Sentenza Schrems II, gli impatti per Governi e imprese: ecco cosa è cambiato - Cyber Security 360

L'analisi

Sentenza Schrems II, gli impatti per Governi e imprese: ecco cosa è cambiato

Il 16 luglio 2020, con la sentenza Schrems II, la Corte di Giustizia Europea ha invalidato la decisione di adeguatezza del Privacy Shield: una decisione che ha avuto importanti conseguenze per le aziende, portando anche dubbi normativi e operativi come nel caso dell’utilizzo delle clausole contrattuali standard

01 Mar 2021
C
Vittorio Colomba

Avvocato esperto di diritto delle nuove tecnologie

Il 2020 è stato un anno di grandi cambiamenti per quel che riguarda i meccanismi di trasferimento dei dati: il Privacy Shield, che si credeva avesse posto fine alle questioni sollevate dopo la caduta del Safe Harbor, con la sentenza Schrems II è stato ritenuto insufficiente per salvaguardare il diritto alla protezione dei dati personali extra UE.

Il problema è che, a distanza di oltre sei mesi dal suo venir meno, è chiaramente emerso un vuoto regolamentare che appare ancora piuttosto distante dal vedersi colmato.

L’incertezza, in alcuni contesti, pesa sensibilmente. Vediamo qual è la situazione.

Le conseguenze della sentenza Schrems II

Il 16 luglio 2020 la Corte di Giustizia Europea ha invalidato la decisione di adeguatezza del Privacy Shield, lasciandosi alle spalle una serie di domande – parte delle quali ancora senza risposta – soprattutto in relazione all’uso delle clausole contrattuali standard (SCC) dell’UE.

EVENTO
16 Settembre 2021 - 17:00
Cybersecurity: la svolta dell’estate e come proteggersi al meglio
Sicurezza
Cybersecurity

Il provvedimento adottato dalla Corte, sicuramente di portata storica, ha costretto le aziende operanti su entrambe le sponde dell’Atlantico a rivalutare i propri meccanismi di trasferimento dei dati, oltre alle aree geografiche deputate all’archiviazione ed elaborazione dei loro database.

Addio Privacy Shield, perché è un grosso problema per le aziende e come affrontarlo

La sentenza, nota come Schrems II, ha generato a caldo un certo caos, in primis nel mondo delle istituzioni. Diverse autorità di vigilanza hanno espresso il proprio parere, non sempre concorde, sulla sua presunta corretta interpretazione: mentre l’Information Commissioner’s Office (ICO) del Regno Unito ha invitato le imprese britanniche a trasferire i dati affidandosi al pur invalidato Privacy Shield, l’authority tedesca ha espressamente sconsigliato alle proprie imprese di operare in egual modo.

Alcuni dubbi sono stati fugati dall’EDPB che, con le FAQ pubblicate il 23 luglio 2020 ha tempestivamente chiarito alcuni aspetti importanti:

  • le imprese che operavano sulla base del Privacy Shield non potevano fare affidamento su alcun periodo “di grazia” ed erano tenute, invece, ad adottare altri meccanismi ed altre misure per poter procedere al trasferimento dei dati;
  • i titolari del trattamento che si affidavano alle SCC (standard contractual clauses) o facevano uso delle BCR (binding corporate rules), erano tenuti ad effettuare una ricognizione del livello di protezione assicurato dal paese terzo destinatario dei dati, eventualmente adottando misure supplementari, nel caso fosse emerso uno standard di tutela inadeguato;
  • qualora, in conseguenza di queste verifiche, fosse risultato impossibile garantire un livello di protezione equivalente a quello offerto dal diritto dell’UE, sarebbe stato indispensabile procedere con l’immediata sospensione del trasferimento.

Nell’ottobre 2020, il Dipartimento del Commercio degli Stati Uniti e la Commissione Europea hanno annunciato di aver avviato un confronto mirato a valutare le condizioni per l’adozione di una nuova versione dello “scudo”, conforme alle prescrizioni della Schrems II.

Sentenza Schrems II: le raccomandazioni dell’EDPB

In attesa dell’esito di questo confronto, il 10 novembre 2020 l’EDPB ha pubblicato alcuni nuovi ed importanti orientamenti sul trasferimento dei dati personali al di fuori del perimetro europeo, in particolare:

  • le Raccomandazioni 01/2020, che mirano a fornire una metodologia agli esportatori di dati, per determinare se – ed eventualmente quali – misure aggiuntive dovrebbero essere messe in atto per i loro trasferimenti;
  • le Raccomandazioni 02/2020, che mirano ad aggiornare le EEG (le garanzie essenziali europee per le misure di sorveglianza).

Le attività dell’EDPB hanno attenuato, almeno in parte, le incertezze provocate dalla Schrems II, anche se la Guida è stata pubblicata sotto forma di consultazione pubblica, conclusasi solo il 21 dicembre 2020, quindi ancora soggetta a potenziali modifiche.

