Trasferimenti dati extra UE dopo Schrems II: tutti gli elementi normativi da conoscere - Cyber Security 360

IL QUADRO

Trasferimenti dati extra UE dopo Schrems II: tutti gli elementi normativi da conoscere

Il trasferimento dati extra UE rimane un tema di grande importanza, anche alla luce delle recenti pronunce delle Autorità di controllo mirate a sospendere o proibire i trasferimenti anche quando sono basati sulle SCCs della Commissione UE. Occorrerà, dunque, continuare a monitorare le evoluzioni. Il punto

18 Mag 2021
B
Monica Belfi

Avvocato, Legal Specialist/GDPR and Data Protection Specialist

Una recente sentenza della High Court irlandese ha confermato la legittimità delle procedure seguite dall’Autorità di controllo (Data Protection Commission, DPC) nella decisione preliminare dell’agosto 2020 in relazione ai trasferimenti extra UE, da parte di Facebook Ireland Ltd, dei dati personali degli utenti europei verso gli Stati Uniti.

La Corte ha respinto tutti i motivi di ricorso avanzati da Facebook, che si era opposto alla decisione sostenendo l’illegittimità dell’operato dell’Autorità. Ora, la DPC irlandese potrà continuare i procedimenti aperti e Facebook rischia di essere costretta, in applicazione dei principi dettati nella sentenza Schrems II della CGUE, a sospendere i trasferimenti verso la società US Facebook Inc.

L’applicazione delle clausole tipo non basta per adempiere al GDPR

Sempre a seguito della citata sentenza, poche settimane prima l’Autorità portoghese per la protezione dei dati (Comissão Nacional de Proteção de Dados, CNPD), aveva ordinato all’Istituto Nazionale di Statistica di sospendere l’invio dei dati personali relativi al Censimento 2021 verso gli Stati Uniti, nonostante il trasferimento si basasse sulle clausole contrattuali tipo (Standard Contractual Clauses – SCCs) approvate dalla Commissione europea. L’Autorità di controllo ha, infatti, determinato che non vi fosse garanzia che tali clausole potessero essere effettivamente rispettate nel paese terzo.

[QUIZ] SECURITY/BACKUP
Protezione dei dati: sei sicuro di avere una strategia efficace? Scoprilo nel Quiz
Big Data
Sicurezza

Le decisioni riportate non sono isolate e rendono ancora più evidente che successivamente alla sentenza del 16 luglio 2020 “Data Protection Commissioner contro Facebook Ireland Limited e Maximillian Schrems, C-311/18”, non è più possibile fondare il trasferimento dei dati personali negli Stati Uniti applicando tout court le SCCs, senza effettuare un’attenta valutazione della necessità di applicare garanzie supplementari.

Infatti, se immediatamente dopo l’emissione della sentenza Schrems II poteva forse apparire una strada percorribile, stante il fatto che le clausole tipo adottate dalla Commissione vengono espressamente salvate dalla CGUE, appare oggi difficile sostenere una tale tesi: le Raccomandazioni dell’EDPB, il suo parere sul nuovo testo di clausole tipo, i provvedimenti di alcune Autorità di controllo, chiariscono tutti la necessità di un’attenta valutazione approfondita caso per caso e affermano che la mera applicazione delle clausole tipo non è da sola sufficiente per adempiere agli obblighi di cui al Capo V del GDPR.

La CGUE ha ritenuto, infatti, che l’articolo 702 del Foreign Intelligence Surveillance Act (FISA) statunitense e il decreto presidenziale (ex Executive Order 12333) non rispettano le garanzie minime previste dal diritto dell’Unione.

Di conseguenza, l’importatore di dati o qualsiasi altro destinatario al quale l’importatore può comunicare i dati può fare affidamento sulle clausole contrattuali tipo solo se ulteriori misure tecniche supplementari rendono impossibile o inefficace l’accesso delle autorità statunitensi ai dati trasferiti.

Incombe, quindi, in primo luogo sull’esportatore dei dati il compito di verificare, caso per caso, possibilmente in collaborazione con l’importatore dei dati, se il diritto del paese terzo di destinazione garantisce, alla luce del diritto dell’Unione, un livello di protezione dei dati personali trasferiti sulla base di clausole tipo sostanzialmente equivalente, fornendo, se necessario, garanzie supplementari.

