Codici di condotta come tool di trasferimento dati extra-UE: ecco le opportunità - Cyber Security 360

L'approfondimento

Codici di condotta come tool di trasferimento dati extra-UE: ecco le opportunità

I codici di condotta possono essere utilizzati come tool per il trasferimento di dati extra UE, un processo che nell’ultimo anno ha subito modifiche normative in seguito alla sentenza Schrems II del luglio 2020: in questo scenario, i codici di condotta permettono processi di data transfer sicuri e leciti

27 Ago 2021
C
Anna Cataleta

Senior Partner P4I – Partners4Innovation

G
Andrea Grillo

Senio Legal Consultant presso P4I - Partners4Innovation

Nell’ultimo anno lo scenario europeo relativo alla data protection è stato caratterizzato da molte novità, soprattutto in tema di trasferimenti di dati personali verso Paesi esterni all’Unione Europea, a seguito della ben nota sentenza Schrems II del luglio 2020. Si sono infatti susseguiti numerosi interventi delle istituzioni europee, dalla pubblicazione di Recommendations 01/2020 e 02/2020 dell’Europea Data Protection Board, finalizzate a valutare l’adeguatezza dei livelli di sicurezza dei dati personali trasferiti al di fuori dell’UE, fino alle nuove Standard Contractual Clauses (SCCs[1]), che hanno subito un processo di adeguamento al contesto normativo post-Schrems II. Su questo tema, il GDPR fornisce chiare indicazioni sugli strumenti che rendono possibile, lecito e sicuro il trasferimento di dati personali:

  • decisioni di adeguatezza (ex articolo 45 del GDPR), come quella approvata il 28 giugno 2021 dalla Commissione Europea per i trasferimenti di dati personali tra UE e UK post Brexit;
  • gli strumenti di cui all’articolo 46 del GDPR (come le SCCs o le BCRs);
  • le eccezioni previste dall’articolo 49 del Regolamento.

L’articolo 46, in particolare, prevede che in assenza di una decisione di adeguatezza della Commissione Europea, il trasferimento è consentito solo quando il data exporter, sia esso titolare o responsabile del trattamento, sia in grado di fornire “garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi”. Tra le “garanzie adeguate” presenti nell’elenco tassativo fornito dallo stesso articolo, oltre ai transfer tool più noti e utilizzati come le SCCs o le BCRs, si possono trovare anche i codici di condotta (articolo 46, paragrafo 2, lettera e del GDPR) previsti dal GDPR all’articolo 40.

È proprio su questo tema che si è focalizzato uno degli ultimi interventi dell’EDPB, che il 7 luglio scorso ha adottato le Guidelines 04/2021 on Codes of Conduct as a tool for transfers (attualmente ancora in pubblica consultazione) allo scopo di far luce su tutti gli aspetti che caratterizzano questo “nuovo” strumento per il trasferimento internazionale di dati personali. Ma cosa sono i codici di condotta e in che modo possono essere utilizzati per legittimare i trasferimenti di dati personali al di fuori dell’Unione?

Codici di condotta: cosa sono e come sono utilizzati

I codici di condotta sono “strumenti di responsabilizzazione volontari”[2] introdotti e regolamentati dal GDPR, in particolare dall’articolo 40, che stabiliscono norme e standard specifici per categorie di titolari e responsabili del trattamento. Attraverso l’adesione a questi codici, soggetti appartenenti allo stesso settore hanno la possibilità di autodisciplinarsi con riguardo alle attività di trattamento dei dati personali, sia da un punto di vista giuridico che etico. Infatti, come specificato nel Considerando 98 del GDPR, “associazioni o altre organizzazioni rappresentanti le categorie di titolari del trattamento o di responsabili del trattamento” sono di norma incoraggiate a elaborare codici di condotta che disciplinino e regolino in maniera specifica le attività comuni di trattamento dei dati, al fine sia di rispettare pienamente il GDPR, sia di soddisfare le specifiche esigenze del settore.

