EDPB pubblica le raccomandazioni sul trasferimento dati: ecco le nuove misure supplementari - Cyber Security 360

DATA PROTECTION

EDPB pubblica le raccomandazioni sul trasferimento dati: ecco le nuove misure supplementari

La versione definitiva delle raccomandazioni EDPB sul trasferimento dati prevedono che l’esportatore (sia esso un titolare o un responsabile), ai sensi del principio di accountability, ponga in essere una procedura di valutazione della conformità del trasferimento stesso. Ecco gli step da seguire

23 Giu 2021
C
Marina Rita Carbone

Consulente privacy

Nel corso della cinquantesima sessione plenaria, l’European Data Protection Board (o “EDPB”) ha adottato la versione definitiva delle sue raccomandazioni sulle misure supplementari da adottare per il trasferimento di dati personali verso i Paesi Terzi.

Tali raccomandazioni, nella loro versione definitiva, pongono maggiore enfasi sulle pratiche poste in essere dalle “autorità pubbliche di un Paese terzo” e consigliano di verificare, prima di porre in essere il trasferimento dei dati personali, l’esistenza di leggi e prassi locali che incidono sul rispetto delle nuove clausole contrattuali standard elaborate dalla Commissione Europea.

Trasferimenti dati extra-UE, le nuove clausole standard non sono ancora una vera soluzione

Trasferimento dati extra UE: le nuove raccomandazioni

Le nuove raccomandazioni sulle misure supplementari da adottare per garantire la conformità del trasferimento di dati personali verso Paesi Terzi rappresentano la conclusione di un processo di adeguamento degli strumenti di soft law esistenti a seguito della nota sentenza della Corte di Giustizia dell’Unione Europea, “Schrems II”.

In detta sentenza, la Corte evidenziava come i trasferimenti di dati personali verso gli USA non potessero ritenersi, ai sensi di quanto previsto dal Privacy Shield, sufficientemente tutelati, anche in ragione di determinate leggi che prevedevano una eccessiva disclosure nei confronti delle autorità locali, contraria ai principi di cui al Reg. UE 679/2016 (“GDPR”).

Il Privacy Shield veniva così ritenuto inidoneo a tutelare i dati degli interessati europei, e disapplicato dalla Corte. Tale situazione di “stallo” ha creato non pochi problemi per una larga fetta dei titolari e dei responsabili del trattamento, che hanno improvvisamente visto “cadere” il fondamento giuridico sul quale i trasferimenti verso gli Stati Uniti si basavano.

Al fine di ovviare a tale situazione, la Commissione europea e l’EDPB si sono prontamente attivati per elaborare nuove raccomandazioni e nuove clausole contrattuali standard sulle quali poter ritenere legittimo e conforme ai principi di cui alla Sentenza Schrems II i trasferimenti di dati personali verso tutti i Paesi Terzi, inclusi gli USA.

Andrea Jelinek, presidente dell’EDPB, ha dichiarato a tal riguardo: “L’impatto di Schrems II non può essere sottovalutato: i flussi di dati internazionali sono già soggetti a un esame molto più attento da parte delle autorità di vigilanza che stanno conducendo indagini ai rispettivi livelli. L’obiettivo delle raccomandazioni dell’EDPB è guidare gli esportatori nel trasferimento legale di dati personali a paesi terzi, garantendo allo stesso tempo che ai dati trasferiti sia garantito un livello di protezione sostanzialmente equivalente a quello garantito all’interno dello Spazio economico europeo. Chiarendo alcuni dubbi espressi dalle parti interessate, e in particolare l’importanza di esaminare le pratiche delle autorità pubbliche nei paesi terzi, vogliamo rendere più facile per gli esportatori di dati sapere come valutare i loro trasferimenti verso paesi terzi e individuare e attuare misure supplementari efficaci laddove sono necessari. L’EDPB continuerà a considerare gli effetti della sentenza Schrems II e i commenti ricevuti dalle parti interessate nei suoi futuri orientamenti”.

Le raccomandazioni di cui si discute, infatti, sono state adottate per la prima volta nel novembre 2020, e mirano ad assistere i Titolari e i Responsabili del trattamento che agiscono in qualità di “esportatori di dati”, ponendo in capo ai medesimi il dovere, in assenza di strumenti come, ad esempio, le decisioni di adeguatezza, di individuare e attuare misure supplementari appropriate, che garantiscano un livello di protezione dei dati, nei Paesi terzi destinatari, sostanzialmente equivalente a quello garantito dagli standard europei.

Trasferimento dati extra UE, cosa sta succedendo dopo Schrems II

Le principali modifiche effettuate

La versione definitiva delle raccomandazioni presenta diverse modifiche rispetto alla sua versione iniziale, al fine di rispondere alle osservazioni ed ai feedback ricevuti dall’EDPB nel corso del periodo di consultazione pubblica.

Tra le principali modifiche attuate alle raccomandazioni rientrano:

  1. una maggiore enfasi sull’importanza di esaminare attentamente le prassi delle autorità pubbliche del Paese terzo destinatario, nel processo di valutazione di conformità giuridica svolto dagli esportatori, allo scopo di determinare se la legislazione e/o le prassi di detto Paese terzo possano intaccare, nella pratica, l’efficacia dell’art. 46 GDPR (rubricato “Trasferimento soggetto a garanzia adeguate”, il quale prevede che, in mancanza di una decisione di adeguatezza, il trasferimento può aver luogo soltanto se il paese terzo ha fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi);
  2. la facoltà, per l’esportatore, di considerare, nella sua valutazione di adeguatezza delle garanzie poste a tutela dei dati personali, l’”esperienza pratica” dell’importatore, e altri elementi, sebbene con alcuni avvertimenti;
  3. l’aggiunta di un chiarimento per il quale la legislazione del paese terzo di destinazione che consente alle sue autorità di accedere ai dati trasferiti, anche senza l’intervento dell’importatore, può anch’essa compromettere l’efficacia dello strumento di trasferimento.