Gli oneri che ne derivano per le imprese sono molti e gravosi poiché non è semplice la valutazione dell’adeguatezza dell’ordinamento di destinazione dei dati né l’individuazione delle “garanzie supplementari” necessarie ad ottenere una protezione sostanzialmente equivalente a quella garantita dall’UE.

Le decisioni successive alla Sentenza Schrems II

Il 27 aprile 2021 la CNPD ha ordinato la sospensione entro 12 ore di qualsiasi trasferimento internazionale di dati personali verso gli Stati Uniti o altri paesi terzi senza un adeguato livello di protezione.

Dalle verifiche svolte dall’Autorità era emerso che l’INE aveva esternalizzato alla società Cloudflare, Inc., con sede in California, il funzionamento di un questionario di censimento, attraverso un accordo che prevedeva il trasferimento di dati personali negli Stati Uniti, basato sulle clausole contrattuali tipo, ma, secondo quanto statuito dall’Autorità di controllo, in assenza di garanzie che tali clausole contrattuali potessero essere effettivamente rispettate nel paese terzo.

La CNPD ha, infatti, evidenziato come la società Cloudflare sia direttamente soggetta alla legislazione statunitense sulla sorveglianza a scopi di sicurezza nazionale, che le impone l’obbligo di permettere alle autorità statunitensi un accesso illimitato ai dati personali conservati, senza poterne informare i suoi clienti.

La CGEU ha recentemente dichiarato, nel caso Schrems II, che tale legislazione comporta un’interferenza sproporzionata sui diritti fondamentali degli interessati. Di conseguenza, la CNPD ha ritenuto che il trasferimento di dati verso gli Stati Uniti o verso qualsiasi altro paese terzo senza adeguata protezione dovesse essere sospeso con effetto quasi immediato.

Sulla decisione ha certamente pesato il fatto che nel caso concreto si trattasse del trattamento di una mole elevata di dati personali, che coinvolgeva quasi tutti i cittadini residenti sul territorio nazionale e che vi fossero ricompresi dati particolari, in ogni caso, si tratta di una decisione importante poiché statuisce che le clausole contrattuali tipo non possono da sole essere considerate una idonea garanzia per il trasferimento dei dati personali fuori dall’UE.

Già in precedenza, lo scorso dicembre, l’Autorità di controllo svedese, proprio alla luce della sentenza Schrems II, aveva emesso una sanzione nei confronti dell’Università di Umeå per la mancanza di misure tecniche e organizzative adeguate per proteggere categorie particolari di dati personali riguardanti la salute e la vita sessuale degli interessati, che venivano archiviati in una piattaforma cloud che si trovava negli Stati Uniti.

L’Autorità, in questo caso, ha espressamente sancito che il servizio cloud statunitense utilizzato non fosse idoneo a garantire un sufficiente grado di protezione per i dati personali trasferiti.

Successivamente, lo scorso 15 marzo, anche l’Autorità di controllo bavarese ha statuito, nel provvedimento emesso nei confronti di Mailchimp, che il trasferimento di dati personali verso gli Stati Uniti, anche se basato sulle clausole contrattuali tipo era da ritenersi illegittimo, in mancanza di misure ulteriori, evidenziando, in particolare che:

  1. il trasferimento dei dati personali era basato solo sulle clausole tipo dell’UE;
  2. il fornitore di Mailchimp poteva essere qualificato come “fornitore di servizi di comunicazione elettronica” di cui alla legge sulla sorveglianza degli Stati Uniti (FISA702), con il rischio di accesso alle email da parte dei servizi segreti statunitensi;
  3. il convenuto non aveva valutato, come invece richiesto dalla sentenza della CGUE, l’adozione di misure aggiuntive per garantire che i dati trasferiti fossero protetti dalla sorveglianza US.

A questi si aggiunge il procedimento in corso presso l’Autorità austriaca a carico di Google e le segnalazioni presentate lo scorso anno dall’associazione NOYB di Max Schrems contro i siti web dell’UE che continuavano a trasmettere dati personali degli utenti in US.

