Data transfer extra UE, ecco le raccomandazioni dell'EDPB - Cyber Security 360

La guida

Data transfer extra UE, ecco le raccomandazioni dell’EDPB

L’EDPB ha pubblicato le indicazioni per non sbagliare nel trasferimento dei dati verso Paesi extra UE: un documento indispensabile per le imprese dopo la sentenza Schrems II con cui è stato invalidato il Privacy Shield

13 Nov 2020
C
Marina Rita Carbone

Consulente privacy


L’EDPB ha adottato nuove raccomandazioni che risolvono, almeno in parte, i problemi connessi al trasferimento dati negli Stati Uniti a seguito della nota sentenza Schrems II della Corte di Giustizia UE. Da sottolineare che le indicazioni contenute nella raccomandazione possono applicarsi a tutti i trasferimenti verso Paesi terzi, non soltanto a quelli effettuati verso gli USA. Procediamo con un’analisi, per punti, del contenuto del documento in esame.

La sentenza Schrems II e le sue conseguenze

Per meglio comprendere il contenuto delle raccomandazioni, occorre svolgere una breve premessa in merito al contenuto della Sentenza C-311/18 o Schrems II. In breve, la Corte di Giustizia ha dichiarato invalida la decisione di esecuzione della Commissione Europea del 12 luglio 2016, sull’adeguatezza delle tutele offerte dal regime dello scudo UE-USA per la protezione dei dati personali, noto anche come “Privacy Shield”, in quanto ritenuto non conforme ai principi regolatori del GDPR.

Tale affermazione muove dalla considerazione che il Privacy Shield, nella sua attuale formulazione, non fornisce un livello di protezione, ai dati personali trasferiti e trattati negli Stati Uniti, equivalente a quello garantito in Unione Europea dal GDPR e dalla Carta dei diritti fondamentali dell’Unione Europea. La sentenza della Corte, inoltre, è immediatamente efficace. Di conseguenza, tutti i trasferimenti di dati UE-USA sono da considerarsi, ove attuati esclusivamente alla luce del Privacy Shield, illeciti. Sebbene ciò comporti conseguenza non indifferenti, la finalità perseguita dalla Corte è quella di non permettere che il trasferimento di dati verso un Paese terzo possa diminuire o diluire in alcun modo le garanzie europee di sicurezza e tutela del dato personale, in quanto quest’ultime devono ritenersi un elemento intrinseco del dato stesso, anche nel momento in cui fuoriesce dai confini territoriali europei.

Le raccomandazioni dell’EDPB

In tale contesto, vanno ad inserirsi le raccomandazioni fornite dall’EDPB in data 10 novembre 2020, le quali fanno seguito ad alcune FAQ fornite sul tema a breve distanza dalla pubblicazione della sentenza Schrems II. Il documento in esame, titolato “Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data”, ha quale scopo quello di aiutare tutti i soggetti che esportano dati personali all’estero (siano essi titolari o responsabili del trattamento, soggetti privati o pubblici) a rendere conforme il trasferimento dati, adottando alcune misure supplementari di sicurezza, ove ciò si renda necessario anche in virtù delle modalità di trattamento e di tipologie di dati oggetto dello stesso. L’EDPB consiglia all’esportatore di dati di porre in essere 6 step:

