Trasferimenti dati extra-UE, le nuove clausole standard non sono ancora una vera soluzione - Cyber Security 360

COMMISSIONE UE

Trasferimenti dati extra-UE, le nuove clausole standard non sono ancora una vera soluzione

Con le nuove clausole contrattuali standars (SCC), la Commissione UE ha aggiunto un’ulteriore “pezza” al rammendo dei rapporti con gli USA e Paesi terzi, contribuendo con maggiori dubbi piuttosto che certezze rispetto a prima. Ecco i punti principali del nuovo documento in attesa di una vera soluzione al tema

07 Giu 2021
M
Andrea Michinelli

Avvocato, FIP (IAPP), LA ISO/IEC 27001:2013

In pompa magna i rappresentanti della Commissione Europea, il 4 giugno scorso in occasione dell’adozione delle nuove clausole contrattuali standard, hanno dichiarato di aver adottato nuovi strumenti atti a regolare la protezione dei dati personali soprattutto quanto ai discussi trasferimenti extra-UE dei dati stessi, tuttora in uno stallo e grande incertezza dovuti alla famigerata sentenza “Schrems II” della Corte di Giustizia del luglio 2020.

In tal modo, dichiara la Commissione, si sarebbe finalmente dotati di uno strumento capace di consentire il trasferimento di dati in Paesi terzi ritenuti “non adeguati” dalla Commissione stessa, come gli USA. Una sorta di semplificazione, di rinascita dei trasferimenti con i Paesi extra-UE. È proprio così? Vediamo di ricostruire con ordine la vicenda e comprendere, con queste prime impressioni, se l’ostacolo è stato davvero rimosso.

Sentenza Schrems II, gli impatti per Governi e imprese: ecco cosa è cambiato

Il problema “Schrems II vs. USA”

Riassumiamo brevemente lo stallo in cui si trova l’Unione per poter trasferire dati personali in Paesi terzi ritenuti non adeguati, in particolare verso gli Stati Uniti che sono la sede degli over-the-top del digitale (Google, Microsoft, Facebook ecc. – nonostante le sedi europee di alcune di esse i gruppi sono comunque controllati dagli USA) i cui servizi sono utilizzati, in misura maggiore o minore, praticamente da quasi tutte le imprese europee.

Per capire il prosieguo e i dubbi conseguenti, giova una cronistoria dei complessi episodi circa i trasferimenti negli USA a partire dal Privacy Shield:

  1. tuttora gli Stati Uniti non sono considerati un Paese che offre “garanzie adeguate” come richieste dall’art. 45 GDPR, per cui il trasferimento deve poggiare sugli artt. 46 (garanzie adeguate, tra cui BCR e clausole contrattuali standard) o 49 (eccezioni, di ardua applicazione se non occasionale perlopiù) GDPR, oppure non può avvenire e va interrotto se in corso;
  2. lo strumento chiave per trasferire in ogni modo i dati era l’impiegare fornitori USA che avessero aderito al Privacy Shield (accordo USA-Commissione Europea, decisione 2016/1250), “affondato” dalla Corte di Giustizia con sentenza 16 luglio 2020 (c.d. Schrems II) immediatamente esecutiva: ad avviso della Corte la normativa USA – in particolare la Section 702 del Foreign Intelligence Surveillance Act (FISA) e l’Executive Order (EO) 12333, tuttora vigenti nonostante aperture politiche a una riforma – permette un controllo dei dati da parte delle autorità americane, anche occulto (i fornitori controllati possono essere obbligati dalle autorità a non rivelare eventuali accessi da parte delle stesse, ad es. per ragioni di sicurezza nazionale), incompatibile con le esigenze della normativa unionista e non certo bilanciato dalle (tenue) previsioni del Privacy Shield, peraltro ben poco verificato nella sua corretta applicazione da parte delle autorità americane;
  3. di conseguenza molti fornitori hanno emendato le proprie informative dichiarando di adottare soprattutto uno degli strumenti offerti dall’art. 46 GDPR, ovvero le clausole contrattuali tipo o standard (Standard Contractual Clauses “SCC”) emanate dalla Commissione Europea (decisioni della Commissione europea 2010/87/UE e 2001/497/EC, ovviamente pre-GDPR), ad adesione volontaria;
  4. interviene l’EDPB, il board di autorità di controllo unioniste, con due raccomandazioni (1/2020 e 2/2020): l’EDPB sostiene che l’uso di SCC (per tacere degli altri strumenti ex art. 46 GDPR) di per sé non è sufficiente a garantire un trasferimento lecito nei Paesi terzi non adeguati, come gli USA, e di fatto redige un nuovo, complesso processo (detto anche Legitimate Transfer Assessment” – “LTA”) per valutare se il trasferimento sia comunque da ritenersi adeguato, specialmente alla luce dei possibili conflitti delle SCC con normative locali e dell’accesso ai dati da parte di autorità pubbliche locali – esattamente i due problemi posti alla base della decisione Schrems II; come si possa valutare che un trasferimento negli USA superi tale vaglio è un parziale mistero, sia per la complessa valutazione giuridica delle norme locali richiesta dall’EDPB, sia per lo stato delle norme USA (il medesimo “censurato” dalla Corte di Giustizia); l’EDPB ammette, a compensazione di situazioni normative problematiche, l’uso di misure supplementari come quelle tecniche e organizzative – ad es. uso di crittografia per i dati, così che eventuali accessi non permettano la intellegibilità –, non certo di agile applicazione in tutti casi (ad es. per dati non a riposo bensì “in-flight” durante l’uso telematico) e dunque non risolutive;
  5. mentre la politica (cioè l’amministrazione Biden e la Commissione Europea) avvia negoziati per un accordo simil-Privacy Shield che permetta di evitare la complessa valutazione dell’LTA, interviene ora la Commissione Europea con nuove SCC per i trasferimenti extra-UE, quelle qui discusse, mirate a fornire un nuovo strumento per agevolare i rapporti con soggetti USA in particolare. Ciò nelle intenzioni.