Anche Microsoft, in data 6 maggio 2021, ha rilasciato un comunicato[1] nel quale informa di aver avviato, per rispondere all’appello dell’Europa, un piano affinché i propri servizi cloud possano archiviare e trattare all’interno dell’Unione Europea tutti i dati personali dei clienti europei, investendo in un’ampia infrastruttura europea di data center e ha annunciato un’iniziativa Defending Your Data, volta a contrastare le richieste provenienti da qualsiasi Governo in merito ai dati dei clienti del settore pubblico e privato, offrendo un indennizzo economico agli utenti qualora dovesse comunicare i loro dati in violazione del GDPR, cagionando dei danni.

Trasferimenti dati extra UE: elementi normativi

Le decisioni riportate confermano che non è sempre sufficiente utilizzare le clausole contrattuali tipo per trasferire i dati personali fuori dall’UE: nel rispetto del capo V GDPR i Titolari devono valutare caso per caso se il livello di protezione dei dati nel Paese in cui si trova il destinatario garantisce un livello di protezione essenzialmente equivalente a quello garantito in UE e laddove non possano, devono sospendere o terminare il trasferimento di dati personali.

Cosa devono fare, quindi, le aziende che trasferiscono dati personali negli Stati Uniti?

La Corte di Giustizia Europea, con la sentenza Schrems II ha dichiarato invalida la decisione della Commissione Europea che stabiliva l’adeguatezza del Privacy Shield, che legittimava i trasferimenti di dati personali dall’UE agli Stati Uniti.

La Corte sostiene la validità delle clausole contrattuali tipo, ma precisa che il Titolare (o il Responsabile) deve effettuare una attenta valutazione caso per caso sull’adeguatezza della normativa dello Stato in cui è stabilito il destinatario e laddove la legge del Paese destinatario incidesse sull’efficacia delle garanzie con conseguente diminuzione delle stesse, i soggetti esportatori dovrebbero attuare misure supplementari che colmino queste lacune, come previsto, altresì, dal considerando 109 del GDPR.

La Corte chiarisce che le clausole tipo hanno il solo scopo di fornire garanzie contrattuali che si applicano in modo uniforme in tutti i paesi terzi ai titolari e ai responsabili stabiliti nell’Unione, ma proprio per il loro carattere contrattuale, non sono idonee a vincolare le autorità pubbliche di paesi terzi.

L’EDPB, successivamente alla sentenza della CGUE, ha pubblicato una sezione di FAQ in merito alla sentenza della Corte di giustizia dell’Unione europea Schrems II, per aiutare Titolari e Responsabili a meglio comprendere alcuni aspetti rilevanti di una sentenza dall’impatto così dirompente.

Trasferimenti dati extra UE: le indicazioni dell’EDPB

Inoltre, il 10 novembre 2020, l’EDPB, al fine di aiutare gli esportatori (titolari o responsabili) nelle loro valutazioni, ha adottato le Raccomandazioni 01/2020 relative alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE, che forniscono agli esportatori una tabella di marcia da seguire, corredata da alcuni esempi concreti di misure supplementari.

Mappa delle destinazioni

Come primo passo, l’EDPB consiglia agli esportatori, di mappare e registrare tutti i trasferimenti di dati personali, verificando la destinazione degli stessi e gli eventuali trasferimenti successivi.

Per farlo è consigliabile partire dal registro dei trattamenti, che ciascun titolare deve tenere ai sensi dell’art. 30 GDPR e che contiene la descrizione delle attività di trattamento utili alla mappatura e ricomprende informazioni specifiche sui trasferimenti dei dati; andranno poi considerate anche le informative predisposte ai sensi degli artt. 13 e 14 GDPR, in cui il Titolare avrà specificato i trasferimenti posti in essere, informando gli interessati circa l’esistenza o assenza di una decisione di adeguatezza e della presenza di garanzie adeguate.

Al Titolare viene, quindi, chiesto di fare una “mappa delle destinazioni”, per conoscere dove si trovano i dati personali, dove possono essere successivamente trasferiti e trattati dagli importatori. A questo proposito, l’EDPB fa una precisazione importante e decisamente onerosa per le aziende con una struttura internazionale, che utilizzano infrastrutture e servizi in cloud: anche l’accesso remoto da un paese terzo (ad esempio nei servizi di supporto) e/o l’archiviazione in una piattaforma cloud situata al di fuori del SEE sono considerati un trasferimento[2].

In particolare, il Titolare che utilizzi un’infrastruttura cloud internazionale, deve valutare se i dati saranno trasferiti fuori UE e in quali paesi, salvo che il cloud provider non dichiari contrattualmente che i dati non saranno in alcun modo trattati in paesi terzi.

