I quattro step per trasferire dati extra UE in modo corretto: ecco le indicazioni dell'EDPB - Cyber Security 360

La guida

I quattro step per trasferire dati extra UE in modo corretto: ecco le indicazioni dell’EDPB

Le raccomandazioni formulate a novembre 2020 dall’EDPB forniscono una metodologia per valutare le misure supplementari da porre in essere per trasferire i dati extra UE in modo corretto, al fine di essere conformi al GDPR in seguito alla sentenza Schrems II della Corte di Giustizia europea

24 Dic 2020
M
Francesca Mistretta

Specialista in Protezione dei Dati, Funzione Compliance

Un modello per definire le misure supplementari da adottare nel trasferire i dati extra UE, con grande attenzione all’accountability, spiegando in quattro step come agire in modo compliant: è quello indicato a novembre 2020 dall’EDPB con le “Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data”.

Indicazioni destinate ai titolati e ai responsabili del trattamento per essere conformi in seguito alla sentenza Schrems II, con cui la Corte di giustizia europea ha invalidato il Privacy shield rivoluzionando le regole per il trasferimento dei dati extra UE.

Le raccomandazioni forniscono una metodologia per determinare se e quali misure supplementari devono essere poste in essere nei loro trasferimenti di dati personali. Infatti, la principale responsabilità dei predetti soggetti è quella di assicurare che i dati trasferiti in paesi terzi godano di un livello di protezione equivalente a quello garantito all’interno dell’Unione Europea.

Pertanto, con queste Raccomandazioni l’ EDPB vuole incoraggiare un’applicazione coerente del GDPR e della sentenza.

Trasferire dati extra UE: il principio di accountability

A mente dell’articolo 8, comma primo, della Carta dei Diritti Fondamentali dell’Unione Europea, “ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano”. Detto diritto non deve essere inteso come un diritto assoluto, in quanto deve essere bilanciato rispetto gli altri diritti fondamentali in conformità al principio di proporzionalità.

WEBINAR
Approccio Zero Trust: quanto è importante in un progetto di security? Scoprilo nel live
Sicurezza
Cybersecurity

Il diritto alla protezione dei dati ha una “natura attiva”. Il titolare del trattamento e il responsabile del trattamento, agendo come “esportatori di dati”, devono essere compliant con il predetto diritto in un modo attivo e continuo mediante l’attuazione di misure legali, tecniche e organizzative.

In virtù del principio di accountability il titolare del trattamento e il responsabile del trattamento devono altresì essere in grado di dimostrare il loro commitment ai soggetti interessati e alle autorità di controllo. Infatti, ai sensi dell’articolo 5, comma 2°, del GDPR il titolare del trattamento è competente per il rispetto dei principi applicabili al trattamento dei dati personali e deve essere in grado di comprovarlo («responsabilizzazione»).

Ed ancora, a mente dell’articolo 28, comma 3°, lettera (h), il responsabile del trattamento mette a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al sopracitato articolo e contribuisce alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.

Il principio di accountability, che è un principio necessario a garantire l’effettiva applicazione del livello di protezione dei dati sancito dal GDPR, si applica anche al trasferimento dei dati verso paesi terzi.

Come già dichiarato dalla Corte di Giustizia dell’Unione Europea con la sentenza “Schrems II”, per il summenzionato trasferimento dei dati è fondamentale assicurare un livello di livello di protezione essenzialmente equivalente a quello garantito all’interno dell’Unione Europea.

Con questa sentenza la Corte ha altresì sottolineato la responsabilità degli “esportatori” di dati e degli importatori a garantire che il trattamento dei dati personali sia e che continui in futuro a essere effettuato in compliant con il livello di protezione previsto dalla normativa europea sulla protezione dei dati e a sospendere il trasferimento e/o terminare un contratto nel caso in cui un importatore dei dati non sia più in grado di rispettare gli standard delle clausole di protezione dei dati contenute nel contratto tra l’esportatore e l’importatore.

Il titolare del trattamento e il responsabile del trattamento, agendo come “esportatori di dati”, devono assicurarsi che gli importatori collaborino con loro nell’esercizio di tali responsabilità, tenendoli informati di qualsiasi sviluppo che possa incidere sul livello di protezione dei dati ricevuti nel paese terzo dell’importatore.

Il modello EDPB: gli step per trasferire dati extra UE

Il trasferimento dei dati verso un paese terzo effettuato da un titolare del trattamento o dal responsabile del trattamento, che agiscono nella veste di “esportatori dei dati”, si caratterizza di una serie di steps allo scopo di garantire il rispetto del principio di accountability.

