificazione, Codici di Condotta e altre garanzie

Abbiamo dunque visto come possano costituire garanzie adeguate, senza necessitare di autorizzazioni specifiche da parte di un’autorità di controllo, uno strumento giuridicamente vincolante e avente efficacia esecutiva tra autorità pubbliche o organismi pubblici; le norme vincolanti d’impresa in conformità dell’articolo 47; le clausole tipo di protezione dei dati adottate dalla Commissione; le clausole tipo di protezione dei dati adottate da un’autorità di controllo e approvate dalla Commissione.

Due ulteriori possibili garanzie “adeguate” sono costituite da

  • un codice di condotta approvato a norma dell’articolo 40,unitamente all’impegno vincolante ed esecutivo da parte del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati e
  • un meccanismo di certificazione approvato a norma dell’articolo 42, unitamente all’impegno vincolante ed esigibile da parte del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati.

 

2.2.e. Le deroghe

In relazione a questa breve disamina deve essere evidenziato come potrebbero anche essere adottate specifiche clausole contrattuali tra le imprese coinvolte nel trasferimento alla  condizione della previa autorizzazione dell’autorità di controllo. 

In assenza degli strumenti di salvaguardia sopra enunciati (decisioni di adeguatezza, clausole standard e gli altri indicati) è possibile effettuare il trasferimento solo in presenza di specifiche deroghe, che comprendono:

  • il previo, informato, consenso esplicito dell’interessato;
  • l’esecuzione di un contratto o di misure precontrattuali per cui sia necessario il trasferimento;
  • la conclusione o l’esecuzione di un contratto stipulato tra il titolare del trattamento e un’altra persona fisica o giuridica a favore dell’interessato;
  • importanti motivi di interesse pubblico;
  • l’accertamento, difesa o esercizio di un diritto in sede giudiziaria;
  • la necessità di tutelare interessi vitali dell’interessato allorchè questi non possa prestare il consenso;
  • il trasferimento sia relativo a dati contenuti in un registro pubblico.

In assenza di una qualsiasi di queste deroghe e delle misure di salvaguardia o della decisione di adeguatezza il GDPR consente di effettuare un trasferimento sporadico verso Paesi terzi relativamente ad un numero limitato di interessati sulla base giuridica dell’interesse legittimo del titolare, purché questi abbia valutato tutte le circostanze e fornisca adeguate garanzie. In tal caso sarà necessario informare l’autorità di controllo ed integrare l’informativa all’interessato con la descrizione degli interessi legittimi cogenti perseguiti.

 

3. L’ABOLIZIONE DEL PRIVACY SHIELD

3.1. L’antefatto

A seguito delle denunce di Edward Snowden (si veda, per una ricostruzione, E. Snowden, Errore di Sistema, Longanesi, 2019), che dopo aver lavorato per il governo americano era divenuto famoso per le sue scottanti rivelazioni sui progetti americani di sorveglianza globale, Maximilian Schrems, avvocato e attivista austriaco per i diritti civili, aveva sottoposto all’Autorità Garante Irlandese le proprie lamentele le quali, sostanzialmente, vertevano sull’ipotesi che Facebook Ireland, nel trasferire i dati dei propri utenti oltre oceano, nei server della “casa madre” Facebook Inc, non solo ve li conservasse, ma consentisse alle autorità statunitensi di accedervi, prendendo parte al progetto di sorveglianza massiva denominato “Prism”.

Sebbene l’Autorità Irlandese non avesse accolto il ricorso di Schrems, successivamente la Corte di Giustizia dell’Unione, con la  sentenza denominata, oggi, “Schrems I”, il 6 ottobre 2015 aveva accolto le lamentele dell’attivista e invalidato quello che all’epoca era lo strumento adottato dagli Stati Uniti e dall’Unione Europea per legittimare i trasferimenti di dati personali oltreoceano, noto come “approdo sicuro”, Safe Harbour.