Scelta degli strumenti di trasferimento

Il Titolare, per ciascun trasferimento, dovrà verificare quale sia lo strumento su cui fondare lecitamente il trasferimento tra quelli elencati al capo V del GDPR.

  • In presenza di una decisione di adeguatezza della Commissione, ex art. 45 GDPR, il Titolare non deve adottare ulteriori misure, fintanto che la decisione sia valida.
  • In assenza di una decisione di adeguatezza, il Titolare deve fare affidamento su uno degli strumenti di trasferimento elencati all’articolo 46 del GDPR, ovvero:
  1. le clausole contrattuali tipo di protezione dei dati;
  2. le norme vincolanti d’impresa;
  3. i codici di condotta;
  4. i meccanismi di certificazione;
  5. clausole contrattuali ad hoc.

Gli strumenti di cui alla lettera b, però, sono strumenti avente natura contrattuale e necessitano, pertanto, di una valutazione ulteriore sul livello di protezione e della verifica che tali misure possano da sole essere sufficienti oppure occorra integrarle.

  • In assenza di una decisione di adeguatezza, il Titolare potrebbe trasferire dati personali in base a una delle deroghe, di carattere eccezionale, elencate all’articolo 49 del GDPR, principalmente per trattamenti che presentano carattere occasionale e non ripetitivo[3].

Valutazione dell’efficacia dello strumento di trasferimento

Non basta adottare lo strumento individuato tout court, ma bisogna verificarne l’efficacia, ovvero se in concreto i dati personali trasferiti utilizzando quello strumento godono nel paese terzo (o nei paesi terzi, seguendo ciascun eventuale trasferimento successivo) di un livello di protezione equivalente a quello garantito nel SEE o se esiste nella normativa qualcosa che possa incidere sull’efficacia delle garanzie.

A questo proposito risulta utile che l’importatore fornisca le fonti, le leggi applicabili e ogni informazione rilevante relativa al paese terzo in cui è stabilito o in cui tratterà i dati. La valutazione deve concentrarsi principalmente sulle norme rilevanti per il trasferimento e con impatto sullo strumento di trasferimento.

L’allegato 3 delle Raccomandazioni suggeriscono di verificare almeno le seguenti fonti:

  1. la giurisprudenza della CGUE e della CEDU;
  2. le decisioni di adeguatezza nel paese di destinazione;
  3. le risoluzioni e relazioni di organizzazioni intergovernative, quali il Consiglio d’Europa, altri Organismi, organi e agenzie dell’ONU;
  4. la giurisprudenza nazionale o le decisioni prese da autorità giudiziarie o amministrative;
  5. le relazioni di istituzioni accademiche e organizzazioni (es. ONG e associazioni di categoria).

Cosa occorre verificare esattamente?

  1. L’esistenza di elementi nelle norme con impatto o ingerenza sugli gli impegni inclusi nello strumento di trasferimento;
  2. L’esistenza di eventuali ostacoli ai diritti degli interessati coinvolti;
  3. La presenza di norme che prevedono la comunicazione dei dati personali alle autorità pubbliche o che conferiscono a tali autorità poteri di accesso ai dati personali (ad es. per scopi di sicurezza nazionale). In questo caso, per determinare se l’accesso ai dati è coperto da sufficienti garanzie, è possibile utilizzare come parametri gli artt. 47 e 52 della Carta dei diritti fondamentali dell’UE e le Raccomandazioni 02/2020 dell’EDPB.
  4. Gli elementi elencati nell’art. 45, 2 GDPR (ad es. l’esistenza di una legge specifica sulla protezione dei dati o di un’autorità indipendente per la protezione dei dati).

Ai sensi dell’art. 5, 2 GDPR, nel rispetto del principio di accountability, il Titolare dovrà documentare accuratamente la valutazione fatta.

Adottare le misure supplementari

Laddove la valutazione abbia concluso che lo strumento di trasferimento non è da solo efficace, il Titolare dovrà adottare delle misure supplementari, la cui valutazione è rimessa alla responsabilità del Titolare, che dovrà valutarle caso per caso.

Le Raccomandazioni riportano, nell’allegato 2, alcuni esempi di misure supplementari, con l’indicazione delle condizioni necessarie perché risultino efficaci. Anche questa valutazione delle misure supplementari deve essere documentata.