Gli step di “assessment” previsti dalle raccomandazioni

Nella loro versione definitiva, dunque, le raccomandazioni prevedono che l’esportatore di dati (sia esso un titolare o un responsabile), ai sensi del principio di accountability, debba porre in essere una procedura di valutazione della conformità del trasferimento.

Nella sentenza Schrems II, anche la CGUE, infatti, sottolinea le responsabilità degli esportatori e degli importatori di garantire che il trattamento dei dati personali sia stato e continuerà ad essere effettuato “nel rispetto del livello di protezione stabilito dalla normativa dell’UE in materia di protezione dei dati” e che debba essere sospeso il trasferimento e/o la risolto il contratto qualora l’importatore dei dati non sia o non sia più in grado di rispettare le clausole standard di protezione dei dati ivi incorporate nel contratto in essere tra l’esportatore e l’importatore.

Il processo di valutazione delle garanzie del trasferimento dati si snoda, nella sostanza, in sei step:

  1. “Know your transfers”: la prima attività che l’esportatore deve porre in essere è quella di mappare correttamente tutti i trattamenti che richiedono un trasferimento di dati personali. Quando si mappano i trasferimenti, occorrerà prendere in considerazione anche i trasferimenti successivi (ad esempio, i responsabili del trattamento al di fuori del SEE trasferiscono i dati personali a un subprocessore in un altro paese terzo o nello stesso paese terzo). Anche l’accesso remoto da parte di un Paese terzo e/o la conservazione in un cloud sito al di fuori del SEE, è considerato un trasferimento di dati personali.
  2. Identify the transfer tools you are relying on”: svolta la mappatura dei trasferimenti dati, occorrerà individuare quale strumento poter utilizzare a garanzia della conformità dello stesso, secondo quanto previsto dagli artt. 44 e ss. GDPR. Se il trasferimento non può essere effettuato sulla base di una decisione di adeguatezza o sulla scorta delle deroghe di cui all’art. 49, occorrerà proseguire con lo step n. 3.
  3. Assess whether the Article 46 GDPR transfer tool you are relying on is effective in light of all circumstances of the transfer”: come anticipato, in tale fase l’esportatore dei dati dovrà prima valutare, anche in collaborazione con l’importatore, se le leggi o le prassi in vigore nel paese terzo possano costituire un impedimento all’effettività degli strumenti di garanzia d cui all’art. 46 GDPR. E’ in questa fase che si pone particolare enfasi anche ad elementi ulteriori quali: elementi che potrebbero rendere necessario l’accesso ai dati da parte delle autorità pubbliche del paese terzo, con o senza la conoscenza dell’importatore di dati, alla luce della legislazione vigente, della prassi e dei precedenti segnalati; elementi relativi alla possibilità, per le autorità pubbliche del paese terzo dell’importatore, di accedere ai dati tramite l’importatore stesso o i fornitori di telecomunicazioni o i canali di comunicazione, alla luce della legislazione vigente, dei poteri giuridici, delle risorse tecniche, finanziarie e umane a loro disposizione e dei precedenti segnalati.
  4. Adopt supplementary measures”: se la valutazione svolta nel terzo step ha rilevato degli elementi di criticità per la corretta applicazione dell’art. 46, occorrerà prendere in esame l’applicazione di misure supplementari che possano assicurare che il livello di protezione dei dati sia quantomeno equivalente agli standard europei. Le “misure supplementari” sono per definizione complementari alle garanzie già previste dallo strumento di trasferimento dell’articolo 46 GDPR e a qualsiasi altro requisito di sicurezza applicabile (ad esempio, misure tecniche di sicurezza) ai sensi del GDPR. Alcuni esempi di misure supplementari tecniche, contrattuale ed organizzative sono contenuti all’interno dell’Allegato 2 delle raccomandazioni, all’interno di una lista che è da considerarsi come non esaustiva (fra tutte, la crittografia dei dati viene ritenuta una delle principali misure supplementari tecniche di sicurezza). Se non si individuano delle misure supplementari efficaci, che garantiscano che i dati personali trasferiti godono di un livello di protezione essenzialmente equivalente a quello previsto in UE, il trasferimento non può avvenire; se il trasferimento è già in corso, deve essere sospeso o concluso, e i dati devono essere restituiti o distrutti nella loro interezza dall’importatore. Le misure supplementari possono essere anche imposte dall’Autorità competente.
  5. Procedural steps if you have identified effective supplementary measures”: una volta individuate le misure supplementari applicabili, queste dovranno essere documentate e previste all’interno di uno degli strumenti contrattuali previsti dall’art. 46 GDPR (Clausole Contrattuali Standard, Binding Corporate Rules, o clausole contrattuali ad hoc).
  6. Re-evaluate at appropriate intervals”: l’efficacia delle misure di garanzia dovrà essere monitorata su base regolare e, ove necessario, le stesse dovranno essere implementate o, viceversa, il trattamento dovrà essere concluso.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5