Primo step: recording e mapping

Il primo step consiste nel “conoscere i propri trasferimenti”. Gli “esportatori dei dati” devono porre in essere le attività di recording e mapping di tutti i trasferimenti al fine di essere pienamente consapevoli dei trasferimenti che svolgono.

A mente degli articoli 13, comma 1, lettera f, e 14, comma 1, lettera f, il titolare del trattamento e il responsabile del trattamento devono informare i soggetti interessati in merito al trasferimento dei dati verso un paese terzo.

Nello specifico, i predetti devono informarli dell’esistenza o dell’assenza di una decisione di adeguatezza della Commissione Europea o, nel caso dei trasferimenti di cui agli articoli 46 o 47 del GDPR, o all’articolo 49, comma 1, secondo paragrafo, o delle garanzie appropriate/opportune e dei mezzi per ottenere una copia delle predette o il luogo dove sono state rese disponibili.

Nell’attività di mapping dei trasferimenti, gli “esportatori” devono anche tenere in considerazione i successivi trasferimenti, per esempio, nel caso in cui i responsabili del trattamento al di fuori dello Spazio Economico Europeo (SEE) trasferiscano i dati personali a loro affidati a un sub-responsabile collocato in un altro paese terzo o nello stesso paese terzo.

Inoltre, in virtù del principio di “minimizzazione dei dati” sancito dall’articolo 5, comma 1, lettera (c), del GDPR gli “esportatori” devono verificare che i dati che trasferiscono in un paese sito al di fuori dello SEE siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.

Fondamentale che tutte le attività sopracitate siano svolte prima che il trasferimento sia effettuato in quanto è importante sapere ove i dati personali trasferiti saranno collocati o trattati dagli importatori.

L’EDPB precisa altresì che anche l’accesso remoto da un paese terzo – per esempio in situazioni di supporto – e/o lo storage in un cloud situato al di fuori dello SEE devono essere intesi come trasferimenti dei dati.

Pertanto, se il titolare del trattamento e/o responsabile del trattamento utilizzano un cloud internazionale, i predetti devono valutare se i dati saranno trasferiti a paesi terzi e dove, a meno che il fornitore del cloud dichiari chiaramente nel suo contratto che i dati non verranno trattati in paesi terzi.

Secondo step: identificare i tool di trasferimento

Il secondo step consiste nell’“identificare i tool di trasferimento” tra quelli previsti dal Capitolo V del GDPR dei quali gli “esportatori” si possono avvalere per trasferire i dati in un paese terzo.

Tra i predetti si trovano:

  • le decisioni di adeguatezza della Commissione Europea: ai sensi dell’articolo 45 del GDPR “il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale è ammesso se la Commissione ha deciso che il paese terzo, un territorio o uno o più settori specifici all’interno del paese terzo, o l’organizzazione internazionale in questione garantiscono un livello di protezione adeguato. In tal caso il trasferimento non necessita di autorizzazioni specifiche”. Ad ogni modo, gli “esportatori” sono tenuti a monitorare con costanza se la Commissione Europea ha revocato o invalidato le predette decisioni non ritenendo più capace il paese terzo a garantire un adeguato livello di protezione dei dati;
  • il trasferimento a garanzie adeguate: ai sensi dell’articolo 46 del GDPR “in mancanza di una decisione ai sensi dell’articolo 45, paragrafo 3, il titolare del trattamento o il responsabile del trattamento può trasferire dati personali verso un paese terzo o un’organizzazione internazionale solo se ha fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi”. Le principali garanzie adeguate di cui all’articolo 46 sono (a) le standard contractual clauses (SCCs), (b) le norme vincolanti d’impresa (BCRs), (c) i codici di condotta, (d) i meccanismi di condotta, (e) clausole contrattuali ad hoc. Tuttavia, la situazione presente nel paese terzo ove gli “esportatori” vogliono trasferire i dati potrebbe richiedere delle misure supplementari allo scopo di garantire un livello di protezione dei dati sostanzialmente equivalente a quello presente in un paese dello SEE;
  • deroghe in specifiche situazioni: in assenza di una decisione di adeguatezza della Commissione Europea o delle garanzie adeguate di cui sopra il titolare del trattamento e/o il responsabile del trattamento potrebbero trasferire i dati in un paese terzo in base alle deroghe elencate nell’articolo 49 del GDPR. Dette deroghe devono essere interpretate in modo restrittivo e riguardano principalmente i trattamenti occasionali e non ripetitivi.