Le misure possono avere carattere contrattuale, tecnico o organizzativo e possono essere combinate tra loro, per migliorare il livello di protezione ed è opportuno che siano prese in collaborazione con l’importatore, valutando (tra gli altri) i seguenti fattori:

  1. il formato dei dati da trasferire (ad es. in testo semplice oppure pseudonimizzati o cifrati);
  2. la natura dei dati;
  3. la lunghezza e complessità del trattamento, il numero di attori coinvolti nel trattamento e rapporto esistente tra loro.

Nel caso in cui nessuna misura risulti adeguata, il Titolare deve evitare, sospendere o interrompere il trasferimento.

Adottare formalità necessarie

Da ultimo, il Titolare deve porre in essere ogni procedura necessaria per adottare in modo efficace le misure supplementari individuate.

Monitoraggio e aggiornamento

Il livello di protezione e l’efficacia delle misure supplementari devono essere monitorati e rivalutati costantemente.

I nuovi modelli di clausole contrattuali tipo della Commissione UE

Accanto alle FAQ e alle Raccomandazioni dell’EDPB, la Commissione Europea ha pubblicato, il 12 novembre 2020, il draft dei nuovi modelli di clausole contrattuali tipo, integrati sulla base della decisione della CGEU, che prevedono garanzie più specifiche nel caso in cui la legislazione del paese terzo incida sul rispetto delle clausole, in particolare nei casi in cui autorità pubbliche chiedano accesso ai dati personali.

Le clausole tipo non sono ancora state adottate nella versione definitiva e, ad ogni modo, l’adozione dei nuovi testi non consentirebbe alle imprese di risolvere completamente il problema: le SCC non possono in ogni caso vincolare tali autorità pubbliche e rimane necessario valutare la normativa del paese terzo.

Trasferimenti dati extra UE: il parere congiunto di EDPB e EDPS

Nel gennaio 2021 EDPB e il Garante europeo della protezione dei dati (EDPS) hanno pubblicato un parere congiunto sul testo delle nuove clausole contrattuali tipo.

Pur esprimendo parere favorevole, EDPB e EDPS hanno chiesto diverse modifiche riguardanti, soprattutto, l’interazione tra i due set di clausole contrattuali, la c.d. “clausola di adesione postuma (docking)”, che consente un’adesione semplificata alle clausole contrattuali tipo da parte di soggetti ulteriori e l’individuazione chiara della ripartizione dei ruoli e del regime di responsabilità tra le parti.

In ogni caso, le nuove clausole contrattuali tipo dovranno essere utilizzate insieme alle raccomandazioni del comitato sulle misure supplementari.

Raccomandazioni sulle garanzie essenziali UE

L’EDPB ha adottato, altresì, una serie di raccomandazioni sulle garanzie essenziali UE relativamente alle misure di sorveglianza, complementari alle raccomandazioni sulle misure supplementari, che forniscono agli esportatori elementi utili a stabilire se il quadro giuridico che disciplina in paesi terzi l’accesso delle autorità pubbliche ai dati per fini di sorveglianza non sia in contrasto con gli impegni assunti dall’esportatore e dall’importatore attraverso gli strumenti di trasferimento ex art. 46 del GDPR.

Conclusioni

Il tema rimane di grande importanza, anche alla luce delle recenti pronunce delle Autorità di controllo, che hanno sottolineato come le autorità di protezione dei dati sarebbero tenute a sospendere o proibire i trasferimenti di dati personali, anche quando questi trasferimenti sono basati sulle SCCs della Commissione Europea, qualora verifichino l’assenza delle opportune garanzie e occorrerà continuare a monitorare le evoluzioni.

 

NOTE

  1. EU Data Boundary for Microsoft Cloud.

  2. FAQ n. 11 «si tenga presente che anche fornire accesso ai dati da un paese terzo, ad esempio per finalità amministrative, costituisce un trasferimento», in merito alla sentenza della Corte di giustizia dell’Unione europea nella causa C-311/18.

  3. Linee guida EDPB 2/2018 sulle deroghe di cui all’articolo 49 del Regolamento 2016/679.

Digital event, 24 giugno
Forum PA > La sicurezza informatica delle istituzioni pubbliche per la resilienza del sistema paese
Sicurezza
Disaster recovery
@RIPRODUZIONE RISERVATA

Articolo 1 di 5