Trasferimento dati all’estero: l’EDPS avvia due indagini per l’adeguamento UE a Schrems II

Le nuove SCC di trasferimento dati della Commissione UE

Nelle parole della Commissione, le nuove SCC dovrebbero offrire una “maggiore prevedibilità giuridica alle imprese europee” e aiutare le PMI a garantire il rispetto dei requisiti per trasferimenti sicuri di dati, consentendo nel contempo ai dati di circolare liberamente attraverso le frontiere, senza barriere giuridiche.

Vera Jourová, Vicepresidente della Commissione per i valori e la trasparenza, ha dichiarato che “in Europa vogliamo rimanere aperti e consentire il flusso dei dati […] Le clausole contrattuali standard aggiornate aiuteranno a raggiungere questo obiettivo: offrono alle imprese uno strumento utile per garantire che rispettino le leggi sulla protezione dei dati, sia per le loro attività all’interno dell’UE che per i trasferimenti internazionali. Questa è una soluzione necessaria nel mondo digitale interconnesso in cui il trasferimento dei dati richiede un click o due”.

Idem per il Commissario per la Giustizia, Didier Reynders, affermando: “dopo la sentenza Schrems II, era nostro dovere e nostra priorità trovare strumenti di facile utilizzo, su cui le imprese possano fare pieno affidamento. Questo pacchetto aiuterà in modo significativo le aziende a rispettare il GDPR”.

Quindi si dichiara una grande facilità d’utilizzo, specie per le PMI, anzi viene proprio dichiarato l’uso delle SCC come di una “cassetta degli attrezzi pratica per conformarsi alla sentenza Schrems II; vale a dire una panoramica delle diverse misure che le aziende devono adottare per conformarsi alla sentenza Schrems II, nonché esempi di possibili misure supplementari, come la crittografia”.

Viene fornito un periodo di transizione di 18 mesi totali dalle precedenti SCC alle nuove, tuttavia – cosa fondamentale – chi continuerà ad adottare le precedenti dovrà comunque valutare se nel frattempo garantiscano quanto richiesto dalla Schrems II e dall’EDPB.

Ma ancor più si badi che la stessa Commissione Europea sottolinea come le nuove SCC non possono assolutamente far omettere il processo di LTA: potranno perlomeno renderlo più agevole?

