DATA PROTECTION

Il trasferimento di dati personali all’estero: le nuove linee guida dell’EDPB

È necessario utilizzare strumenti e procedure affidabili quando si effettua un trasferimento di dati personali all’estero, in modo da garantirne la necessaria protezione. Ecco le nuove linee guida dell’EDPB per risolvere le problematiche connesse al trasferimento dati verso Paesi terzi

25 Mar 2020
C
Marina Rita Carbone

Consulente privacy


In un mondo sempre più interconnesso diviene di primaria importanza, al fine di fornire adeguata protezione ai dati personali, l’utilizzo di strumenti e procedure affidabili, in particolare quando si effettua un trasferimento di questi stessi dati personali all’estero presso Paesi terzi.

A tal fine, EDPB (European Data Protection Board) ha provveduto a elaborare delle linee guida per definire quali siano gli elementi essenziali di un accordo di trasferimento dati fra Autorità pubbliche europee e Autorità o organizzazioni internazionali appartenenti a Paesi terzi, ai sensi del disposto dell’art. 46 GDPR.

L’obiettivo che i Garanti si pongono è quello di aggiornare le indicazioni precedentemente fornite dal WP29 (Article 29 Working Party) sulle principali problematiche connesse al trasferimento di dati personali all’estero.

Nel seguito, un’analisi dei punti principali delle linee guida fornite da EDPB.

Il legittimo trasferimento dei dati verso Paesi terzi

Ai sensi del combinato disposto dell’art. 46 GDPR e del Considerando 108, “In mancanza di una decisione ai sensi dell’articolo 45, paragrafo 3, il titolare del trattamento o il responsabile del trattamento può trasferire dati personali verso un paese terzo o un’organizzazione internazionale solo se ha fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi”.

Tali garanzie possono consistere anche in “accordi amministrativi, quali un memorandum d’intesa, che prevedano per gli interessati diritti effettivi e azionabili”.

Tuttavia, il GDPR non specifica con esattezza quali siano le garanzie minime da richiedere all’interno di tale strumento giuridico, limitandosi ad un generico riferimento a “diritti azionabili e mezzi di ricorso effettivi”.

In soccorso di tale vuoto normativo, giungono le linee guida aggiornate elaborate da EDPB, che prendono pieno spunto da quelli che sono gli elementi cardine delle clausole contrattuali tipo già applicate ai sensi della precedente direttiva 95/46/CE.

Tali clausole contrattuali focalizzano l’attenzione del titolare che trasferisce i dati (o “esportatore”) su alcuni aspetti organizzativi e tecnici del soggetto titolare o del responsabile che riceve i dati personali (detto anche “importatore”), in particolare:

  • le misure tecniche e organizzative attuate a fronte della distruzione o della perdita, accidentale o illecita, dell’alterazione, della divulgazione o dell’accesso non autorizzati ai dati, in proporzione al rischio connesso al trattamento;
  • le procedure poste in atto dall’importatore nei confronti dei propri autorizzati al trattamento, per rispettare e preservare la confidenzialità e la sicurezza dei dati personali anche a livello organizzativo, nonché la correttezza e completezza delle istruzioni fornite agli stessi;
  • l’esistenza di norme che possano comportare maggiori rischi, determinando una compressione delle garanzie sui dati personali;
  • la disponibilità, da parte dell’importatore, di risorse finanziarie e di coperture assicurative sufficienti a far fronte alle responsabilità connesse al trattamento dei dati per conto dell’esportatore, in particolar modo ove questi appartengono alla categoria dei c.d. dati particolari;
  • la disponibilità, da parte dell’importatore, a seguito di apposita richiesta giustificata, a sottoporsi ad audit e verifiche da parte del soggetto esportatore, fornendo tutta la documentazione che dovesse servire a determinare la conformità all’impianto normativo e contrattuale che lega le due parti;
  • il rispetto dei principi dettati dalla normativa europea vigente sul trattamento dei dati personali;
  • la trasparenza nei confronti dell’esportatore qualora l’importatore decida di trasferire i dati a soggetti terzi, con l’assunzione delle medesime garanzie e obblighi che regolano l’originario rapporto di trasferimento dati, inclusa la corretta acquisizione del consenso degli interessati qualora si tratti di dati c.d. particolari;
  • la previsione di adeguate responsabilità ove una delle due parti violi l’accordo.