  • Il primo step viene indicato come “know your transfers” ed implica l’analitica mappatura dei trasferimenti posti in essere verso Paesi terzi. Essere consapevoli della destinazione dei dati personali, infatti, è indispensabile per garantire che al trattamento siano applicati livelli di protezione dei dati equivalenti a quelli europei;
  • Il secondo step, invece, richiede all’esportatore di verificare l’adeguatezza dei metodi di trasferimento (“verify the transfer tool your transfer relies on”). È possibile, infatti, che la Commissione Europea abbia già dichiarato, a seguito di una valutazione della normativa applicata dal Paese terzo al trattamento di dati personali, adeguato il Paese, la Regione o il settore presso cui si trasferiscono i dati, tramite una c.d. “decisione di adeguatezza” ai sensi di quanto previsto dall’art. 45 GDPR (o dalla previgente Direttiva 95/46, nei limiti di quanto considerato tuttora valido). Ove l’esito di tale step sia positivo, non occorre che l’esportatore attui ulteriori misure di sicurezza, se non il solo monitoraggio, nel tempo, della validità della decisione di adeguatezza (potrebbe accadere, infatti, che le Autorità, a seguito di un reclamo, mettano in discussione la validità della decisione stessa, revocandola o invalidandola);
  • Nel caso in cui la Commissione Europea, a contrario, non si sia pronunciata in merito all’adeguatezza del sistema di protezione dati del Paese terzo verso cui il trasferimento avviene, l’esportatore dovrà porre in essere un terzo step, consistente nella valutazione e nella verifica degli eventuali elementi normativi o di prassi che potrebbero interferire con l’effettività delle misure di sicurezza applicate al trasferimento dati, nel contesto dello specifico trasferimento posto in essere (“assess if there is anything in the law or practice of the third country that may impinge on the effectiveness of the appropriate safeguards of the transfer tools you are relying on, in the context of your specific transfer”). In assenza di una decisione di adeguatezza, infatti, l’art. 46 GDPR prevede che il titolare del trattamento o il responsabile del trattamento possano trasferire dati personali verso un paese terzo o un’organizzazione internazionale “solo se ha fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi”. Al fine di verificare se sussistono tali presupposti, l’EDPB consiglia di far riferimento alle raccomandazioni dalla stessa fornite “European Essential Guarantees recommendations” e di considerare, in particolar modo, se vi sono delle ambiguità o delle lacune nella normativa del paese destinatario che regola l’accesso ai dati da parte delle pubbliche autorità; in assenza di qualsiasi previsione delle specifiche cause che possano garantire alle pubbliche autorità l’accesso ai dati personali trasferiti, occorrerà verificare, nel caso in cui si voglia continuare a porre in essere il trasferimento dei dati verso quel Paese terzo, se vi sono altri fattori rilevanti e oggettivi che possano salvaguardare i dati personali da un trattamento non conforme con gli standards europei. L’intero processo di valutazione e verifica deve essere accuratamente documentato e condotto con diligenza, in quanto l’esportatore, ai sensi del principio di accountability, sarà ritenuto responsabile delle decisioni intraprese sulla base di tali valutazioni;
  • Il quarto step prevede l’identificazione e l’adozione di tutte le misure di sicurezza supplementari necessarie a far sì che il livello di protezione dei dati trasferiti all’estero sia conforme o, quantomeno, equivalente, agli standard europei “identify and adopt supplementary measures”. Lo step in esame è ritenuto dall’EDPB necessario esclusivamente nel caso in cui le valutazioni condotte nel precedente step portino alla luce elementi normativi che possano interferire con il rispetto delle norme europee. Anche tale processo deve essere accuratamente documentato, valutato e monitorato (una volta adottate le misure supplementari), alla luce del citato principio di responsabilizzazione. All’interno dell’Allegato 2 delle raccomandazioni, tuttavia, l’EDPB si occupa di fornire una preziosa lista non esaustiva di possibili misure supplementari che l’esportatore può adottare, corredate dalle condizioni che devono sussistere per assicurarne l’efficacia;
  • L’ulteriore quinto step è quello di adottare, in aggiunta alle misure di sicurezza supplementari, delle procedure formali a garanzia della conformità del trasferimento di dati personali (“take any formal procedural steps”). Queste sono individuate dall’EDPB come: l’aggiunta di standard data protection clauses (o “SCCs”, ex art. 46 par. 2 lett. c) e d) GDPR), l’adozione di binding corporate rules (o “BCRs”, ex art. 46 par. lett. b) GDPR), la previsione di clausole contrattuali ad hoc (ex art. 46 par. 3 lett. a) GDPR). Tutte le misure elencate, ove adottate dall’esportatore, devono rispondere a requisiti di non ambiguità ed effettività. Tali requisiti diventano fondamentali, ove si faccia riferimento, ad esempio, proprio al caso preso in esame dalla sentenza Schrems II: nel momento in cui si adottano clausole di tipo contrattuale, le leggi estere potrebbero contenere, infatti, delle previsioni che rendano inefficaci anche le ulteriori clausole contrattuali previste, riportando il trasferimento dei dati alla medesima situazione di illiceità preesistente;
  • L’ultimo e sesto step che l’esportatore deve mettere in atto è quello di monitorare, nel tempo, il livello di protezione dei dati effettivamente raggiunto, verificando se vi sono state delle novità, anche legislative, che possano necessitare ulteriori misure di sicurezza o la cessazione del trasferimento dei dati (“re-evaluate at appropriate intervals”). Il principio di responsabilizzazione richiede, infatti, sia al titolare che al responsabile del trattamento il continuo monitoraggio del livello di protezione e tutela dei dati personali applicati al trattamento e la loro adeguatezza non solo a quanto contenuto nelle norme ma anche e soprattutto al tipo di trattamento posto in essere ed al rischio intrinseco dello stesso.

