l'analisi

Linee guida definitive EDPB sui codici di condotta come strumenti per il trasferimento di dati: punti chiave

Approvate in via definitiva Linee Guida n. 4 del 2021 dell’European Data Protection Board (EDPB) sui codici di condotta come strumento per i trasferimenti. Ecco le principali novità, rilevanti per chi lavora con servizi che richiedono trasferimenti dati extra ue

11 Mar 2022
B
Riccardo Berti

Avvocato, Centro Studi Processo Telematico

Z
Franco Zumerle

Avvocato, Coordinatore Commissione Informatica Ordine Avvocati Verona

Nonostante una approvazione piuttosto recente (risalente al luglio 2021) è già tempo di approvazione definitiva per le Linee Guida n. 4 del 2021 dell’European Data Protection Board (EDPB) sui codici di condotta come strumento per i trasferimenti di dati (“Guidelines on Codes of Conduct as a tool for transfers”) strumento che merita tanta attenzione da parte del Gruppo Europeo dei Garanti proprio perché il mercato sta cercando da tempo e con urgenza soluzioni che mettano al riparo le aziende dai rischi di un trasferimento dati extra-UE dopo il terremoto causato dalla sentenza Schrems II.

Codici di condotta come strumento per i trasferimenti dati, le linee guida EDPB

Dopo l’approvazione iniziale, le Linee Guida sono state sottoposte alle osservazioni del pubblico fino al primo ottobre 2021 e in questa fase si è registrato un vivace dibattito riguardo al contenuto delle stesse, che ha portato ad un intervento significativo da parte dell’EDPB nel rilasciare la versione aggiornata delle Linee Guida, approvate nella seduta del 22 febbraio scorso.

Linee guida definitive EDBP sui codici di condotta come strumenti per il trasferimento di dati: principali novità

Le principali novità delle Linee Guida definitive, oggetto di ampia discussione nella fase di consultazione, riguardano:

  • La procedura per l’approvazione del codice di condotta transnazionale, che ora prevede una fase interlocutoria con l’autorità nazionale competente oltre che con l’EDPB (mentre nelle Linee Guida originali non era prevista la possibilità di revisione da parte dell’autorità nazionale dopo l’esame da parte dell’EDPB, circostanza che aveva portato alcuni a pensare che la procedura, in caso di proposte di modifica da parte dell’autorità nazionale, avrebbe dovuto riprendere dal punto di partenza);
  • La procedura che consente all’Organismo di Controllo in seno al Codice di Condotta di affidare ad enti nel paese terzo le sue attività rivolte alle aziende presenti in quel paese (per evitare un aumento esponenziale delle spese per l’adesione in paesi terzi e ad esempio che i paesi più piccoli vengano esclusi dalla possibilità di aderire al codice di condotta solo perché chi ha creato il codice non ha convenienza ad effettuare attività di auditing e monitoraggio in quel paese). In particolare, l’aggiornamento delle Linee Guida precisa e in certo modo irrigidisce i requisiti per questo “subappalto” delle attività di controllo, precisando che il ricorso ad enti terzi non comporta deleghe di responsabilità, in quanto resta comunque in capo all’organismo di controllo la responsabilità di vigilare sull’osservanza del codice di condotta. Inoltre, sempre all’organismo di controllo spetta garantire che l’ente terzo soddisfi i requisiti di indipendenza, assenza di conflitto di interessi e competenza prescritti dalle Linee Guida, curando anche di stipulare un contratto con l’ente terzo che garantisca la riservatezza dei dati trattati durante le attività di monitoraggio.

Alcuni player di rilievo (come ad esempio la FEDMA, Federation of European Data and Marketing) in sede di consultazione hanno anche evidenziato come i requisiti per l’adesione ad un codice di condotta siano estremamente rigidi e che i costi per un’azienda extra-europea saranno significativamente più alti, secondo la FEDMA questi rigorosi requisiti porteranno ad una scarsa adozione di questo strumento come viatico per il trasferimento dati extra-UE, specie nel caso di imprese di dimensioni minori. La critica non sembra però aver inciso sulle decisioni dell’EDPB, che ha mantenuto un’impostazione molto rigorosa nel definire i requisiti per l’adesione ad un codice di condotta da parte di aziende al di fuori del territorio comunitario ed anzi ha irrigidito i requisiti per il “subappalto” a terzi al di fuori dell’Unione delle attività di monitoraggio.

Nonostante l’ampio dibattito, però, le linee guida definitive lasciano ancora dei punti poco chiari, specie con riguardo alla suddivisione di compiti e responsabilità fra codice e aderente con riguardo alla specifica “situazione-paese” in cui questo si inserisce.