A seguito di un ulteriore ricorso di Maximilian Schrems (di qui l’uso di riferirisi alle decisioni della CJEU come Schrems I e II) una nuova decisione della Commissione Europea del luglio del 2016 (2016/1250), aveva legittimato il c.d. Privacy Shield (porto sicuro) per i trasferimenti verso gli Stati Uniti effettuati verso aziende e gruppi aderenti a tale particolare elenco: quest’ultimo, tenuto dal Dipartimento del Commercio degli U.S.A., consentiva alle imprese statunitensi, a determinate condizioni, di aderirvi e, di conseguenza, di essere ritenute aziende “adeguate” nei confronti della legislazione europea in materia di protezione dei dati a motivo del rispetto dei principi più importanti di tutela degli interessati (trasparenza informativa, presenza di diritti azionabili, collaborazione con le autorità europee).

Le imprese europee che necessitavano di effettuare trasferimenti oltre oceano, dovevano in pratica “solamente” verificare l’adesione di tale azienda al menzionato “scudo”.

 

3.2. L’invalidazione del Privacy Shield

La Corte di Giustizia Europea, con la sentenza del 16 luglio 2020 (C-311/18), nell’esaminare la validità della decisione sull’adeguatezza del Privacy Shield, ha ritenuto che i requisiti del diritto interno degli Stati Uniti e, in particolare, determinati programmi che consentono alle autorità pubbliche degli Stati Uniti di accedere ai dati personali trasferiti dall’UE agli Stati Uniti ai fini della sicurezza nazionale, comportino limitazioni alla protezione dei dati personali che non sono predisposte in modo da soddisfare requisiti sostanzialmente equivalenti a quelli previsti dal diritto dell’UE.

Alla luce della possibile ingerenza nei diritti fondamentali delle persone i cui dati sono trasferiti verso il suddetto paese terzo, la Corte ha pertanto 

  • dichiarato invalida la decisione sull’adeguatezza dello “scudo”.

Nella medesima decisione la Corte ha 

  • esaminato anche le già viste Clausole Contrattuali Standard, confermandone, al contrario dello “scudo”, la validità.

Ciò, tuttavia, non è avvenuto senza precisazioni e limitazioni.

La Corte ha infatti stabilito che le validità delle Clausole dipende dall’esistenza di meccanismi efficaci che consentano, in pratica, di assicurare il rispetto di un livello di protezione equivalente a quello garantito dal GDPR e che prevedano la sospensione o il divieto dei trasferimenti di dati personali ai sensi di tali clausole in caso di violazione delle clausole stesse o in caso risulti impossibile garantirne l’osservanza.

Ne è derivata, come conseguenza indicata immediatamente da tutti gli esperti, la necessità di verificare, per le aziende coinvolte, ancor prima del trasferimento, se il livello di protezione sia rispettato e di conseguenza la difficile situazione di dover operare delicate valutazioni in merito alla possibilità o meno di continuare gli spesso costanti, continui e reiterati trasferimenti necessari alla continuità operativa.

In base alla pronuncia della CJEU, ove così non fosse, l’importatore dei dati è obbligato a informare l’esportatore e se nemmeno l’applicazione di eventuali misure supplementari a quelle offerte da tali clausole fosse sufficiente, il trasferimento dei dati deve essere sospeso o il contratto risolto.

 

4. L’ORIENTAMENTO DEL BOARD EUROPEO

4.1. Le FAQ (luglio 2020)

Il Comitato Europeo per la Protezione dei Dati, successivamente alla decisione in commento, nel luglio scorso ha pubblicato le proprie risposte alle cc.dd. FAQ. Succintamente, il Board europeo aveva evidenziato che:

  • la sentenza si applica a tutti gli strumenti di trasferimento effettuati in base alle garanzie adeguate di cui all’art. 46 GDPR; 
  • senza alcun periodo di “grazia”;
  • i trasferimenti in corso a importatori USA aderenti al Privacy Shield, nella situazione indicata, sono stati così ritenuti “illegali”;
  •  anche in presenza di apposite SCCs il Board ha imposto precise valutazioni e operazioni da eseguire al fine di garantire ai dati personali un livello di protezione sostanzialmente equivalente a quello europeo;
  • anche in presenza di norme vincolanti d’impresa (le BCR) è stata rilevata la necessità di concrete e fattive valutazioni.
  • In relazione all’ipotesi di trasferimenti sulla base delle deroghe previste dall’art. 49 GDPR, in caso di utilizzo di SCC o BCR per il trasferimento verso un paese terzo diverso dagli USA il Board ha evidenziato la necessità di prestare particolare attenzione e di rivolgersi all’importatore di dati per verificare la legislazione del rispettivo paese ed effettuare una valutazione congiunta. Nel caso ne risulti un livello di protezione non adeguato, l’indicazione è stata ferma: è necessario sospendere immediatamente i trasferimenti o informare le Supervisory Authorities (art. 51 GDPR).
  • Nell’ipotesi di utilizzo di SCC o BCR le misure supplementari eventualmente da introdurre dovrebbero essere stabilite caso per caso, tenendo conto di tutte le circostanze del trasferimento e a seguito della valutazione della legislazione del paese terzo, al fine di verificare se essa garantisca un livello di protezione adeguato.
  • Parimenti, allorché ci si avvalga di responsabili del trattamento è necessario verificare se i trasferimenti da quest’ultimo eventualmente effettuati siano o meno autorizzati, all’evidenza laddove effettuati verso gli USA.
  • Infine, laddove non possano essere introdotte misure supplementari, né si applichino le deroghe di cui all’articolo 49 del RGPD, l’unica soluzione è negoziare un emendamento o una clausola aggiuntiva al contratto per vietare il trasferimento di dati verso gli USA. 