Nelle Raccomandazioni sugli strumenti di trasferimento supplementari (01/2020), l’EDPB ha raccomandato agli esportatori di dati:

  • di mappare tutti i trasferimenti di dati personali verso paesi terzi e verificare che i dati trasferiti siano adeguati, pertinenti e limitati a quanto necessario;
  • di verificare gli strumenti su cui si basano i trasferimenti;
  • di valutare se vi sia qualcosa nella legge o nella prassi del paese terzo che possa pregiudicare l’efficacia delle garanzie appropriate e documentare tale valutazione;
  • di identificare ed adottare misure aggiuntive (gli esempi sono forniti nell’Allegato 2 delle Raccomandazioni);
  • di implementare tutte le misure procedurali formali che l’adozione del provvedimento supplementare possa richiedere;
  • di rivalutare a intervalli appropriati il ​​livello di protezione offerto ai dati trasferiti.

Clausole contrattuali, la nuova bozza della Commissione UE

Il 12 novembre 2020 La Commissione europea ha pubblicato una bozza di nuove clausole contrattuali standard e una bozza di decisione di attuazione.

Le nuove SCC dovrebbero includere diversi moduli, utilizzabili dalle aziende a seconda dello scenario di trasferimento e della designazione delle parti ai sensi del GDPR, vale a dire:

  • trasferimenti da titolare a titolare;
  • trasferimenti da titolare a responsabile del trattamento;
  • trasferimenti da titolare a incaricato del trattamento;
  • trasferimenti da responsabile a responsabile.

Il progetto prevede un – quantomai opportuno – periodo di grazia di un anno durante il quale sarebbe possibile continuare ad utilizzare le vecchie SCC per l’esecuzione dei contratti conclusi prima dell’entrata in vigore dei nuovi standard.

Il 15 gennaio 2021, infine, l’EDPB e il Garante europeo della protezione dei dati hanno adottato pareri congiunti su entrambe le serie di SCC (un parere sulle SCC per i contratti tra titolari del trattamento e responsabili del trattamento e un altro sulle SCC per il trasferimento di dati personali a paesi terzi).

La reazione delle autorità nazionali: il caso del Commissario di Amburgo

Durante questo intenso percorso di adeguamento, le autorità di controllo nazionali hanno provato a stare al passo, quantomeno facendo sentire la propria presenza alle imprese dei rispettivi territori.

Un’iniziativa di sicuro rilievo, per esempio, appartiene al Commissario di Amburgo per la protezione dei dati e la libertà di informazione (HmbBfDI) che il 16 ottobre del 2020 ha inviato alle organizzazioni tedesche un questionario sulle modalità di trasferimento dei dati di terze parti durante l’utilizzo di Microsoft Office 365.

L’authority ha chiesto alle imprese di rendere note nel dettaglio le procedure sottese alla gestione dei dati alla luce della Schrems II, con particolare riguardo alla base giuridica utilizzata per giustificare il trasferimento e all’eventuale utilizzo di clausole contrattuali standard. Nel dettaglio, le informazioni richieste erano le seguenti:

  • L’azienda utilizza Office 365?
  • Quali dati personali vi sono inseriti?
  • Quale base giuridica ne legittima l’utilizzo?
  • Quando ha avuto inizio l’uso del programma (e quindi il trattamento)?
  • I dati personali utilizzati con Office 365 sono trasferiti negli Stati Uniti o in altri paesi al di fuori dello Spazio Economico Europeo?
  • Quali precauzioni, ai sensi del Capo V del GDPR, sono state adottate per legittimare il trasferimento dei dati?
  • Nel caso in cui siano utilizzate le clausole contrattuali standard, quali ulteriori misure sono state adottate per risultare conformi a quanto previsto dalla sentenza della Corte di Giustizia Europea (Schrems II)?
  • Quali altre misure si intende eventualmente adottare?
  • Nel caso in cui sia pianificato il passaggio ad altri sistemi, rendere note le soluzioni prescelte ed illustrate lo stato di implementazione.

Il questionario si concludeva con la richiesta, ai destinatari, di voler inviare copia della sezione del proprio registro dei trattamenti in cui risultavano descritte le attività di elaborazione relative all’uso di Office 365. C’è solo da immaginare l’angoscia con cui le imprese tedesche avranno risposto al questionario inviato loro dall’authority: risposta corretta o auto-denuncia?

Lo scenario futuro dopo la sentenza Schrems II

È auspicabile che il cambio della guardia nell’amministrazione federale degli Stati Uniti finisca per facilitare ed accelerare l’iter di approvazione di un meccanismo che risolva, una volta per tutte, ogni questione rimasta in sospeso.

L’attività commerciale transfrontaliera, soprattutto nell’attuale contesto economico, ha enorme bisogno di qualcosa che si avvicini al principio di certezza giuridica.

L’adozione delle nuove SCC, prevista per il 2021, dovrebbe portare maggiori certezze anche alle aziende che intendono affidarsi a questo framework per trasferire i dati personali, anche perché le nuove clausole copriranno scenari più ampi rispetto alle precedenti, riducendo i costi di implementazione e limitando (si spera) l’incertezza.

Tuttavia, dato il periodo di grazia limitato che dovrebbe applicarsi alle SCC pre-GDPR e l’introduzione delle nuove, le imprese dovrebbero cogliere l’opportunità per rivedere il nuovo quadro contrattuale e adattarlo alle loro esigenze di trasferimento dei dati.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 5