La normativa

Il Regolamento GDPR disciplina i codici di condotta agli articoli 40 e 41. Il paragrafo 3 dell’articolo 40 introduce un importante principio per cui:

Oltre all’adesione ai codici di condotta [..] da parte di titolari o responsabili soggetti al presente regolamento, possono aderire a tali codici di condotta anche i titolari del trattamento o i responsabili del trattamento che non sono soggetti al presente regolamento [..], al fine di fornire adeguate garanzie nel quadro dei trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali [..]. Detti titolari del trattamento o responsabili del trattamento assumono l’impegno vincolante e azionabile, mediante strumenti contrattuali o di altro tipo giuridicamente vincolanti, di applicare le stesse adeguate garanzie anche per quanto riguarda i diritti degli interessati.

A determinate condizioni i codici di condotta possono quindi diventare degli strumenti per legittimare un trasferimento dati verso paesi terzi.

Oltre a questi strumenti la legittimazione può derivare:

– da una decisione di adeguatezza (che ad oggi è stata emanata per i seguenti paesi: Andorra, Argentina, Canada, Isole Faroe, Baliato di Guernsey, Israele, Isola di Man, Giappone, Jersey, Nuova Zelanda, Corea del Sud, Svizzera, Regno Unito ed Uruguay);

– dall’adozione di clausole contrattuali standard (soluzione che però impone di adottare “garanzie ulteriori” nel caso in cui contrattualmente non si riesca a raggiungere un livello di protezione dei dati equivalente a quello presente in UE);

– dal possesso di idonee certificazioni da parte del soggetto verso cui si trasferiscono i dati ai sensi dell’art. 42 GDPR;

– dalla presenza di norme vincolanti di impresa approvate ai sensi dell’art. 47 GDPR che si applichino al soggetto che trasferisce ed a quello a cui vengono trasferiti i dati;

– in ulteriori situazioni residuali disciplinate dall’art. 49 GDPR (es. nel caso di trasferimento dati necessario per difendere un diritto o per eseguire un contratto).

Nel caso degli Stati Uniti (nazione che registra il più intenso flusso di dati in uscita dall’UE), essendo venuta meno la decisione di adeguatezza dopo la sentenza Schrems II, ed essendo nella stessa sentenza state denunciate potenziali ingerenze governative sui dati di cittadini europei ben difficili da superare con delle semplici “clausole contrattuali standard”, le imprese interessate a trasmettere dati in USA e quelle interessate a riceverli stanno cercando affannosamente di definire vie d’uscita sicure per proseguire nel trasporto di dati lungo l’asse dell’atlantico.

Per questo motivo molti operatori guardano con interesse allo strumento dei codici di condotta e, per conseguenza, alla disciplina di dettaglio predisposta dall’EDPB.

Le linee guida

Le Linee guida si occupano di dettagliare le prescrizioni contenute negli art. 40 e 41 GDPR, calate nel contesto dei trasferimenti transfrontalieri, nonché di disciplinare la procedura per l’approvazione di tali codici di condotta.

Innanzitutto, l’EDPB disciplina con dovizia di particolari i ruoli delle parti coinvolte, ovvero innanzitutto l’esportatore dei dati (azienda UE) e l’importatore dei dati (azienda in un paese terzo), ma anche il proprietario del Codice, l’Organismo di controllo in seno al Codice, l’autorità di supervisione nazionale di riferimento, l’EDPB e la Commissione Europea (che può “includere” un codice in un atto normativo garantendogli efficacia generale).

Le linee guida precisano innanzitutto che non è necessario che anche l’esportatore del dato aderisca al codice di condotta affinché il trasferimento avvenga ai sensi dell’art. 40.3 GDPR. Nelle linee guida si fa l’esempio di un’azienda che trasferisce dati verso un fornitore di servizi cloud con sede in un paese terzo e che aderisce ad un codice di condotta. L’EDPB precisa che in questo caso è possibile trasferire i dati sulla base dell’adesione ad un codice di condotta da parte dell’importatore del dato, senza che sia necessario che l’esportatore aderisca al medesimo codice o a un altro analogo, anzi l’EDPB va oltre, arrivando a suggerire questo approccio rispetto a soluzioni contrattuali come le clausole standard (specie perché copre tutti i trasferimenti senza necessità di negoziare e/o adeguare ogni volta le clausole).

Venendo ai codici di condotta in sé, l’EDPB precisa che gli stessi devono contenere una “porzione” dedicata esplicitamente ai requisiti che deve soddisfare il terzo straniero, il codice deve anche prescrivere garanzie specifiche rispetto al contesto -anche geografico- del trasferimento.