Nell’ ipotesi in cui il trasferimento non possa avvenire sulla base di una decisione di adeguatezza o delle deroghe ex articolo 49, è necessario procedere con lo step 3.

Terzo step: valutare i mezzi di trasferimento

Il terzo step consiste nel “valutare che i mezzi di trasferimento di cui all’articolo 46 siano nella pratica efficaci”.

Nello svolgere il predetto assessement il titolare del trattamento o il responsabile del trattamento devono prendere in considerazione non solo tutti gli attori coinvolti (e.g. responsabili del trattamento, sub-responsabili del trattamento del paese terzo), ma devono anche esaminare le peculiarità dei trasferimenti e determinare in che modo l’ordinamento giuridico nazionale del paese in cui i dati sono trasferiti (o successivamente trasferiti) si applica a questi trasferimenti.

Il contesto giuridico applicabile dipenderà dalle circostanze del trasferimento e in particolare:

  • dalle finalità per le quali i dati sono trasferiti e trattati (ad es. marketing, risorse umane, archiviazione, supporto informatico, studi clinici);
  • dai tipi di soggetti coinvolti nel trattamento (e.g. pubblico privato;titolare del trattamento/responsabile del trattamento);
  • dal settore in cui avviene il trasferimento (e.g.. tecnologia, telecomunicazioni, finanza);
  • dalle categorie di dati personali trasferiti;
  • se i dati saranno conservati nel paese terzo o se vi è solo accesso remoto ai dati memorizzati all’interno dello SEE;
  • dal formato dei dati da trasferire (e.g. in testo semplice o cifrato);
  • dalla possibilità che i dati possano essere trasferiti da un paese terzo a un altro paese terzo.

Gli “esportatori” dovranno altresì prestare particolare attenzione alle leggi che prevedono requisiti precisi per la divulgazione di dati personali alle autorità pubbliche o che concedono a dette autorità poteri di accesso ai dati.

Se questi requisiti o poteri sono limitati a quanto necessario e proporzionato in una società democratica, potrebbero non interferire con gli impegni contenuti negli strumenti di trasferimento descritti nell’articolo 46.

Quarto step: le misure supplementari

Il quarto step consiste nell’ “adottare delle misure supplementari” e si verifica quando l’assessement dello step 3 ha rivelato che i tools di trasferimento previsti dall’articolo 46 non sono efficaci.

Diventa quindi necessario valutare se esistono misure supplementari, quali e se – una volta aggiunte alle garanzie di cui all’articolo 46 – possano garantire che i dati trasferiti in un paese terzo godano di un livello di protezione essenzialmente equivalente a quello garantito nell’Unione Europea.

Per definizione le “misure supplementari” sono supplementari alle garanzie previste dall’articolo 46.

In linea di principio, dette misure possono avere natura contrattuale, tecnica o organizzativa.

In genere, le sole misure contrattuali e organizzative non consentono l’accesso ai dati personali da parte delle autorità pubbliche del paese terzo. Infatti, ci saranno delle situazioni in cui solo le misure tecniche potrebbero impedire o rendere inefficace l’accesso ai dati personali da parte delle autorità pubbliche di paesi terzi.

In dette situazioni, le misure contrattuali o organizzative possono integrare le misure tecniche e rafforzare il livello di protezione dei dati (e.g. con la creazione di ostacoli ai tentativi delle autorità pubbliche di accedere ai dati in modo non conforme alle norme dell’Unione Europea).

Inoltre, è possibile consultare il seguente elenco non esaustivo di fattori al fine di individuare le misure supplementari che sarebbero più efficaci per proteggere i dati trasferiti:

  • formato dei dati oggetto di trasferimento;
  • natura dei dati;
  • lunghezza e complessità del workflow dei trattamenti dei dati, numero dei soggetti coinvolti nel trattamento e la relazione tra di loro;
  • possibilità che i dati possano essere oggetto di ulteriori trasferimenti sia all’interno dello stesso paese terzo che verso altri paesi terzi.

