Uno degli aspetti più attentamente seguiti dagli esperti del settore data protection, imprenditori, studiosi, giuristi è il tema del trasferimento dei dati verso Paesi non appartenenti all’UE, o meglio non aderenti allo Spazio economico europeo, o verso organizzazioni internazionali.
Il concetto di base è semplice, se i nostri dati personali sono tutelati dalla legislazione europea che garantisce agli interessati di controllare l’uso che viene fatto dei loro dati personali e che possono esercitare una serie di diritti anche con l’ausilio di autorità di controllo indipendenti è evidente che una volta che gli stessi dati sono trasferiti verso paesi che non hanno simili tutele gli interessati perderebbero quelle garanzie riconosciute dal loro legislatore vanificando così le garanzie ed i diritti ad essi riconosciuti.
EDPB, le nuove Linee guida sul trasferimento dati estero: ecco come adeguarsi al GDPR
Ecco perché il GDPR, così come la precedente direttiva del 1995, consente il trasferimento solo a determinate condizioni, in assenza delle quali questo è vietato. Pensiamo ad esempio alle situazioni dove in paesi terzi esistono leggi o prassi che consentono senza alcuna tutela per gli interessati europei alle forze di polizia di accedere alla corrispondenza elettronica o a dati telefonici, biometrici o di localizzazione senza alcuna preventiva autorizzazione da parte della magistratura, senza quindi la possibilità per gli interessati di avere la possibilità di poter esercitare i propri diritti, come nel caso eclatante rivelato da Edward Snowden nel 2013.
Indice degli argomenti
Trasferimento dati, cosa dice la normativa europea
La normativa europea prevede così la possibilità di trasferire dati verso paesi terzi a certe condizioni: innanzitutto in caso di decisione di “adeguatezza” della Commissione Europea che viene riconosciuta a quei paesi che assicurano un adeguato livello di protezione che nella giurisprudenza della Corte di giustizia (Causa 362/14 del 6 Ottobre 2015 cd. Schrems I) non significa un livello di protezione identico ma “essenzialmente equivalente” a quello assicurato all’interno del Unione Europea.
Per addivenire a tale decisone la Commissione prende in considerazione vari elementi, tra questi, il quadro giuridico, lo stato di diritto, il rispetto dei diritti umani e delle libertà fondamentali, la legislazione pertinente, anche in materia di pubblica sicurezza, di difesa e sicurezza nazionale, il diritto penale, le norme sulla protezione dei dati, l’esistenza di autorità di controllo indipendenti per garantire e far rispettare le norme sulla protezione dei dati. Sono già diversi i paesi che hanno chiesto ed ottenuto il riconoscimento di “adeguatezza” solo per citare i più importanti l’Argentina, il Canada, Israele, la Nuova Zelanda, l’Uruguay e da ultimo il Giappone e la Corea del sud.
Clausole contrattuali e norme vincolanti d’impresa
In assenza della decisione di adeguatezza può essere utilizzato lo strumento delle garanzie adeguate, mi riferisco in primis alle clausole contrattuali (Clausole Contrattuali ad hoc o Standard – SCC). Lo scorso novembre la Commissione Ue ha adottato un nuovo set di clausole per allineare le SCC ai nuovi requisiti del RGPD e riflettere l’uso di nuove e più complesse operazioni di trattamento. Questo strumento ha una serie di vantaggi il primo dei quali è la flessibilità e può offrire lo stesso livello di protezione, ma prevede dei passaggi procedurali al Comitato europeo – EDPB per garantirne la consistency.
Ulteriore strumento che può essere utilizzato in assenza di riconoscimento dell’adeguatezza è dato dalle Norme vincolanti d’impresa (BCR) approvate dall’EDPB il cui scopo è di facilitare il trasferimento infragruppo dei dati personali. Qui le norme hanno natura “legalmente vincolante” anche per le società stabilite al di fuori dell’UE.
