Il 12 Luglio 2022 Il Comitato Europeo per la Protezione dei Dati (European Data Protection Board – EDPB) ha adottato un parere riguardo ai trasferimenti dei dati tra gli Stati membri dell’Unione Europea e la Russia (o Federazione Russa), evidenziando come, in seguito alle sanzioni applicate a causa del conflitto Russo-Ucraina, i trasferimenti che coinvolgono società russe possono avvenire solo “utilizzando uno degli altri strumenti di trasferimento previsti nel capo V del Regolamento Generale sulla Protezione dei Dati o GDPR”.
GDPR, una protezione tra rischi e pericoli per le persone fisiche e per l’economia
Indice degli argomenti
Il Parere dell’EDPB
Dal 24 febbraio di quest’anno la Russia è in guerra con l’Ucraina. Molteplici sono state le sanzioni che l’Europa ha applicato in risposta all’attacco militare russo, sia di tipo economico sia finanziario e individuale. In data 16 marzo, la Russia è stata esclusa dal Consiglio d’Europa e, come ulteriore misura, il 16 settembre cesserà anche di essere una Alta Parte Contraente della Convenzione Europea dei Diritti Umani.
Nel suo parere, l’EDPB afferma che, come conseguenza del conflitto in atto, la Russia non può più essere considerata parte contraente degli accordi e delle convenzioni di cui usufruiscono gli Stati Membri facenti parte del Consiglio, sebbene, sulla base della decisione adottata il 23 marzo dal Consiglio stesso, essa continuerà ad essere parte contraente di tutti quegli accordi stipulati dal Consiglio ma accessibili anche agli Stati non membri, come ad esempio la Convenzione 108, sebbene le modalità di tale accesso siano ancora da definire da parte di ciascun Stato membro.
Poiché la Russia non beneficia di una decisione di adeguatezza da parte della Commissione Europea, continua l’EDPB, i trasferimenti di dati personali verso tale paese devono essere effettuati utilizzando uno degli altri strumenti di trasferimento previsti dal Capo V del Regolamento UE 2016/679 o GDPR.
Pertanto, nel caso in cui i dati personali di interessati siano trasferiti in Russia, gli esportatori di tali dati dovranno valutare e identificare la base giuridica per il trasferimento e lo strumento da utilizzare tra quelli previsti dal Capo V del presente Regolamento al fine di garantire l’applicazione di garanzie adeguate per supportare tale trasferimento.
A seguito della sentenza Schrems II, ricorda ancora l’EDPB, e secondo le Raccomandazioni stesse fornite dal Board sulle misure supplementari, gli esportatori dei dati dovranno valutare se, nell’ambito del trasferimento in questione, vi sia qualcosa nelle legge e/o nelle prassi vigenti in Russia (in particolare, per quanto riguarda l’accesso ai dati personali da parte delle autorità pubbliche russe, per finalità di contrasto e sicurezza nazionale) che possano pregiudicare l’efficacia delle garanzie adeguate previste dagli strumenti di trasferimento individuati precedentemente.
Nel caso in cui l’efficacia delle garanzie individuate venga meno, gli esportatori dovranno identificare e adottare misure supplementari necessarie per garantire agli interessati un livello di protezione essenzialmente equivalente a quello garantito all’interno dello spazio economico europeo, che ricordiamo essere l’insieme di tutti i paesi membri dell’Unione più Islanda, Liechtenstein e Norvegia, in cui vige il GDPR.
Nel caso in cui tale valutazione porti alla conclusione che la conformità non è o non può essere garantita e non sia stato possibile individuare misure supplementari idonee, afferma l’EDPB, gli esportatori dovranno interrompere i trasferimenti di dati.
Il contesto del trasferimento dati e il conflitto russo-ucraino
Ai sensi dell’articolo 45 del GDPR, la decisione di adeguatezza è un atto della Commissione Europea che, dopo un processo di analisi piuttosto articolato e complesso, che prende in esame sia l’ordinamento giuridico, sia la presenza e operatività di una autorità di controllo sia la valutazione degli impegni internazionali assunti dalla nazione esaminata, certifica che tale nazione garantisce un livello di “protezione adeguata” per i trasferimenti di dati senza che sia necessario applicare alcuna misura ulteriore.
In assenza di una tale decisione, il trasferimento è possibile solo se il titolare o il responsabile del trattamento ha fornito le cosiddette garanzie adeguate, come indicato nell’articolo 46 del GDPR. Tali garanzie sono in genere strumenti di tipo contrattuale, tra cui primeggiano le Norme vincolanti d’impresa e le Clausole Tipo di protezione dei dati adottate dalla Commissione.