Le linee guida disciplinano poi il processo di adozione del codice di condotta per il trasferimento transfrontaliero di dati, processo che poi l’EDPB schematizza come segue:

Quindi l’EDPB enumera le garanzie che deve soddisfare il soggetto operante in un paese terzo per aderire al codice, garanzie che saranno assunte attraverso uno strumento di tipo contrattuale (ovvero con altri strumenti altrettanto vincolanti) da parte dell’aderente, che dovrà dar prova del rispetto delle garanzie prescritte

Il codice di condotta deve poi registrare l’adesione, a cascata, di eventuali collaboratori o sub-responsabili di cui l’importatore dovesse servirsi.

Secondo le linee guida, poi, lo strumento contrattuale o para-contrattuale che vincola l’aderente deve individuare e disciplinare:

il diritto degli interessati a far valere direttamente le prescrizioni del codice di condotta nei confronti dell’aderente (in veste di terzi beneficiari della sua adozione);

– il diritto degli interessati di far valere le violazioni del codice di condotta direttamente ad un’autorità garante europea ovvero ad una corte europea, con l’impegno dell’aderente a rispettare le decisioni così assunte;

il diritto dell’esportatore dei dati a far valere direttamente le prescrizioni del codice di condotta nei confronti dell’aderente (in veste di terzo beneficiario della sua adozione), nel caso non è previsto il diritto per l’esportatore di agire davanti ad un’autorità europea in caso di violazioni, lasciando, verosimilmente, la decisione sulla competenza al codice ovvero al singolo contratto fra esportatore e importatore;

– l’obbligo dell’importatore dei dati di informare l’esportatore del verificarsi di violazioni delle disposizioni del codice e delle misure adottate dall’organismo di controllo per rispondere alle stesse.

Le linee guida si chiudono con una utile check-list dedicata ad individuare gli aspetti essenziali di cui dovrebbe occuparsi un codice di condotta affinché l’EDPB lo possa approvare.

L’elenco include:

– la descrizione dei trasferimenti di dati coperti dal codice;

– la descrizione dei principi in materia di protezione dei dati da rispettare ai sensi del codice, comprese le norme sull’utilizzo di responsabili (o sub-responsabili) del trattamento e le norme sui trasferimenti successivi;

– le misure da adottare in tema di accountability ai sensi del codice;

– l’istituzione di un’adeguata governance attraverso personale apposito (DPO o RP) da parte degli aderenti;

– l’istituzione di un adeguato programma di formazione a tema privacy da parte degli aderenti;

– l’esistenza e la disciplina di audit a cura di revisori interni o esterni per la verifica del rispetto del codice, in aggiunta rispetto al controllo che l’organismo di controllo deve svolgere come per qualsiasi codice di condotta (qui l’EDPB introduce una distinzione rilevante, ovvero se da un lato gli audit di questi enti terzi servono a garantire e dimostrare la conformità al codice, l’obiettivo degli audit effettuati dall’organismo di monitoraggio è invece quello di comprendere se il richiedente è idoneo o meno ad aderire al codice, e se continua ad esserlo una volta che lo stesso ha aderito, adottando le prescritte sanzioni in caso di violazioni);

– la presenza di misure di trasparenza rivolte ai terzi beneficiari (soggetti interessati ed esportatore dei dati);

– l’esistenza di un adeguato processo di gestione dei reclami per le violazioni delle norme sulla protezione dei dati, processo che deve essere operato e mantenuto dall’organismo di controllo;

– la garanzia che, al momento dell’adesione al codice, il titolare/responsabile del trattamento nel paese terzo non ha motivo di ritenere che le leggi applicabili al trattamento dei dati personali nel paese terzo di trasferimento, gli impediscano di adempiere agli obblighi previsti dal codice, impegnandosi ad implementare, se del caso, insieme all’esportatore misure supplementari ove in seguito l’importatore venga a conoscenza di misure legislative che potrebbero minare il rispetto dei diritti di tutela della riservatezza dei cittadini europei in misura sostanzialmente equivalente a quella garantita nel territorio comunitario;

– i meccanismi di gestione di eventuali successivi emendamenti al codice;

– le conseguenze del recesso di un aderente dal codice;

– l’impegno per l’aderente al codice di cooperare con le autorità garanti europee;

– l’impegno per l’aderente al codice di accettare e rispettare le decisioni prese dalle autorità garanti o giudiziarie europee in relazione al trattamento dati coperto dal codice di condotta;

– i criteri di selezione dei componenti dell’organismo di controllo.