In assenza di una decisione di adeguatezza o di garanzie adeguate (SCC e BCR) un trasferimento o un insieme dei trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale può comunque avere luogo in presenza di una delle deroghe previste dal RGPD (art. 49). Sono casi limitati che vanno interpretati sapendo che parliamo di deroghe, di eccezioni. Si tratta di consenso o interesse vitale dell’interessato, esecuzione di un contratto tra l’interessato e il titolare del trattamento o concluso nell’interesse dell’interessato, importanti motivi di interesse pubblico riconosciuti nell’UE, accertamento, esercizio o difesa di azioni legali, dati presenti nei pubblici registri, interessi legittimi cogenti perseguiti dal titolare del trattamento che non prevalgono sugli interessi o sui diritti e le libertà dell’interessato, anche in questi casi va sempre fatta una valutazione delle circostanze del trasferimento e della presenza di adeguate garanzie in materia.
I nuovi strumenti del GDPR per il trasferimento dei dati
Il GDPR ha introdotto anche dei “nuovi” strumenti” utili a facilitare il trasferimento. Tra questi le Clausole contrattuali tipo che devono essere adottate da un’autorità nazionale e che poi, con l’approvazione dalla Commissione europea, avranno una validità generale in quanto in grado di garantire la coerenza. Ulteriore novità è data dal codice di condotta che una volta approvato avrà validità generale all’interno dell’Unione e che può anche essere rispettato e utilizzato da titolari o responsabili del trattamento non soggetti al RGPD. Così l’ambito di applicazione del CdC come strumento di trasferimento potrebbe consentire a un titolare o responsabile del trattamento in un paese terzo di fornire garanzie adeguate, in particolare per i trasferimenti specifici di un settore. In proposito lo scorso 22 febbraio il Comitato europeo ha approvato le Linee guida sui codici di condotta come strumenti per i trasferimenti.
La certificazione
Altro nuovo strumento è il meccanismo di certificazione come strumento di trasferimento che mira a fornire garanzie adeguate al trattamento dei dati personali. Anche per questo strumento il Comitato europeo ha avviato i lavori per fornire le linee guida in materia di certificazione come strumento per i trasferimenti. A codici e certificazioni vanno aggiunti gli impegni vincolanti ed esecutivi grazie ai quali titolari e responsabili del trattamento sono tenuti ad assumere impegni, tramite strumenti contrattuali o altri strumenti giuridicamente vincolanti utili ad aggiungere le opportune garanzie previste dal codice con riguardo ai diritti dei soggetti.
Le disposizioni negli accordi tra soggetti pubblici
Importante citare in questo contesto anche le disposizioni da inserire negli accordi amministrativi tra soggetti pubblici dei diversi paesi che includono diritti esecutivi ed effettivi dell’interessato. Questo rappresenta uno strumento giuridicamente vincolante ed esecutivo tra gli enti pubblici e richiedono la necessità di un’autorizzazione da parte della Autorità competente sull’ente pubblico cedente e la necessità di un parere del Comitato europeo sempre per garantirne la consistency.
Le sentenze Schrems I e II
In questo scenario obiettivamente complesso che riguarda i trasferimenti internazionali di dati personali verso paesi terzi o organismi internazionali si sono inserite nuove sfide. Mi riferisco principalmente alle due sentenze della Corte di giustizia UE (Causa 362/14, sopra citata, e la Causa 311/18 del 16 luglio 2020 c.d. Schrems I e II, prendendo il nome del reclamante Max Schrems), in particolare la seconda decisone ha invalidato l’accordo per il trasferimento dei dati personali verso gli USA, denominato Privacy Shield ma ha contestualmente riconosciuto valida la decisione della Commissione sulle clausole contrattuali tipo. Questo riconoscimento è importante perché conferma la possibilità di utilizzare le Clausole come strumento di trasferimento anche se la Corte avverte che ciò dipende dalla presenza di meccanismi che consentono effettivamente di garantire un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’UE.