I nuovi accordi di trasferimento step-by-step

WEBINAR
Sicurezza IT: focus su casi reali, “schemi di gioco” e organizzazioni criminali
Cybersecurity
Sicurezza dei dati

Al fine di adeguare i precedenti accordi o adottarne di nuovi, EDPB fornisce dunque una serie di principi e istruzioni sugli elementi e sulle verifiche la cui presenza si rivela imprescindibile all’interno di un accordo fra due enti pubblici:

  • innanzitutto, il trattamento, come ovvio, deve essere giustificato da una base legale individuata ai sensi dell’art. 6 GDPR o degli artt. 9-10 GDPR, per quelle categorie di dati particolarmente delicati e a rischio, la cui illecita diffusione potrebbe comportare una compressione e/o una lesione dei diritti fondamentali dell’interessato;
  • in secondo luogo, deve essere garantito il rispetto del Capo V del GDPR, attraverso, come si è già detto, l’adozione di un atto legalmente vincolante e strumenti esecutivi efficaci.

Per rispettare concretamente quanto affermato dal Capo V, EDPB stabilisce che gli accordi fra le parti oggetto del trattamento debbano contenere, quali elementi minimi, le seguenti clausole:

  1. Scopo dell’accordo: gli accordi fra le parti devono determinare, in modo specifico, quale sia l’obiettivo dell’accordo, identificando altresì le categorie di dati personali che sono oggetto del trasferimento, nonché il tipo di trattamento cui gli stessi saranno sottoposti.
  2. Definizioni: un articolo dell’accordo dovrà altresì indicare le definizioni basilari connesse al trattamento dati ai sensi del GDPR, al fine di fornire una interpretazione univoca e adeguata del GDPR, quali “dato personale”, “trattamento”, “titolare del trattamento”, “responsabile del trattamento”, “destinatario dei dati personali” e “dati particolari”.
  3. Principi: l’accordo deve garantire, in linea generale, che i principi fondamentali della protezione dei dati di cui all’art. 5 GDPR, siano rispettati da ambedue le parti.
  4. Principio della limitazione delle finalità: con riguardo agli specifici principi sui quali il GDPR si fonda occorrerà specificare gli scopi per i quali i dati personali devono essere traferiti, oltre all’elencazione dei possibili scopi secondari che renderebbero possibile un ulteriore trattamento. Allo stesso modo, le parti devono garantire che i dati non saranno trattati per finalità ultronee a quelle specificatamente previste nell’accordo e/o incompatibili con gli obiettivi del trattamento, fatta salva la possibilità, da parte del soggetto ricevente, di richiedere formalmente l’autorizzazione al trattamento dei dati per specifiche ragioni, compatibili alle originali finalità.
  5. Principi di minimizzazione: i dati trasferiti devono essere adeguati, rilevanti e limitati a quelli necessari per l’esecuzione delle finalità precedentemente individuate. L’esportatore dei dati dovrà assicurare anche l’aggiornamento dei dati personali al fine di garantirne l’esattezza. L’accordo dovrebbe prevedere, altresì, la notifica all’altra parte dell’eventuale individuazione di dati inesatti o obsoleti, senza ritardo.
  6. Principio di limitazione della conservazione: tale clausola dovrebbe specificare come e per quanto tempo i dati personali dovrebbero essere conservati, nonché i casi nei quali gli stessi debbano essere conservati in forme che consentano l’identificazione dell’interessato solo per il tempo necessario all’esecuzione delle finalità connesse. Ove non sia possibile definire un tempo di conservazione specifico, in virtù delle peculiarità del trattamento cui i dati sono sottoposti, l’accordo dovrà prevedere un tempo minimo e un tempo massimo di conservazione.
  7. Sicurezza e confidenzialità del dato: le parti dovrebbero impegnarsi reciprocamente per garantire che ai dati personali, oggetto di trasferimento e trattamento, siano tutelati da idonee misure di sicurezza, sia tecniche (con specifico riferimento alle misure di cyber security) che organizzative (procedure e protocolli in grado di prevenire e/o minimizzare i rischi tramite pratiche consolidate e affidabili, anche facendo riferimento alle best practice adottate nello specifico settore di appartenenza dei titolari/responsabili). In tal modo, potranno iniziare a delinearsi gli ambiti di operatività e responsabilità delle parti dell’accordo, nell’obiettivo comune di difendere i dati personali dai data breach. Il livello di sicurezza richiesto ad ambedue le parti dovrebbe tenere conto, altresì, dei rischi connessi al singolo trattamento, dello stato dell’arte e dei relativi costi da sostenersi.
  8. Notifica del data breach: non può prescindersi dalla specifica previsione, a carico di ambedue le parti, di informare le altre di un’avvenuta violazione dei dati personali, al fine di mettere in atto tutte le misure di sicurezza necessarie ad arginare le conseguenze e gli effetti della violazione nonché ad impedire che si verifichi nuovamente. La coordinazione nella fase di rilevazione e comunicazione del breach consentirà anche di provvedere tempestivamente alla notifica dello stesso al Garante e/o agli interessati.
  9. Diritti degli interessati: le parti devono assicurare agli interessati il pieno esercizio dei diritti loro garantiti dagli artt. 15-22 GDPR. Le modalità di esercizio dei diritti e i processi di valutazione delle richieste dell’interessato devono essere previsti nell’accordo, di modo da garantire che tale esercizio sia effettivo.
  10. Informazione da fornire all’interessato: le parti dovranno impegnarsi reciprocamente a fornire agli interessati tutte le informazioni di cui agli artt. 13-14 GDPR, oltre a informazioni specifiche sulle modalità e sulle finalità del trasferimento dei dati personali, sugli strumenti più rilevanti utilizzati per trasferire i dati fra le parti, i diritti garantiti agli interessati, le possibili restrizioni degli stessi e, infine, i meccanismi tramite cui, in caso di violazioni normative, si consente agli interessati di chiedere un risarcimento;
  11. Diritti di accesso, rettifica, cancellazione, limitazione del trattamento ed opposizione: l’accordo dovrebbe specificare anche i casi nei quali i diritti dell’interessato possano essere compressi, nonché consentire alle parti di rigettare richieste dell’interessato manifestamente infondato o la cui esecuzione risulti eccessivamente onerosa.
  12. Processi decisionali automatizzati: anche i trattamenti posti in essere dalle autorità devono garantire il rispetto dell’art. 22 GDPR, secondo cui “L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”, fatte salve alcuni casi specificatamente previsti dal disposto normativo.
  13. Diritto ad essere risarciti: in primo luogo, il soggetto ricevente dovrebbe istituire un meccanismo per gestire efficacemente e tempestivamente i reclami degli interessati relativi alle garanzie incluse nell’accordo. Non solo, gli interessati dovrebbero avere la possibilità di ottenere un risarcimento adeguato prima di rivolgersi ad autorità di vigilanza indipendenti. In secondo luogo, l’accordo dovrebbe permettere all’interessato di ottenere il giusto risarcimento anche in via giudiziale, per i danni materiali e immateriali subiti a seguito di un illegittimo trattamento dei propri dati personali. Ove ciò non sia possibile, devono comunque essere garantiti dei rimedi alternativi. Il meccanismo risarcitorio non potrà prescindere anche dalla sospensione o dalla cessazione del trattamento, nel corso delle trattative con il danneggiato.
  14. Meccanismi di supervisione: tale clausola prevederà la messa in atto, da ambedue la parti, di verifiche periodiche del rispetto delle procedure e delle misure di sicurezza previste nell’accordo, per garantirne il rispetto e la piena efficacia.
  15. Conclusione del rapporto: ove il rapporto fra le parti si interrompa, dovrà prevedersi la prosecuzione dei soli trattamenti ancora in corso al momento della conclusione dello stesso.