EDPB pubblica le raccomandazioni sul trasferimento dati: ecco le nuove misure supplementari

Un elemento di particolare importanza è rappresentato dalla volontarietà dell’adesione a questi strumenti da parte dei soggetti a cui il codice si rivolge. Le associazioni rappresentanti specifiche categorie di soggetti coinvolti nel trattamento di dati personali sono quindi incentivate ad elaborare codici finalizzati a disciplinare i più vari aspetti: il trattamento corretto e trasparente dei dati, i legittimi interessi perseguiti dai titolari del trattamento in contesti specifici, le misure di sicurezza da adottare a protezione dei dati o, ancora, aspetti più particolari come l’informazione e i livelli di protezione dei dati forniti ai minori e il trasferimento dei dati personali verso paesi esterni all’Unione Europea[3].

I codici di condotta sono elaborati direttamente dalle associazioni rappresentanti le categorie coinvolte e, successivamente, acquisiscono validità una volta validati dalle autorità di controllo competenti. Possono avere una validità limitata ai territori nazionali oppure a livello europeo, nei casi di codici che si riferiscono ad attività di trattamento effettuate in diversi Stati Membri. La creazione e l’adesione a questi strumenti comporta una serie di vantaggi che non possono essere sottovalutati, da un punto di vista organizzativo, giuridico ma anche economico. Giova ricordare, per esempio, che l’articolo 83, par. 2, lett. j del GDPR stabilisce che l’irrogazione di sanzioni nei confronti di titolari e responsabili del trattamento debba tenere in considerazione anche l’eventuale adesione di questi ad un codice di condotta approvato ai sensi dell’articolo 40 del GDPR.

L’adozione dei codici di condotta in Europa

Ad oggi, in Europa, il costante sviluppo delle tecnologie e delle modalità di trattamento dei dati personali, così come dell’awareness sull’importanza della data protection, ha portato all’adozione di alcuni codici di condotta molto importanti. L’EDPB, il 19 maggio 2021, ha approvato i primi codici di condotta sui servizi Cloud, rivolti a tutti i fornitori di servizi Cloud operanti in Europa. Lo scopo principale è appunto quello di fornire a questi soggetti uno strumento utile per adeguarsi al GDPR e adottare tutte le best practice necessarie per elevare gli standard di protezione dei dati, specifiche per quel settore.

Il “Cloud Infrastructure Services Providers in Europe” (CISPE) e il “Cloud Select Industry Group” (CSIG) rappresentano quindi un’assoluta novità e, inoltre, hanno coinvolto nella stesura dei “progetti di Codice” tutti i maggiori player del settore come Amazon, Microsoft, Google e Cisco. Il CSIG, ad esempio, è stato sottoposto al vaglio dell’EDPB dal Garante belga ed è parte del progetto “EU Cloud Code” di Scope Europe. L’adesione a codici di condotta incide positivamente anche sulla fiducia degli interessati, i quali vedono garantita e rafforzata la protezione dei propri dati personali: il CISPE, ad esempio, prevede che i provider aderenti al codice permettano ai propri clienti di scegliere autonomamente il luogo di conservazione dei propri dati personali, se all’interno del territorio europeo o al di fuori di questo. In questo modo viene data centrale importanza alla trasparenza delle informazioni sui trattamenti di dati personali, da un lato, e dall’altro si rimette nelle mani dell’interessato stesso il potere decisionale circa il trasferimento dei propri dati all’estero. Allo stesso modo, i codici prevedono determinate sanzioni da emettere a carico dei membri che hanno aderito, in caso di violazione delle disposizioni ivi contenute.

