Trasferimento dati all’estero: l’EDPS avvia due indagini per l’adeguamento UE a Schrems II - Cyber Security 360

DATA PROTECTION

Trasferimento dati all’estero: l’EDPS avvia due indagini per l’adeguamento UE a Schrems II

Il garante privacy europeo ha avviato due indagini sull’uso dei servizi cloud offerti da Amazon Web Services e Microsoft e dei servizi offerti dalla suite Microsoft Office 365: lo scopo è quello di fornire le indicazioni corrette per l’adeguamento delle istituzioni UE ai principi della sentenza Schrems II. I dettagli

31 Mag 2021
C
Marina Rita Carbone

Consulente privacy

È stato annunciato da parte del Garante Europeo per la protezione dei dati personali (meglio noto come EDPS) l’avvio di due indagini, al fine condiviso di consentire l’adeguamento delle istituzioni europee ai principi fondamentali dettati dalla sentenza “Schrems II”, che ha posto fine all’applicazione del Privacy Shield, dichiarandone l’incompatibilità con le norme contenute all’interno del GDPR.

Trasferimento dei dati all’estero: le indagini dell’EDPS

Secondo quanto riportato sulla pagina istituzionale dell’EDPS, sono due le indagini avviate dal Garante:

  • la prima, riguardante l’utilizzo dei servizi cloud forniti da Amazon Web Services e Microsoft all’interno dei contratti Cloud II da parte di tutte le istituzioni, organismi e agenzia dell’Unione Europea (c.d. EUIs): obiettivo dichiarato dell’indagine è quello di verificare che i contratti e i servizi cloud siano conformi a quanto riportato nella Schrems II, nel caso in cui l’utilizzo dei servizi in cloud comporti il trasferimento dei dati verso Paesi extra-UE;
  • la seconda, riguardante l’utilizzo, da parte delle istituzioni e degli organismi dell’UE, dei servizi forniti da Microsoft all’interno del pacchetto Microsoft Office 365: obiettivo di tale indagine, invece, è verificare che la Commissione Europea, nel suo utilizzo del pacchetto Office, sia conforme alle raccomandazioni formulate dallo stesso EDPS sull’uso dei prodotti e dei servizi Microsoft da parte delle istituzioni pubbliche.

Dette indagini fanno parte della più ampia strategia di adeguamento alla sentenza Schrems II, annunciata nell’ottobre 2020, allo scopo di rendere i trasferimenti internazionali attualmente in corso e quelli futuri pienamente conformi alla legge europea sulla protezione dei dati personali.

Richiesta una valutazione d’impatto sui trasferimenti extra-UE

All’interno dell’indagine, sarà richiesto alle istituzioni europee di condurre una “Transfer Impact Assessment” (TIA), una valutazione d’impatto, caso per caso, sui trasferimenti extra-UE, al fine di individuare con assoluto rigore se nel paese terzo di destinazione sia previsto un livello di protezione dei dati sostanzialmente equivalente a quello fornito in UE.

A tale scopo, l’EDPS fornirà un elenco di domande preliminari per avviare i TIAs con gli importatori di dati.

Sulla base di tali valutazioni effettuate con l’aiuto degli importatori di dati, le istituzioni europee dovrebbero essere in grado di stabilire se sia possibile o meno continuare a svolgere i trasferimenti individuati nella prima fase di mappatura.

Per poter continuare ad effettuare tali trasferimenti, le EUIs, insieme agli importatori di dati, potrebbero dover individuare e attuare misure di salvaguardia supplementari al fine di rispecchiare gli standard indicati nella sentenza Schrems II.

Sarà d’obbligo anche valutare, caso per caso, se vi siano i presupposti per fruire delle deroghe previste all’interno dei Regolamenti europei applicabili.

I risultati dell’analisi condotta dall’EDPS

Il processo di adeguamento alla strategia Schrems II è, oggi, assolutamente graduale: lo stesso EDPS, in ottobre, ha richiesto alle istituzioni europee di riferire quali fossero i trasferimenti di dati personali verso paesi terzi, attualmente in corso, di modo tale da svolgere una mappatura puntuale degli stessi, verificando la possibile applicazione delle garanzie di cui agli artt. 44 e ss. GDPR.

L’analisi sinora svolta dall’EDPS ha mostrato che, a causa delle numerose ed eterogenee operazioni di trattamento poste in essere dalle EUIs, specialmente nel caso in cui si utilizzano strumenti e servizi offerti dai grandi fornitori di servizi, come Amazon e Microsoft, sussistono moltissimi trattamenti che comportano un trasferimento di dati al di fuori dell’UE, in particolare verso gli Stati Uniti.

L’analisi ha fatto emergere, altresì, una crescente interdipendenza delle organizzazioni istituzionali dai software e dalle infrastrutture basate sul cloud, e, conseguentemente, dai grandi fornitori di servizi IT, la maggior parte dei quali hanno sede in USA e sono, dunque, soggetti ad attività di sorveglianza che risultano sproporzionate rispetto alle garanzie richieste dalla normativa europea.