Ecco perché il titolare del trattamento deve verificare che il livello di protezione sia equivalente e se necessario deve aggiungere alle Clausole le cd. “misure supplementari”. Se neanche con queste può essere garantita nella pratica il livello equivalente, l’esportatore dei dati è tenuto a sospendere il trasferimento e/o a rescindere il contratto con l’importatore. Pertanto cosa fare e come “salvare” il trasferimento? Ora l’esportatore di dati personali, con l’aiuto dell’importatore, deve verificare, prima di ogni trasferimento, e tenendo conto delle circostanze del trasferimento, se la legge applicabile nel paese terzo in questione possa incidere sugli impegni contenuti nello strumento utilizzato e se sarà il caso, dovrà applicare eventuali misure supplementari per garantirne l’efficacia.
Trasferimento dati, le iniziative dell’EDPB
Il ruolo dell’autorità sarà invece di valutare il livello di protezione offerto nella pratica dallo strumento di trasferimento e intervenire ove necessario vietando il trasferimento. In questo contesto il Comitato europeo sulla protezione dei dati personali ha cercato di fornire un ausilio ai titolari e responsabili del trattamento e agli operatori del settore.
Varie sono state le iniziative fornite grazie al lavoro delle varie autorità presenti nel Comitato, compreso il Garante italiano. Sono state sviluppate all’indomani della decisone Schrems II delle FAQ sulle conseguenze del provvedimento per i titolari e gli incaricati del trattamento (luglio 2020), ha poi emanato le Raccomandazioni 1/2020 per assistere i titolari e gli incaricati del trattamento principalmente nella valutazione caso per caso delle circostanze del trasferimento e del loro dovere di identificare e attuare effettive misure supplementari per garantire un livello di protezione sostanzialmente equivalente in caso di trasferimento dei dati verso paesi terzi, ha anche emanato raccomandazioni sulle supplementary misures e linee guida sui codici di condotta come strumento per i trasferimenti.
Questi documenti contengono utili suggerimenti per titolari e responsabili esportatori dei dati qualora non vi sia una decisione di adeguatezza. Questi, infatti, sono i principali “responsabili” nell’identificazione delle tutele più adeguate al trasferimento che si intende effettuare e devono verificare, caso per caso, anche a seconda dello strumento di trasferimento scelto, se la legge o la prassi del paese terzo pregiudica l’efficacia delle garanzie adeguate contenute nel RGPD e in caso devono attuare misure supplementari. Tutta questa valutazione dovrà essere accuratamente documentata.
Vi sono anche utili indicazioni per gli importatori del Paese terzo: collaborare con l’esportatore per consentire la valutazione della normativa specifica nel paese terzo; attuare le garanzie contenute nello strumento di trasferimento delle relative misure supplementari e fornire informazioni all’esportatore nel caso in cui non sia in grado di rispettare gli impegni.
Conclusione
Come si evince il contesto è in continua evoluzione e, in attesa che a seguito delle pronunce della Corte di giustizia le parti (UE e USA) pervengano a un nuovo accordo, le stesse autorità nazionali sono state chiamate ad intervenire, a seguito di specifiche segnalazioni, per verificare la regolarità di alcuni trasferimenti. Tra le prime autorità ad intervenire vi è quella dell’Austria, patria di Max Schrems, che ha adottato un provvedimento rispetto all’utilizzo di servizi di Google così come il Garante delle istituzioni europee (EDPS) ha emanato una decisione sull’uso degli analytics da parte del Parlamento europeo, di fatto vietandolo ritenendo il relativo trattamento in contrasto con il regolamento relativo al trattamento dei dati da parte delle istituzioni europee.
Seguiranno a breve le decisioni di altre Autorità che hanno aperto analoghe istruttorie. In conclusione la situazione resta ancora aperta, almeno per quanto riguarda i flussi di dati personali tra Unione europea e Stati Uniti d’America, fino a che non subentrerà un nuovo accordo sull’adeguatezza, a cui le due parti hanno già iniziato a lavorare, che contenga tutte le garanzie che la Corte di giustizia ha sin qui evidenziato.