Codici di condotta, tra best practice e tool per i trasferimenti di dati personali extra-UE

Come si evince da questa prima analisi generale dell’istituto, i codici di condotta sono strumenti ai quali può essere attribuita una doppia funzione. Da un lato, l’adesione a questi codici da parte di un titolare o di un responsabile del trattamento può fungere da elemento di prova del rispetto dei principi sanciti dal GDPR e, in generale, della loro conformità al Regolamento (sopperendo, quindi, a quell’onere probatorio proprio del principio di accountability).

Dall’altro, come anticipato, i codici di condotta possono costituire un meccanismo particolarmente utile per i trasferimenti internazionali di dati personali, presentando una soluzione ottimale per molti business che, per loro natura, fanno affidamento sui trasferimenti extra-UE. Come abbiamo già sottolineato, infatti, sono molteplici i riferimenti del GDPR relativi all’utilizzo di questi strumenti per il trasferimento di dati personali:

  • l’articolo 46 annovera tra le “garanzie adeguate” al trasferimento dei dati personali verso paesi extra-UE proprio l’adozione, da parte del cd. data exporter, di “un codice di condotta approvato a norma dell’articolo 40, unitamente all’impegno vincolante ed esecutivo da parte del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate”;
  • lo stesso articolo 40, che disciplina l’utilizzo generale dei codici di condotta, annovera tra le finalità perseguibili attraverso questi strumenti proprio “il trasferimento di dati personali verso paesi terzi o organizzazioni internazionali” (paragrafo 2, lettera j).

Infine, le già citate Guidelines 4/2021 dell’EDPB, che è importante ricordare, sono tuttora in fase di pubblica consultazione, sono state adottate dall’EDPB ad integrazione delle precedenti Linee Guida 1/2019 dell’EDPB sui codici di condotta e sugli organismi di monitoraggio, e si rivelano uno strumento molto efficace in ottica di adeguamento dei trasferimenti di dati alle novità introdotte dalla sentenza Schrems II. Queste Guidelines mirano, per l’appunto, ad approfondire e chiarire tutti gli elementi necessari all’utilizzo, da parte dei data exporter, dei codici di condotta come strumento per il trasferimento internazionale dei dati, facendo chiarezza sull’applicazione degli articoli 40 e 46 del GDPR.

Codici di condotta come data transger tool

L’importanza e l’efficacia potenzialmente attribuibili ai codici di condotta utilizzati come data transfer tool si dimostrano particolarmente rilevanti alla luce, soprattutto, dell’articolo 40, paragrafo 4 del GDPR. In questa sede, infatti, il Regolamento prevede che la possibilità di aderire ad un codice di condotta debba essere estesa anche a titolari o responsabili del trattamento esterni all’Unione Europea, e pertanto non soggetti al GDPR: la conditio necessaria per l’applicazione di questo paragrafo è che i codici di condotta siano stati ritenuti generalmente validi all’interno dell’Unione direttamente dalla Commissione Europea.

L’adesione ai codici di condotta finalizzati ai trasferimenti internazionali di dati da parte di soggetti anche esterni all’Unione Europea permette a questi di fornire una prova certa dell’adozione di quelle garanzie sulla sicurezza dei dati richieste dal GDPR. In questo modo, i codici di condotta utilizzati per questo scopo riuscirebbero a bypassare quello che è il problema principale dell’odierno scenario internazionale, ossia la facoltà del data importer di garantire standard di sicurezza adeguati a quelli richiesti dal GDPR, nonostante eventuali leggi e prassi proprie del paese di destinazione che possono risultare in contrasto con i principi sanciti dal Regolamento. L’adozione di un codice di condotta europeo da parte di questi soggetti può quindi dimostrarsi uno degli strumenti più efficaci per dimostrare l’adeguatezza dei loro trattamenti, oltre che per alimentare la fiducia degli interessati.