Le misure supplementari

WHITEPAPER
Storage: aumentare prestazioni, scalabilità ed efficienza a costi contenuti
Storage
Backup

All’interno del citato Allegato 2 delle raccomandazioni esaminate (cui si rimanda per ulteriori approfondimenti), l’EDPB individua le seguenti categorie di misure di sicurezza che il titolare o il responsabile del trattamento possono adottare per assicurare che il trasferimento dati sia conforme agli standards europei. Tra le misure di natura tecnica troviamo:

  • La conservazione di dati per il backup e altre finalità che non richiedono l’accesso ai dati in chiaro: l’esportatore, prima della trasmissione, metterà quindi in atto delle operazioni di crittografia dei dati tali da non garantire la visualizzazione in chiaro dei dati personali oggetto di trasferimento;
  • Il trasferimento di dati pseudonimizzati, di modo da non consentire l’attribuzione di un dato oggetto di trasferimento ad una specifica persona fisica, senza l’utilizzo di informazioni aggiuntive;
  • Il mero transito, attraverso un Paese terzo, di dati personali, opportunamente crittografati: in tal caso, non dovrà essere consentito al Paese terzo di de-crittografare i dati (ciò richiederà anche la verifica di tutte le vulnerabilità tecniche presenti nel trasferimento, ivi incluse possibili backdoor hardware o software, e la corretta gestione delle chiavi crittografiche);
  • L’uso di “recipienti” protetti, sia per i dati personali che per tutte le ulteriori informazioni privilegiate che transitano in un Paese terzo (chiavi crittografiche, passwords, credenziali, ecc.);
  • Il trattamento di dati suddivisi in sotto-parti, ciascuna delle quali viene trasferita ad un differente responsabile del trattamento locato in una differente giurisdizione: in tal modo non si consente a chi riceve una parte del dato di interpretarlo o attribuirlo ad uno specifico individuo, senza l’uso di informazioni aggiuntive.

Tra le misure di natura contrattuale, invece, si indica:

  • La previsione di obbligatorie misure tecniche di sicurezza per il destinatario dei dati;
  • La previsione di obblighi di trasparenza: in tal caso, l’importatore si obbligherà a fornire all’esportatore, ad esempio, tutte le informazioni sul possibile accesso, da parte delle pubbliche autorità, ai dati trasferiti. Tale adempimento potrà aiutare l’esportatore a valutare correttamente il livello di protezione garantito dal Paese terzo, consentendogli, allo stesso tempo, di adottare misure di sicurezza adeguate;
  • La previsione di specifici obblighi positivi, che impongano all’importatore di porre in essere determinate azioni (con particolare riguardo ai rapporti tra quest’ultimo e le pubbliche autorità);
  • La previsione di clausole efficaci che consentano all’interessato di esercitare pienamente i propri diritti anche nei confronti dell’importatore.

Tra le misure di natura organizzativa, in ultimo, si elencano:

  • L’adozione di policies interne che regolino il trasferimento di dati in modo conforme al disposto normativo UE, specialmente ove si tratti di gruppi di imprese;
  • L’adozione di specifiche misure di trasparenza fra l’esportatore e l’importatore, come, ad esempio, la pubblicazione di reports di trasparenza e riassunti che tengano traccia delle richieste di accesso avanzate dalle pubbliche autorità del Paese terzo;
  • La periodica verifica del rispetto dei principi UE (in particolar modo, il principio di minimizzazione dei dati) tramite lo svolgimento di specifici audit interni;
  • L’adozione di standards e best practices che accertino l’adeguatezza del trasferimento e del trattamento dei dati personali, come le norme ISO e le best practices previste da ENISA.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5