 

4.2. Le Recommendations dell’Edpb (01/2020 e 02/2020)

Sulla scorta di tali prime indicazioni, lo scorso 10 novembre il Comitato ha pubblicato le proprie Recommendations sulle misure supplementari per i trasferimenti di dati (la prima, 01/2020, in consultazione pubblica fino al 30 novembre e la seconda, 02/2020, fino al 10 dicembre: ferme restando queste due date, è peraltro possibile immaginare che i testi non subiranno, probabilmente, sostanziali modifiche).

Esse integrano gli strumenti di trasferimento dei dati al fine di garantire il rispetto del livello di protezione dei dati personali vigente in Europa; il Board ha altresì pubblicato le proprie raccomandazioni sulle cosiddette “garanzie essenziali europee” in rapporto alle misure di sorveglianza.

Come accennato sin qui, la conseguenza principale della sentenza della CJEU del luglio scorso è data dalla necessità, per i titolari e i responsabili del trattamento che utilizzino clausole contrattuali per i trasferimenti, di verificare, caso per caso, se possibile in collaborazione con il destinatario, se la legislazione del paese terzo garantisca un livello di protezione dei dati personali trasferiti sostanzialmente equivalente a quello vigente nello Spazio economico europeo (SEE).  

La CGUE ha consentito agli esportatori di aggiungere misure supplementari alle clausole contrattuali tipo per garantire l’effettivo rispetto di tale livello di protezione qualora le garanzie contenute nelle clausole contrattuali tipo non siano sufficienti.

Le raccomandazioni, come indicato anche da un comunicato della nostra Autorità Garante, “intendono assistere i titolari e responsabili del trattamento che siano esportatori di dati nell’individuazione e nell’attuazione di adeguate misure supplementari, ove queste siano necessarie per garantire ai dati trasferiti verso paesi terzi un livello di protezione sostanzialmente equivalente. In tal modo, il comitato mira a un’applicazione coerente del RGPD e della sentenza della Corte in tutto il SEE” (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9482909).

Qui di seguito una possibile sintesi dei passaggi da mettere in atto:

  • Censire tutti i trasferimenti di dati personali verso Paesi terzi mediante un’attenta mappatura. Verificare, sulla base dei principi di adeguatezza e pertinenza ognuno di questi trattamenti, senza dimenticare la necessità di osservare il principio di minimizzazione.
  • Identificare degli “strumenti” del trasferimento da utilizzare, tenendo presente che non necessitano ulteriori misure in relazione a Paesi per i quali è in vigore una decisione di adeguatezza (v. supra). In mancanza, laddove il trasferimento sia usuale e ripetitivo, verificare l’applicabilità di una delle garanzie adeguate che abbiamo già visto. Solo nell’eventualità di un trasferimento meramente occasionale, basarsi sulle deroghe di cui all’art 39 (supra: eccezioni).
  • Valutare con cautela e diligenza la legislazione o la prassi applicabile nel paese di esportazione e in particolare se in tale Paese sussistano normative cogenti per il destinatario che possano avere un impatto negativo sul livello di protezione delle informazioni riguardanti gli interessati e, così, rendere meno efficaci le garanzie prescelte mediante l’applicazione dell’art. 46 GDPR.
  • Stabilire misure di protezione ulteriori, individuando le più adatte a “riportare”, in qualche misura, la protezione del dato ad un livello che sia sostanzialmente equivalente a quello assicurato in Europa o comunque dal GDPR. E’ essenziale che tale valutazione sia attentamente e doviziosamente documentata, facendo riferimento agli esempi contenuti nell’Allegato 2 delle Raccomandazioni 01/2020. Se del caso le misure in questione potrebbero essere adottate anche in modo combinato, tenendo presente che in alcuni casi potrebbero non esservi misure adottabili a tal fine.
  •  Adottare le misure, di tipo contrattuale, tecnico o organizzativo e, in alcune ipotesi, valutare il consulto con l’Autorità Garante.
  • Prevedere periodici riesami delle misure, nell’ottica della accountability e del costante controllo e revisione degli adeguamenti, anche mediante appositi audit.