Sentenza Schrems II, gli impatti per Governi e imprese: ecco cosa è cambiato

I vantaggi

L’utilizzo di questo strumento per giustificare i trasferimenti di dati personali, inoltre, comporta numerosi vantaggi anche da un punto di vista economico e organizzativo: si pensi, per esempio, all’utilizzo delle BCR o delle SCC per i trasferimenti di dati personali verso società o organizzazioni esterne all’UE. L’adozione di un codice di condotta da parte dei data importer residenti in paesi extra-UE non comporta la necessità per questo di avere una sede nello Spazio Economico Europeo, requisito invece necessario per l’utilizzo delle BCR. Infine, da un punto di vista meramente organizzativo, l’adozione di un codice di condotta si presta anche per essere utilizzato come unico strumento per molteplici trasferimenti di dati, a differenza invece di soluzioni più “contrattuali”, come le SCC.

Codici di condotta come tool di trasferimento dati, i tre elementi di rilievo

Vediamo gli elementi più importanti che caratterizzano l’utilizzo di questi strumenti di trasferimento internazionale di dati personali, secondo le Linee Guida 4/2021. 

Il contenuto del Codice di Condotta finalizzati ai trasferimenti di dati

Il codice di condotta, se utilizzato come transfer tool ai sensi dell’articolo 46 del GDPR, deve avere come oggetto principale la disciplina delle norme e dei comportamenti che dovranno essere rispettati dal data importer per garantire un adeguato livello di protezione dei dati personali, una volta trasferiti all’esterno dell’UE. Il contenuto di tale codice, secondo le Linee Guida, dovrebbe riguardare soprattutto:

  • i principi essenziali, i diritti e gli obblighi riferiti ai data importer, nel rispetto dei principi sanciti dal GDPR;
  • le garanzie specifiche per il contesto dei trasferimenti.

Inoltre, l’EDPB ha fornito per chiarezza e completezza una lunga lista di elementi che, a suo giudizio, dovrebbero essere considerati come essenziali da includere in un codice di condotta, qualora utilizzato come tool per i trasferimenti internazionali di dati personali. Alcuni di questi elementi sono:

  • una descrizione dei trasferimenti che saranno coperti dal codice (con informazioni quali la natura dei dati personali trasferiti, le categorie di interessati coinvolti, i paesi di destinazione);
  • regole sul ricorso a responsabili e sub-responsabili e sui trasferimenti successivi dei dati personali;
  • l’esistenza di un programma di formazione adeguato sugli obblighi derivanti dal codice;
  • la programmazione di audit periodici sui sistemi di data protection implementati dal soggetto che aderisce al codice, effettuati da parte di auditor interni o esterni, o da un altro meccanismo interno deputato al controllo del rispetto del codice;
  • la previsione di tutti i diritti degli interessati previsti dagli articoli 12 – 22 del GDPR come il diritto di accesso, rettifica, cancellazione, restrizione, opposizione al trattamento, o il diritto a non essere soggetti a decisioni basate unicamente sul trattamento automatizzato, compresa la profilazione;
  • la garanzia che, al momento dell’adesione al codice, il data importer residente in un paese terzo non abbia motivo di ritenere che le leggi applicabili al trattamento dei dati personali in tale paese possano in qualche modo impedirgli di adempiere agli obblighi previsti dal codice e di implementare, se necessario, misure supplementari necessarie per garantire un maggiore livello di protezione dei dati personali.

Ne consegue che, per essere utilizzato a questo scopo, un codice di condotta deve disciplinare in maniera completa ed esaustiva il tema dei trasferimenti di dati personali. Un codice di condotta originariamente redatto al solo scopo di disciplinare l’applicazione del GDPR in uno specifico settore o attività di trattamento può comunque essere utilizzato per disciplinare anche i trasferimenti di dati personali ma, a tal fine, necessita per forza di cose di modifiche e aggiornamenti che vadano a colmare tutti gli elementi elencati.