L’attuale Garante europeo della protezione dei dati, Wojciech Wiewiórowski, ha dichiarato che “”A seguito dell’esito dell’esercizio di rendicontazione da parte delle istituzioni e degli organi dell’UE, abbiamo individuato alcuni tipi di contratti che richiedono particolare attenzione ed è per questo che abbiamo deciso di avviare queste due indagini. Sono consapevole che i “contratti Cloud II” sono stati firmati all’inizio del 2020 prima della sentenza “Schrems II” e che sia Amazon che Microsoft hanno annunciato nuove misure con l’obiettivo di allinearsi alla sentenza. Tuttavia, queste misure annunciate potrebbero non essere sufficienti a garantire il pieno rispetto della legislazione dell’UE in materia di protezione dei dati e quindi la necessità di indagare adeguatamente su questo punto”.

Wiewiórowski ha dichiarato altresì che, tramite le indagini attualmente in corso, l’EDPS potrà anche permettere di gettare le fondamenta per la rinegoziazione dei contratti con i diversi fornitori di servizi extra-UE, fornendo un primo grande esempio di conformità dei trasferimenti dati post Schrems II.

La strategia europea post Schrems II

Come anticipato in premessa, il 29 ottobre 2020 il Garante europeo della protezione dei dati (EDPS o GEPD) ha pubblicato un documento strategico volto a monitorare la conformità delle istituzioni, degli organi e delle agenzie europee (IME) alla sentenza “Schrems II” in relazione ai trasferimenti di dati personali verso paesi terzi, e in particolare gli Stati Uniti. L’obiettivo è di assicurare che tutti i trasferimenti internazionali, siano conformi al GDPR e, più in generale, alla normativa europea in materia di privacy e protezione di dati personali.

Al momento della pubblicazione della strategia di adeguamento delle istituzioni ai principi cardine enunciati nella sentenza Schrems II, Wojciech Wiewiórowski, ha dichiarato che i trasferimenti di dati personali da parte delle istituzioni europee verso paesi terzi dovrebbero essere conformi non solo al GDPR, ma anche e soprattutto alla Carta dei diritti fondamentali dell’UE e al Capitolo V del Reg. UE 1725/2018.

A tal fine, la strategia dell’EDPS si basa sulla cooperazione e sulla responsabilità dei responsabili del trattamento, allo scopo di valutare se lo standard di protezione stabilito dalla sentenza della Corte sia garantito quando vengono effettuati trasferimenti di dati personali verso paesi terzi.

La strategia dell’EDPS non si ferma alle istituzioni e agli organismi pubblici, mirando a ottenere una protezione costante e duratura dei diritti dei cittadini europei, in un contesto globale che vede i grandi fornitori statunitensi in una posizione di enorme potere rispetto al singolo utente.

Sebbene la strategia miri a rendere conformi alla sentenza tutti i trasferimenti di dati verso i paesi terzi nel medio termine, il Garante europeo ha individuato altre due priorità da affrontare a breve termine:

  • i contratti di trattamento in corso tra titolare e responsabile del trattamento che comportano trasferimenti di dati verso paesi terzi;
  • i contratti tra responsabile e sub-responsabile del trattamento, con particolare attenzione ai trasferimenti di dati effettuati negli Stati Uniti.

Sono così state delineate azioni di conformità a breve e a medio termine, dal cui esito discenderà anche l’adeguamento delle misure generali contrattuali applicate dai grandi fornitori di servizi e, presumibilmente, delle linee guida che permettano anche alle aziende di verificare se le garanzie applicate ai propri trattamenti siano conformi alle disposizioni contenute negli artt. 44 e ss. GDPR.

Le raccomandazioni di EDPS ed EDPB

Alcune indicazioni, tuttavia, sono già state fornite dal Garante e dall’EDPB (European Data Protection Board) in merito alle possibili soluzioni da adottare per garantire una continuità dei trattamenti in essere alla data di pubblicazione della sentenza Schrems II, anche nel caso in cui essi siano effettuati verso gli Stati Uniti.

Sono stati emessi, infatti, dei pareri congiunti su due standard di clausole contrattuali (CSC):

  • uno, sulle CSC nei contratti tra titolare e responsabile del trattamento;
  • l’altro, sulle CSC nel caso in cui sussista un trasferimento di dati personali verso paesi terzi.

EDPB, inoltre, ha pubblicato, con l’ausilio del Garante Europeo, le linee guida 01/2020 sulle misure supplementari finalizzate a garantire un livello di protezione sostanzialmente equivalente nell’UE quando si verificano trasferimenti di dati personali verso paesi terzi.

Le linee guida 01/2020 sono diventate applicabili immediatamente dopo la loro pubblicazione nel novembre 2020, nonostante sia in corso il processo di consultazione pubblica.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5