Le clausole chiave per i trasferimenti extra-UE

I punti davvero innovativi e anche critici del nuovo strumento – altrimenti non così difforme dalla precedente versione delle SCC – sono sostanzialmente i seguenti:

  1. un approccio modulare, cioè nello stesso documento sono presenti blocchi di clausole applicabili a determinati scenari (rapporti tra titolari autonomi; titolare-responsabile; responsabile-subresponsabile; responsabile-titolare se combina i dati personali ricevuti dal titolare di un Paese terzo con i dati personali raccolti dal responsabile UE), senza moltiplicare in più documenti le clausole, cosa che però rende chi deve applicarle attento a inserire e omettere quanto opportuno, valutando ogni passo;
  2. l’art. 14 sulle leggi e prassi locali che incidono sul rispetto delle SCC: “Le parti garantiscono di non avere motivo di credere che le leggi e le pratiche nel paese terzo di destinazione applicabili al trattamento dei dati personali da parte dell’importatore dei dati, compresi eventuali requisiti per divulgare dati personali o misure che autorizzano l’accesso da parte delle autorità pubbliche, impediscano all’importatore di dati di adempiere agli obblighi derivanti dalle presenti clausole. Ciò si basa sull’intesa che le leggi e le prassi che rispettano l’essenza dei diritti e delle libertà fondamentali e non superano quanto necessario e proporzionato in una società democratica per salvaguardare uno degli obiettivi elencati all’articolo 23, paragrafo 1, del regolamento (UE) 2016/679, non sono in contraddizione con tali clausole”; nel dichiarare ciò le parti dovranno tenere conto di svariati elementi come le circostanze specifiche del trasferimento, la catena di lavorazione dei dati, il numero di attori coinvolti, i canali di trasmissione utilizzati, il luogo di archiviazione dei dati trasferiti, le leggi e le pratiche del Paese terzo di destinazione (comprese quelle che richiedono la divulgazione di dati alle autorità pubbliche o che autorizzano l’accesso da parte di tali autorità); l’importatore dei dati deve garantire che nell’effettuare la valutazione ha fatto del suo meglio per fornire all’esportatore di dati informazioni pertinenti e concorda sul fatto che continuerà a cooperare con l’esportatore di dati per garantire il rispetto di tali clausole, documentando tutto. Inoltre l’importatore “accetta di informare tempestivamente l’esportatore di dati [mediante apposita notifica] se, dopo aver accettato queste clausole e per la durata del contratto, ha motivo di credere di essere o è diventato soggetto a leggi o pratiche non in linea con i requisiti di cui alla lettera a), anche a seguito di una modifica delle leggi del paese terzo o di una misura (come una richiesta di divulgazione) che indichi un’applicazione di tali leggi in pratica che non è in linea con i requisiti” delle SCC; a seguito di tale notifica l’esportatore di dati dovrà individuare tempestivamente le misure appropriate (ad es. le misure tecniche o organizzative per garantire la sicurezza e la riservatezza) che devono essere adottate per affrontare la situazione, sospendendo il trasferimento dei dati se ritiene che non possano essere garantite adeguate garanzie;