Trasferire dati extra UE: lo scenario futuro

Alla luce di quanto appena descritto, gli scenari che possono verificarsi sono i seguenti:

  • il trasferimenti dei dati verso un paese terzo può proseguire se le misure supplementari poste in essere in combinazione con uno degli strumenti previsti dall’articolo 46 raggiungono un livello di protezione essenzialmente equivalente al livello di protezione garantito all’interno dello SEE;
  • il trasferimento dei dati verso un paese terzo non deve iniziare se non sono trovate o attuate misure supplementari efficaci e tali da garantire un livello di protezione dei dati sostanzialmente equivalente. Nel caso in cui si stia già effettuando un trasferimento, è necessario sospenderlo e i dati che sono già stati trasferiti e le loro copie dovranno essere restituite dall’importatore o distrutte nella loro interezza;
  • si opta per il proseguimento del trasferimento malgrado l’importatore non sia in grado di rispettare gli impegni presi nello strumento di trasferimento di cui all’articolo 46. In detto caso, è necessario informare l’autorità di controllo competente che può sospendere o vietare il predetto trasferimento qualora valuti non assicurato il livello essenzialmente equivalente di protezione dei dati. Ad ogni modo, l’autorità di controllo competente può imporre qualsiasi altra misura correttiva (e.g. un’ammenda) se, nonostante non sia possibile dimostrare un livello di protezione sostanzialmente equivalente nel paese terzo, l’esportatore avvia o prosegue il trasferimento.

Gli ulteriori step procedurali, che si potrebbero adottare nel caso in cui siano state individuate le misure supplementari efficaci, possono differire a seconda dello strumento di trasferimento GDPR di cui all’articolo 46 che si intende utilizzare.

Per esempio, quando si intende introdurre misure supplementari in aggiunta alle standard contractual clauses (SCCs), non è necessario richiedere un’autorizzazione alle autorità di controllo competenti per aggiungerle a patto che le misure supplementari individuate non siano in contraddizione, direttamente o indirettamente, con dette clausole e siano sufficienti a garantire che il livello di protezione previsto dal GDPR non sia compromesso.

L’esportatore e l’importatore di dati devono garantire che le clausole aggiuntive non possono essere interpretate in alcun modo per limitare i diritti e gli obblighi dei SCCs o in qualsiasi altro modo per abbassare il livello di protezione dei dati.

I predetti soggetti – in virtù del principio di accountability – devono essere in grado di dimostrarlo, inclusa l’assenza di ambiguità di tutte le clausole.

A loro volta, le autorità di controllo competenti hanno il potere di riesaminare tali clausole aggiuntive ove richiesto.

Conclusione

In conclusione, è lecito affermare che con la sentenza “Schrems II” la Corte di Giustizia dell’Unione Europea ha sottolineato la necessità di assicurare la continuità del livello di protezione previsto dal GDPR ai dati personali trasferiti verso un paese terzo, ossia sito al di fuori dello Spazio Economico Europeo (SEE).

Allo scopo di garantire un livello sostanzialmente equivalente di protezione dei vostri dati, gli “esportatori” di dati devono conoscere a fondo i propri trasferimenti, verificando altresì che gli stessi riguardino un flusso di dati adeguati, pertinenti e limitati a quanto necessario in relazione alle finalità per le quali sono trasferiti e trattati nel paese terzo.

Inoltre, è necessario che i predetti “esportatori” siano in grado di individuare il corretto mezzo di trasferimento su cui fai affidamento. A tale riguardo, si possono verificare diversi scenari:

  • se lo strumento di trasferimento non è una decisione di adeguatezza, gli “esportatori” devono verificare caso per caso se la legge o la prassi del paese terzo di destinazione compromette le garanzie contenute nello strumento di trasferimento di cui all’articolo 46 del GDPR;
  • se lo strumento di trasferimento dell’articolo 46 del GDPR da solo non riesce a garantire un livello di protezione essenzialmente equivalente per i dati personali che sono trasferiti, le misure supplementari possono colmare tale lacuna;
  • gli “esportatori” dei dati non possono iniziare un trasferimento verso un paese terzo nel caso in cui non siano in grado di attuare misure supplementari efficaci che garantiscano che i dati personali trasferiti godano di un livello di protezione sostanzialmente equivalente. Nell’ipotesi in cui il trasferimento sia già stato effettuato, devono sospenderlo o interromperlo tempestivamente;
  • l’autorità di controllo competente ha il potere di sospendere o porre fine ai trasferimenti di dati personali verso il paese terzo se non è garantita la protezione dei dati trasmessi richiesta dal diritto dell’UE, in particolare dagli articoli 45 e 46 del GDPR e dalla Carta dei Diritti Fondamentali.

WHITEPAPER
Come si raggiunge una completa sicurezza dell’Internet of Things?
IoT
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 2