Il Board ha adottato anche una serie di raccomandazioni sulle garanzie essenziali europee relativamente alle misure di sorveglianza

Esse completano e complementano le raccomandazioni sulle misure supplementari, fornendo elementi per verificare se nel Paese terzo di esportazione il quadro normativo o specifiche disposizioni consentano alle autorità statali e/o pubbliche l’accesso alle informazioni per fini di sorveglianza (uno dei motivi principali che ha portato all’abolizione del Privacy Shield da parte della CJEU), legittimando indebite intrusioni o limitazioni dei diritti fondamentali degli individui.

 

5. LE INDICAZIONI DEL SUPERVISOR EUROPEO

L’European Data Protection Supervisor, ossia il Garante Europeo per la protezione dei dati, nel quadro in divenire che stiamo succintamente esaminando, non si è “tirato indietro”: è recente l’emanazione di una serie di indicazioni e misure che le istituzioni europee sono tenute ad osservare proprio nel mutato quadro della (il)liceità dei trasferimenti di dati personali in relazione alla più volte ricordata sentenza della CJEU 2016/1250.

Le istituzioni europee, infatti, sono particolarmente coinvolte per un uso massiccio di sistemi e piattaforme statunitensi (Microsoft), quindi potenzialmente “intercettabili” da parte delle autorità americane.

Il Garante Europeo, pertanto, ha sostanzialmente stabilito che le istituzioni dovranno seguire un processo di adeguamento ai principi stabiliti dalla sentenza Schrems II, procedendo come segue:

  • eseguire una attenta mappatura dei trattamenti per categorie di dati coinvolti, tipologie di software utilizzati, tipologie di trattamenti;
  • inviare report all’EDPS con evidenziazione dei trasferimenti “illegali” e in particolare di quelli verso gli U.S.A..

In dipendenza di tali report, l’EDPS stabilirà quali trattamenti potranno essere considerati conformi e quali, invece, da sospendere, mentre, in generale, ha ritenuto già in essere un generale divieto di esportazione in relazione a “nuovi” trattamenti verso gli U.S.A..

Si segnala, in relazione a tale provvedimento, la specifica indicazione della necessità di un Transfer Impact Assessment, ossia di una valutazione sul modello del c.d. P.I.A. (Privacy Impact Assessment).

Il report dovrà essere inviato entro la primavera 2021 e, successivamente, il Supervisor determinerà la propria strategia di intervento.

 

6. LE NUOVE STANDARD CONTRACTUAL CLAUSES (SCCs)

Il 12 novembre 2020 la Commissione UE ha pubblicato le proposte nuove Clausole Contrattuali Standard (SCCs) in relazione ai trasferimenti internazionali di dati personali che, ovviamente, sono da mettere in relazione alla sentenza “Schrems II”.

La documentazione è sottoposta a consultazione pubblica fino al 10 dicembre 2020 ed è composta da:

  • bozza di Decisione di esecuzione della Commissione sulle clausole contrattuali tipo, con le modalità d’uso delle clausole;
  • bozza di Allegato alla Decisione di esecuzione della Commissione con le nuove SCCs.

La nuova versione delle SCCs è stata attesa a lungo dagli operatori: le precedenti, emanate sotto la vigenza della Direttiva Madre, scontavano un’impostazione di alcuni problemi che, con il GDPR, è divenuta differente. Ulteriormente, come visto sin qui, il “caso” Schrems II ne sollecitava, da più parti, una revisione.