Chi sono gli attori coinvolti nel processo di progettazione del codice

Anche nel caso di codici di condotta utilizzati specificamente come transfer tool ai sensi del GDPR, gli attori coinvolti nell’intero ciclo di vita dei codici (dalla progettazione, all’approvazione delle autorità fino all’adesione da parte dei soggetti del settore a cui si riferisce) non si differenziano da quelli normalmente coinvolti nell’adozione di codici di condotta in generale, ampiamente descritti dalle Linee Guida 1/2019.

In linea di massima, i ruoli coinvolti riguardano sempre il cd. Code Owner (ossia l’associazione che redige in primo luogo il Progetto di Codice di Condotta), l’organismo di monitoraggio “in possesso del livello adeguato di competenze riguardo al contenuto del codice e del necessario accreditamento a tal fine dell’autorità di controllo competente”[4] (incaricato di verificare, in particolare da parte dei soggetti aderenti esterni all’Unione Europea, l’effettivo rispetto di quanto previsto dal Codice), l’autorità di controllo competente o l’EDPB (alla quale sarà delegata l’approvazione del Progetto di Codice di Condotta, rispettivamente nei casi di codici ad applicazione nazionale o che vertono su trattamenti che coinvolgono diversi stati dell’unione) e, infine, la Commissione Europea (chiamata a valutare l’efficacia e la validità generale del codice all’interno dell’intero territorio UE).

Il processo di adozione del Codice di Condotta come strumento per il trasferimento internazionale di dati personali

Le Linee Guida 4/2021 forniscono una chiara spiegazione del processo di adozione dei codici di condotta utilizzati come strumenti di trasferimento dei dati personali. Anche in questo caso, i processi di adozione descritti da queste Guidelines non si differenziano da quelli previsti in generale per tutti i codici di condotta, come descritti dalle Linee Guida 1/2019: una volta concluso il progetto di codice, questo deve essere presentato alle autorità di controllo competenti per una verifica sulla sua adeguatezza e validità, ed eventualmente alla Commissione Europea qualora si voglia far riconoscere una validità generale del codice nell’intero territorio UE.

Come sottolineato dalle Linee Guida, è probabile che la disciplina dei trasferimenti di dati personali da parte di titolari o responsabili di un determinato settore coinvolga molteplici paesi dell’Unione Europea, di conseguenza, l’autorità di controllo competente dovrebbe essere riconosciuta nell’EDPB.

L’adozione di “impegni vincolanti e azionabili” da parte dei data importer

Come già anticipato, la disposizione del GDPR che apre l’adesione ai codici di condotta anche a titolari e responsabili esterni all’Unione Europea, e quindi non soggetti al GDPR, è l’articolo 40, paragrafo 3. L’articolo in particolare prevede che “possono aderire a tali codici di condotta anche i titolari del trattamento o i responsabili del trattamento che non sono soggetti al presente regolamento… al fine di fornire adeguate garanzie nel quadro dei trasferimenti di dati personali verso paesi terzi” e, ancora “Detti titolari del trattamento o responsabili del trattamento assumono l’impegno vincolante e azionabile, mediante strumenti contrattuali o di altro tipo giuridicamente vincolanti, di applicare le stesse adeguate garanzie anche per quanto riguarda i diritti degli interessati”.

Per questo motivo, il processo di adesione di soggetti extra-UE ai codici di condotta deve comportare uno step ulteriore: non solo la volontà del titolare o del responsabile di aderire al codice, ma anche un loro “impegno vincolante e azionabile” all’adozione e al rispetto di quanto previsto dal codice di condotta. Come specificato dall’articolo 40, l’assunzione di questi impegni è mandatoria e deve essere provata attraverso “strumenti contrattuali o di altro tipo giuridicamente vincolanti”.