Tra tutti gli elementi della check-list appare dirimente la garanzia, che in questo contesto l’EDPB sembra “scaricare” sul soggetto extra-UE che intende aderire al codice, riguardo all’assenza di normative che potrebbero minare la tutela dei dati personali dei soggetti i cui dati sono interessati dal trasferimento.

Se un soggetto aderente proviene da un paese già destinatario di una decisione di adeguatezza è chiaro che potrà “poggiare” su questa per fornire la propria garanzia, ma in altri casi è difficile immaginare che il codice di condotta possa disinteressarsi del contesto in cui risiede il soggetto che chiede l’adesione, anche perché sempre le linee guida prescrivono che il codice di condotta deve contenere una disciplina che tenga conto del contesto (evidentemente anche geografico) del trasferimento.

Il futuro dei codici di condotta

Ad oggi gli unici codici di condotta transfrontalieri approvati sono quelli destinati ai fornitori di servizi di infrastrutture cloud, promossi uno dal CISPE e l’altro da Scope Europe.

I codici, per come sono formulati (e per i soggetti che li hanno promossi) sono rivolti ad aziende europee.

Ad esempio, il codice CISPE dichiara a chiare lettere che:

At present, the Code itself does not act as a mechanism to validate the transfer of personal data to outside the European Economic Area (EEA)

È chiaro che quello dei servizi cloud sarà uno dei primi settori che verrà interessato da un’estensione tale da coprire il trasferimento dati al di fuori dell’Unione, ma è bene tener presente che:

– ci sono voluti anni solo per approvare i primi codici di condotta rivolti esclusivamente ai player europei;

– i trasferimenti di dati extra-UE verso paesi per i quali non sussiste una decisione di adeguatezza (specie gli Stati Uniti) sono proseguiti dopo l’entrata in vigore del GDPR, dopo la caduta del Safe Harbor (Schrems I) e dopo la caduta del Privacy Shield (Schrems II).

L’adesione a codici di condotta sarà senz’altro uno strumento che, nel lungo periodo, potrà raccogliere l’interesse di grandi player, specie nel settore dei servizi cloud.

La difficoltà più significativa per i promotori dei codici di condotta sarà quella di modulare gli stessi con riferimento al contesto (specie geografico) del trasferimento, rendendo necessario quantomeno prevedere differenti “fasce” di impegni a seconda della situazione giuridica e politica della nazione di appartenenza dell’importatore del dato nonché disciplinare nel dettaglio la suddivisione delle responsabilità fra codice di condotta, organismo di controllo e soggetto che chiede l’adesione nel garantire una tutela dei dati comparabile a quella presente in UE.

Se da un lato è concepibile uno “studio paese” da parte dell’organismo di controllo per alcune nazioni rilevanti, è difficile pensare che ogni codice di condotta e ogni organismo di controllo possa approfondire con dovizia di dettagli le normative privacy (e quelle che, pur non riguardando la privacy, possono incidere sulla riservatezza degli individui) di ogni paese da cui provengono gli aderenti extra-UE. Sul punto le linee guida, peraltro, si dimostrano ondivaghe e poco precise, ne sapremo di più, quindi, solo quando i primi promotori di codici proveranno a far approvare le loro declinazioni delle linee guida in concreto.

Anche per questo quella dei codici di condotta non sarà una soluzione che sarà accessibile a breve, né di interesse per tutti, per i costi e per la tradizionale insensibilità dei fornitori di servizi esteri (specie USA) alla normativa GDPR, insensibilità ancora difficile da scardinare nonostante il GDPR sia ormai applicabile da quattro anni.

Pare poi difficile immaginare l’adesione a codici di condotta quali strumenti “soft law” a legittimare il trasferimento in paesi terzi in settori più “critici” come quelli dei social network o più frammentati in cui la dimensione dei player non è di rilievo assoluto come ad esempio nel settore cloud.

Questi aspetti portano a riflettere sul ruolo di questi (costosi) codici di condotta, che potrebbero essere visti anche come una barriera all’ingresso nel mercato comunitario, favorendo l’accentramento verso aziende di grosse dimensioni che possono pagare per ottenere adesioni a certificazioni o codici di condotta, è per questo motivo essenziale, a parere di chi scrive, una soluzione negoziata che conduca ad un nuovo “privacy shield” che passi per una più decisa rinuncia da parte degli USA alle proprie ingerenze nei confronti dei dati di cittadini stranieri, altrimenti si rischia di incidere negativamente sulla concorrenza con effetti deleteri da entrambi i lati dell’Atlantico.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4