Con questa pubblicazione, avvenuta solo un paio di giorni dopo l’emanazione delle Recommendations 1 e 2 dell’EDPB, la Commissione “chiude”, in un certo senso, il cerchio delle necessità ormai ineludibili per le aziende di definire i passi da intraprendere in relazione al trasferimento di dati personali verso Paesi terzi. Almeno per il momento.

Anche qui senza pretesa di completezza possiamo provare a indicare i punti di maggiore interesse delle nuove Clausole:

  • le clausole coprono, diversamente dalle precedenti, l’intero set di scenari possibili per le aziende (trasferimenti titolare / titolare, ossia controller to controller, titolare / responsabile, ossia controller to processor, responsabile / responsabile, processor to processor e responsabile / titolare, processor to controller);
  • prevedono l’intero panorama delle necessità sorgenti dai trasferimenti che si propongono di normare;
  • prevedono specificamente i numerosi obblighi e le precise indicazioni disciplinate nell’art. 28 del GDPR (nelle precedenti ancora non emanato);
  • come le precedenti, le clausole non possono essere modificate e sono quindi da intendersi take it or leave it, a motivo della eventualmente più agevole modificabilità da parte degli OTT o di soggetti con un potere contrattuale maggiore delle controparti (imbalance of powers);
  • prevedono specifiche clausole che sono evidentemente conseguenza degli sviluppi post Schrems II, in quanto prescrivono e richiedono la documentabilità dell’assessment volto a verificare se le Clausole stesse sono in grado di consentire che i diritti e le libertà fondamentali degli interessati godano di una protezione di livello sostanzialmente equivalente a quello garantito dalle norme europee (indicazioni sulle specifiche circostanze del trasferimento, le leggi del Paese terzo di destinazione, le misure di salvaguardia tecniche e organizzative addizionali, l’applicabilità di meccanismi di ricorso, ecc.), così come l’indicazione dei passaggi da operare nell’ipotesi in cui le Clausole stesse non forniscano il grado di protezione necessario nonché specifiche e ulteriori indicazioni volte a fornire trasparenza e comunicazione nell’ipotesi di accesso, alle informazioni oggetto dei trasferimenti, da parte delle autorità statali.

Come accennato, le Clausole sono sottoposte a pubblica consultazione fino al 10 dicembre; di conseguenza, prevedibilmente entro la fine dell’anno potrà aversi una versione definitiva. Allorché adottate, le imprese avranno un anno per aggiornare i propri rapporti commerciali includendo le Clausole nella versione aggiornata.

 

7. COSA FARE

Come visto, il tema del trasferimento di dati personali verso Paesi non soggetti al GDPR, oltre che di estrema attualità (anche politica), richiede un attento esame e diversi adempimenti da parte delle aziende, probabilmente in misura assai più significativa di quanto effettivamente percepito: la pervasività e massività di utilizzo dei sistemi tecnologici che fanno capo non solo agli Stati Uniti ma a molti Paesi non appartenenti allo SEE, consente di spingersi ad affermare che pressoché tutte le aziende dovrebbero fare i conti con la sequenza di novità che si sono inseguite negli ultimi mesi.

Proponiamo qui, dunque, alcune possibili indicazioni operative, segnalando che molte sono, da parte degli interpreti e degli operatori più attenti, le soluzioni proposte (nel solco, di fatto, di quanto indicato nelle Raccomandazioni dell’EDPB).

  • Mappatura dei flussi e dei trattamenti e adeguamento dei Registri delle attività

La prima, necessaria e ineludibile operazione da effettuare è una attenta mappatura dei flussi informativi e dei trasferimenti di dati personali verso Paesi terzi (non solamente gli U.S.A.).

I trasferimenti potrebbero avvenire, nelle multinazionali, infra gruppo, mentre per le imprese di minori dimensioni verso la clientela oppure verso fornitori e subfornitori.

Tale verifica deve culminare con l’aggiornamento e se del caso la modifica del Registro delle attività di cui all’art. 30 del GDPR.

  • Mettere in atto garanzie adeguate

E’ poi necessario verificare innanzitutto se il trasferimento avvenga verso un Paese che sia già stato dichiarato adeguato dalla Commissione; in tal caso non sono al momento necessarie altre attività.

Diverso, invece, se il Paese non sia, nei termini appena visti, “adeguato”.