Dati sensibili e particolari

I dati appartenenti alla categoria dei c.d. dati particolari non potranno essere oggetto di trasferimento tra le parti ove non sia possibile individuare una delle basi legali di cui all’art. 9 GDPR. Non solo, il trasferimento di tali dati dovrà essere tutelato da misure tecniche ed organizzative maggiori che possano minimizzare, contenere e prevenire il rischio specifico connesso al trattamento stesso.

Tali ulteriori misure, sulla base di quanto indicato da EDPB, potrebbero essere, a titolo esemplificativo:

  • restrizioni per l’accesso ai dati particolari;
  • limitazione delle finalità per le quali i dati possono essere trattati;
  • il divieto e/o la limitazione del trasferimento dei dati verso soggetti diversi dalle parti dell’accordo;
  • formazione specifica per il personale autorizzato ad accedere alle informazioni;
  • l’adesione a certificazioni;
  • la crittografia dei dati e la protezione dei database nei quali sono contenuti con misure di autenticazione doppie o triple;
  • l’adozione di tecniche di resilienza dei database.

Conclusioni

La previsione di clausole di garanzia minime anche per le autorità pubbliche getta le basi per la creazione di un sistema regolatorio condiviso anche a livello extra-europeo, a tutela esclusiva dell’interessato, che si troverebbe altrimenti a non poter esercitare i diritti a lui garantiti.

Nel concreto, tali clausole potranno essere utilizzate per regolare i nuovi rapporti tra soggetti pubblici europei e soggetti pubblici inglesi, non essendo più il Regno Unito uno stato membro a partire dallo scorso 30 gennaio.

Sebbene sia stato stabilito un periodo transitorio che prevede l’applicazione del Reg. UE 679/2016, a conclusione dello stesso, al fine di legittimare i trasferimenti di dati personali, dovrà essere individuato uno degli strumenti previsti all’art. 46 GDPR, ivi inclusa l’adozione di accordi internazionali simili al modello previsto da EDPB, salva l’eventuale adozione, da parte della Commissione europea, di una decisione di adeguatezza ai sensi del disposto di cui all’art. 45 GDPR, al pari di quella da tempo esistente nei confronti dei trasferimenti verso la Svizzera.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4