Le Linee Guida 4/2021 specificano che per dimostrare l’adozione di un impegno come quello richiesto dal GDPR è possibile prevedere anche soluzioni diverse dal mero contratto (soluzione più semplice e diretta), a patto che il data importer sia in grado di dimostrare che gli strumenti contrattuali alternativi da lui utilizzati siano vincolanti ed esecutivi, in conformità con il diritto dell’UE. L’analisi fornita dalle Linee Guida prevede diversi scenari ritenuti accettabili a livello europeo per soddisfare questo requisito. Per esempio, il data importer ed il data exporter potrebbero utilizzare un eventuale contratto già esistente (come un accordo di servizio o la designazione a Responsabile del trattamento, di cui all’articolo 28 GDPR) in cui includere anche gli impegni “vincolanti ed esecutivi” assunti dal data importer. Alternativamente, le parti potrebbero decidere di regolare questi impegni con un contratto a sé stante, che, come suggerisce l’EDPB, potrebbe già essere fornito (in forma di template) nel codice di condotta stesso.

Indipendentemente dalla forma prescelta, è indispensabile che il contratto stabilisca l’impegno del data importer al rispetto delle regole contenute nel codice di condotta con riguardo ai trasferimenti di dati personali. Il codice di condotta, tra le altre cose, dovrà includere una clausola che regolamenti la giurisdizione: in questo modo gli interessati, in caso di violazione del codice da parte di un Code Member esterno all’UE, potranno presentare un reclamo esercitando i propri diritti (con la possibilità di chiedere anche un risarcimento), davanti all’autorità di controllo competente o a un tribunale che può essere, alternativamente, del luogo di residenza abituale dell’interessato o del luogo in cui ha la propria sede principale il data exporter.

Conclusione

Il quadro giuridico europeo ed internazionale riguardante i trasferimenti di dati personali dall’Unione Europea verso paesi terzi rimane quindi attualmente complesso e potenzialmente soggetto a ulteriori modifiche e cambiamenti. Nonostante questa situazione, interi business e settori non possono evitare di fare affidamento sui trasferimenti di dati personali verso altri paesi e, contemporaneamente, i data importer possono trovarsi in situazioni di difficoltà nel dover recepire e rispettare le richieste imposte dal GDPR e dagli interventi di soft law che, negli ultimi 12 mesi, hanno integrato le disposizioni europee sui trasferimenti di dati personali.

L’adesione a codici di condotta può costituire dunque una soluzione molto efficace sotto diversi aspetti. La loro natura di strumenti di autodisciplina, ponderati sulle esigenze e sui trattamenti di uno specifico settore o attività e che intervengono fornendo un approccio pratico (fatto di best practice e linee guida) a chi decide di aderirvi, fa sì che questi siano in grado di supportare a livello organizzativo ed economico il soggetto aderente nell’implementazione di sistemi di data protection pienamente compliant al GDPR. Sarà interessante verificare, nel prossimo futuro, quanto questo strumento sarà effettivamente utilizzato per i trasferimenti di dati personali (a partire dal tortuoso mondo cloud) e come potrebbe contribuire a rendere questi trattamenti più sicuri e trasparenti.

 

NOTE

  1. Decisione di esecuzione (UE) 2021/914 relativa alle clausole contrattuali tipo per il trasferimento di dati personali verso paesi terzi a norma del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio.

  2. Linee Guida 1/2019 sui codici di condotta e sugli organismi di monitoraggio a norma del regolamento (UE) 2016/679.

  3. Un elenco completo degli aspetti disciplinabili attraverso i Codici di condotta è fornito all’articolo 40, paragrafo 2 del GDPR.

  4. Come specificato dall’articolo 41 del GDPR “(1)Fatti salvi i compiti e i poteri dell’autorità di controllo competente di cui agli articoli 57 e 58, il controllo della conformità con un codice di condotta ai sensi dell’articolo 40 può essere effettuato da un organismo in possesso del livello adeguato di competenze riguardo al contenuto del codice e del necessario accreditamento a tal fine dell’autorità di controllo competente.”

@RIPRODUZIONE RISERVATA

Articolo 1 di 5