Occorreranno, in tal caso, le “garanzie adeguate” ex art. 46 GDPR.

Nel caso di operazioni infragruppo, si utilizzeranno le Norme Vincolanti di Impresa, BCR, ai sensi dell’art. 47 GDPR, mentre nelle altre ipotesi dovrà valutarsi, principalmente, l’adozione delle “nuove” Clausole Contrattuali Standard.

Come abbiamo visto, nella recente versione delle stesse, una parte di quello che gli esperti, sulla scorta di quanto indicato dal Garante Europeo (EDPS), ormai chiamano Data Transfer Impact Assessment, è già enucleato nelle operazioni di adozione di tali clausole.

Lo scopo, come visto, è quello di documentare e adottare, anche in e con tali modelli, in modo preciso, i principi generali del GDPR in relazione a trasparenza, accuratezza, misure di sicurezza ed esercitabilità dei diritti, di verifica della garanzia di assenza di interferenze della normativa straniera con il flusso informativo, di analisi della disciplina degli obblighi dell’importatore del Paese terzo in relazione alle richieste di accesso delle Autorità locali, di previsione della disciplina delle ipotesi di ulteriori sub nomine di altri responsabili e di precisazione delle garanzie a tutela degli interessati.

Infine, ove il trasferimento lo consentisse, sarà possibile optare, previa una attenta disamina del caso di specie, per una delle deroghe di cui all’art. 49 GDPR (supra).

  • Valutare le normative estere coinvolte, gli elementi extra normativi, le garanzie riconosciute agli interessati

Resta fermo che, nell’ambito dell’adozione delle SCCs o di altra modalità un preciso assessment di valutazione della normativa estera debba essere effettuato: come visto poco sopra, gli elementi da considerare sono diversi; quel che mette conto qui evidenziare è che una attenta documentazione del processo di valutazione aiuterà certamente (per non dire sia invece imprescindibile), l’esportatore ad osservare il dettato dell’accountability.

  • Adottare, se del caso, misure supplementari

Laddove necessario, ed è qui, molto probabilmente, nel lato tecnico della questione, che le imprese troveranno non poche difficoltà, bisognerà adottare misure contrattuali, tecniche e organizzative volte a “proteggere” le informazioni.

Gli esperti suddividono infatti le possibili misure, in linea con l’orientamento e le prescrizioni del GDPR, in contrattuali, tecniche, organizzative.

  • Esempi di misure contrattuali possono essere fatti in relazione a misure di trasparenza e informazione sulle eventuali richieste di accesso delle Autorità del Paese terzo, così come di necessaria notifica all’esportatore di ciascuna di queste eventuali iniziative.
  • In relazione alle possibili misure tecniche, l’argomento diviene ancora più specifico e l’assistenza e la consulenza di appositi esperti appare vivamente consigliabile. Si indicano, da più parti, come possibili misure di tale tipologia, le seguenti: utilizzo della crittografia per i “semplici” back up in hosting, la pseudonimizzazione dei dati personali precedente al trasferimento, la crittografia in transito, la partizione dei trasferimenti, ecc.. Come si vede, trattandosi di misure volte a rendere i dati non intelligibili, è più che opportuno un supporto tecnico IT di grande esperienza, anche al fine di valutare i costi di tali possibili operazioni.
  • Quanto, infine, alle possibili misure organizzative, si sottolinea la possibile e probabilmente auspicabile adozione di politiche di governance dei trasferimenti che, similmente a quelle in uso nel c.d. vendor management, dia la possibilità di valutare i trasferimenti in anticipo rispetto alla materiale effettuazione, con l’osservanza di tutte le cautele che stiamo sommariamente esaminando.
  • Eseguire verifiche periodiche

Infine ma non per ultimo dovranno prevedersi periodiche verifiche dei trasferimenti extra Ue in atto: sarà necessario rivalutare periodicamente il livello di protezione delle informazioni e regolarmente monitorare tutti i fattori rilevanti che potrebbero influire sul rispetto dei principi indicati in modo assai pregnante dal GDPR a tutela dei diritti e delle libertà degli individui.

*

Il flusso in una infografica dell’EDPB:

 

.

*

Un compito, quindi, non da poco.

Vedremo come le aziende vi provvederanno e, ovviamente, quali saranno le azioni di verifica, controllo ed eventuale sanzionamento da parte delle Autorità Garanti.