  3. una fondamentale nota all’art. 14 precisa che per quanto riguarda l’impatto delle prassi estere gli elementi da valutare possono comprendere esperienze pratiche pertinenti e documentate, ad es. casi precedenti di richieste di divulgazione da parte di autorità pubbliche, l’assenza di tali richieste, che coprano un lasso di tempo sufficientemente rappresentativo, mediante documentazione interna o altra documentazione redatta su base continuativa, con la dovuta diligenza e “certificata” (sottoscritta?) dall’alta dirigenza, a condizione che tali informazioni possano essere legalmente condivise con terzi; tuttavia la nota precisa che anche qualora ci si affidi a queste documentate esperienze pregresse per concludere che l’importatore potrà conformarsi alle SCC, ciò dovrà essere sostenuto da altri elementi pertinenti e oggettivi e spetta alle parti valutare attentamente se tali elementi insieme hanno un peso sufficiente, in termini di affidabilità e rappresentatività, a sostegno di tale conclusione; esempi di tali elementi ulteriori possono essere informazioni attendibili disponibili al pubblico o altrimenti accessibili sull’esistenza o l’assenza di richieste di autorità nello stesso settore e/o sull’applicazione pratica della legge, come la giurisprudenza e le relazioni di organismi di vigilanza indipendenti;
  4. l’art. 15 sugli obblighi dell’importatore di dati in caso di accesso da parte delle autorità pubbliche: come visto, l’importatore dei dati deve informare tempestivamente l’esportatore di dati e, “ove possibile”, l’interessato (se necessario con l’aiuto dell’esportatore di dati) se riceve una richiesta giuridicamente vincolante da parte di un’autorità pubblica (ai sensi delle leggi del paese di destinazione, per la divulgazione dei dati personali trasferiti ai sensi di tali clausole) oppure viene a conoscenza di qualsiasi accesso diretto da parte delle autorità pubbliche ai dati personali trasferiti ai sensi delle SCC in conformità con le leggi del Paese di destinazione; qualora all’importatore dei dati sia vietato notificare all’esportatore di dati e/o all’interessato ai sensi delle leggi del Paese locale, l’importatore deve fare tutto il possibile per ottenere una deroga al divieto, al fine di comunicare il maggior numero possibile di informazioni, il prima possibile, documentando i suoi “migliori sforzi” in tal senso su richiesta dell’esportatore – se non sia possibile, per le leggi locali, fare alcunché (come spesso è prevedibile succeda), che accade? basteranno i “migliori sforzi” o si dovrà tornare all’inadeguatezza della situazione? Questa disposizione lascia un senso di inutilità nelle sue precisazioni; ove consentito dalle leggi del Paese di destinazione, l’importatore dovrà fornire all’esportatore, a intervalli regolari per tutta la durata del contratto, tutte le informazioni pertinenti possibili sulle richieste ricevute (in particolare: numero di richieste, tipo di dati richiesti, autorità richiedente, se le richieste sono state contestate e il loro esito, ecc.) – anche qui non è chiaro come valutare se ciò non sia ammesso dalle leggi locali;
  5. l’art. 15.2 prescrive una “revisione della legittimità e minimizzazione dei dati”: l’importatore dovrà verificare la legittimità della richiesta di divulgazione ricevuta dall’estero, in particolare se essa rientra nei poteri conferiti all’autorità pubblica richiedente, e di contestare la richiesta se, dopo un’attenta valutazione, conclude che vi sono ragionevoli motivi per ritenere che la richiesta sia illegittima ai sensi delle leggi del paese di destinazione o di diritto internazionale, anche richiedendo misure provvisorie al fine di sospendere gli effetti della richiesta fino a quando l’autorità giudiziaria competente non abbia deciso nel merito; l’importatore dovrà comunque fornire la quantità minima di informazioni consentite quando risponde a una richiesta di divulgazione, sulla base di un’interpretazione “ragionevole” della richiesta.