La ormai famosa sentenza della Corte di Giustizia Europea Schrems II del 16 luglio 2020, ha stabilito che la valutazione che l’esportatore deve compiere per poter dimostrare l’adeguatezza del trasferimento nel paese terzo deve tenere conto sia degli strumenti indicati dall’articolo 46 del GDPR, sia gli elementi rilevanti del sistema giuridico di tale paese, con l’obiettivo di valutare i rischi derivanti da un eventuale accesso da parte delle autorità pubbliche del paese terzo ai dati personali trasferiti.
Va da sé che l’adozione delle garanzie adeguate non garantisce che, nel corso del trasferimento, possano venire meno parte o tutte di queste garanzie, ed è necessario che l’esportatore effettui una continua sorveglianza e faccia sue le indicazioni dell’EDPB già evidenziate nelle Raccomandazioni 01/2020 relative alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE, adottate il 10 novembre 2020, come ad esempio la cifratura dei dati.
In assenza di una decisione di adeguatezza o di garanzie adeguate sulla base degli articoli 45 e 46 del GDPR, un trasferimento di dati personali verso un paese terzo può aver luogo, in circostanze specifiche, solo in base a una delle deroghe in specifiche situazioni previste dall’articolo 49 del GDPR.
Le disposizioni introdotte dall’articolo 49 vanno considerate come eccezioni al principio generale del trasferimento, come ben evidenziato dalle Linee guida 2/2018 sulle deroghe di cui all’articolo 49 del regolamento 2016/679, adottate il 25 maggio 2018.
Tra le condizioni elencate nell’articolo 49 ricordiamo:
- l’interessato ha esplicitamente acconsentito al trasferimento proposto, dopo essere stato informato dei possibili rischi di siffatti trasferimenti;
- il trasferimento sia necessario all’esecuzione di un contratto concluso tra l’interessato e il titolare del trattamento;
- …;
- il trasferimento è necessario per importanti motivi di interesse pubblico;
- il trasferimento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria;
- il trasferimento è necessario per tutelare gli interessi vitali dell’interessato o di altre persone, qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso.
La Russia, come altre nazioni quali la Cina e l’India, non ha mai beneficiato di una decisione di adeguatezza ai sensi dell’articolo 45 del GDPR, e il problema del trasferimento dei dati verso questo paese era già ben presente prima dell’insorgere del conflitto, in quanto il suo ordinamento poteva considerarsi già tale da richiedere alcune cautele sia per quanto riguarda l’adozione delle garanzie adeguate dell’articolo 46 che all’impiego delle deroghe elencate nell’articolo 49.
Poiché il conflitto Russo-Ucraino si combatte a vari livelli, e coinvolge anche il mondo cibernetico e dell’informazione, aspetto ampiamente confermato dai ripetuti attacchi informatici che la Russia ha indirizzato sia verso le infrastrutture ucraine sia verso quelle europee, l’effetto è stato quello di rendere il problema del trasferimento ancora più marcato ed evidente.
Conclusioni
Sono molti gli Stati Europei che hanno stretti legami economici e storici con la Russia, e pertanto sono frequenti gli scambi di dati, anche personali, tra questi paesi e la Russia.
È chiara l’intenzione dell’EDPB di porre l’accento sui possibili rischi per gli interessati derivanti da trasferimenti di dati personali verso la Russia condotti da esportatori con mezzi ancora non sufficientemente analizzati in termini di caratteristiche e funzionalità, come l’ubicazione dei server, la proprietà, le misure tecniche applicate, i destinatari dei dati.
Come ribadito nel parere, l’EDPB guarda con attenzione l’evolversi della situazione, e si riserva di intervenire, coordinando le azioni delle singole autorità, ogni qual volta i diritti e le libertà degli interessati possano venire meno in virtù di tali operazioni di trattamento.
Se di fatto il conflitto ha reso ancora più evidente un problema già esistente, da cui la necessità del parere del Board, va però evidenziato che tale parere non fornisce alcun elemento utile a valutare il quadro giuridico russo, la cui valutazione si rende necessaria per capire se sia possibile applicare, o meno, le garanzie adeguate dell’articolo 46 del GDPR.
È implicito che durante tale valutazione, nel caso specifico del conflitto russo-ucraino, sarà necessario tenere a mente elementi ulteriori e specifici rispetto a situazioni tradizionali, e la mancanza di indicazioni in tal senso potrebbe far sì che aspetti importanti, che potrebbero rivelarsi di estrema importanza per le tutele degli interessati, vengano ignorati o sottovalutati.
È auspicabile che, quanto prima, l’EDBP intervenga anche su questo fronte, in modo da dare le giuste indicazioni a coloro che devono effettuare trasferimenti di dati verso la Russia, garantendo però la tutela degli interessati.