Conclusioni: Commissione Europea vs. Corte di Giustizia

L’impressione finale è di riconferma di una tensione esistente tra due istituzioni dell’Unione: da una parte una Corte di Giustizia, l’organo giudiziario, ferrea nella sua applicazione dei principi comunitari e dunque integerrima verso i sistemi normativi come quello USA per le problematiche anzidette; dall’altro la Commissione Europea (autrice anche del passato Privacy Shield, già pesantemente criticato da altre autorità fin dalla sua stessa emanazione), l’organo esecutivo, più pragmatica e che cerca di trovare compromessi nell’attesa di arrivare a un vero sostituto del Privacy Shield.

Lato titolari e responsabili dell’Unione, cosa possiamo ricavare dalle nuove SCC? Il quadro pare essere il seguente:

  1. la normativa USA è immutata, rispetto a quanto vagliato nella Schrems II, per cui il trasferimento (e mero accesso) dei dati da parte di soggetti di tale diritto è tuttora considerato non adeguato;
  2. si deve sempre e comunque applicare l’articolato LTA varato dall’EDPB nelle sue Raccomandazioni del 2020, a ogni trasferimento, pur se basato sulle nuove SCC;
  3. già dalle Raccomandazioni EDPB si ricavava la possibilità di adottare misure supplementari tecnico-organizzative – come la crittografia – a impedire l’attrito con i rischi legali in loco: il nervo scoperto erano e restano proprio i casi in cui questo non sia possibile, non certo residuali;
  4. il terzo (titolare o responsabile) potrà adottare le nuove SCC secondo le indicazioni della Commissione, nondimeno resterà sempre e solo responsabilità del soggetto unionista valutare se quanto predisposto e documentato sia sufficiente – il che pare quantomeno controverso vista la posizione della CGUE (seguita dalle autorità di controllo) a cui è bastata la possibilità teorica di un’interferenza delle normative e autorità estere sui dati per sfociare nell’illiceità del trasferimento, mentre la Commissione pare ammettere una criticità a fronte di uno storico di interferenze o in una arzigogolata valutazione di probabilità più concreta, priva una metrica oggettiva e quindi incerta;
  5. in ogni caso, il testo delle SCC pare permettere un trasferimento di dati anche quando le norme pur non adeguate del Paese di destinazione (ad es. sull’accesso da parte delle autorità straniere) siano scarsamente o poco probabilmente applicate, un criterio che potrebbe trovare la Corte di Giustizia, l’EDPB, l’EDPS e le autorità di controllo in generale fortemente critiche e portate a un’applicazione residuale e restrittiva – come ha notato anche la NOYB dello stesso Max Schrems nelle sue osservazioni sulle SCC;
  6. quantunque vi sia un periodo di 15 mesi per l’implementazione della novità, la continuata adozione della versione pregressa delle SCC dovrà sempre e comunque rispondere alle esigenze di tutela più volte viste sopra: non vi è nessuna sospensione di tutela o altri palliativi nel mentre;
  7. non scordiamo che proprio di recente una società tedesca è stata sanzionata dall’autorità di controllo per l’uso di Mailchimp, un fornitore marketing di diritto statunitense che giustifica il trasferimento dei dati sulla base delle pregresse SCC, ritenuto insufficiente per le solite ragioni esposte dal caso Schrems II;
  8. dal punto di vista dell’interessato, come visto potrebbe sorgere un suo diritto a vedersi notificare – ex art. 15 – l’accesso ai dati di autorità estere ma solo “ove possibile”, ipotesi non esplicata e che potrebbe lasciare a dubbie autovalutazioni dei titolari/responsabili la mancata trasparenza di un ignaro interessato; peraltro echeggiata anche nell’assenza di un obbligo di rendere pubbliche le SCC sottoscritte tra titolari/responsabili o le ulteriori valutazioni intercorse;
  9. è tutto da dimostrare che a un titolare/responsabile UE basti appoggiarsi a una sorta di accountability “conto terzi” dei fornitori USA ed extra-UE, dovendo comunque effettuare proprie valutazioni (in particolare, cfr. quanto previsto dall’art. 15) a cui le nuove SCC e le indicazioni della Commissioni accennano soltanto, in particolare come possano supplire a norme dal taglio del FISA e dell’EO americani e della loro interpretazione tranchant da parte della CGUE; inoltre, viene da chiedersi chi tra le citate PMI abbia i mezzi per pagare fior di consulenti con competenze giuridiche trans-nazionali idonee a giustificare queste valutazioni;
  10. peraltro EDPB ed EDPS avevano rilasciato un’opinione congiunta n. 2/2021 dove si chiedeva di fare luce su molti dei dubbi suesposti, senza però che il testo finale si possa dire abbia fatto grandi passi avanti, specie agli artt. 14 e 15 del testo.

In definitiva: la Commissione pare aggiungere un’ulteriore “pezza” al rammendo dei rapporti con gli USA e Paesi terzi, contribuendo con maggiori dubbi piuttosto che certezze rispetto a prima.

Servizi DEM e marketing, dopo il caso Mailchimp: verifichiamo la compliance privacy dei fornitori

Nonostante nelle proprie dichiarazioni la Commissione cerchi di farla passare quasi come una soluzione “chiavi in mano”. Ancor peggio, non fornendo uno strumento di facile valutazione a favore delle PMI: è vero che saranno perlopiù i fornitori a dover assemblare e giustificare le proprie SCC, ma come valutare la bontà di quanto eventualmente dichiarato da fornitori USA in tali documenti, tra conoscenza delle prassi e normativa locali e studi sul bilanciamento di quanto eventualmente appurato?

La fiducia non è certo il criterio che regge la tutela dei dati personali nell’Unione, lo è l’accountability dei soggetti di diritto comunitario, con tutto il fardello che comporta. In attesa della prossima mossa, ora titolari e responsabili – oltre che i loro consulenti – avranno un mal di testa in più, un’ulteriore valutazione da documentare, altri dubbi da cumulare, ulteriori valutazioni dei rischi.

Nell’attesa di una vera soluzione al tema. Comunque vada sarà un successo?

@RIPRODUZIONE RISERVATA

Articolo 1 di 4