Post Schrems II: le indicazioni dell’EDPS e dell’EDPB
A quattro mesi dalla nota e chiacchierata sentenza Schrems II, finalmente il Garante europeo per la protezione dei dati (EDPS) e il Comitato europeo per la protezione dei dati (EDPB) si sono pronunciati, fornendo importanti indicazioni circa la gestione dei trasferimenti dei dati extra UE. Senza dilungarci sull’analisi della sentenza[1], ricordiamo che la Corte di giustizia dell’Unione europea con tale decisione ha invalidato il Privacy Shield UE-U.S, che consentiva di trasferire e conservare i dati personali dell’UE negli Stati Uniti, al contempo confermando la validità della decisione 2010/87 relativa alle clausole contrattuali tipo (SCCs)[2].
In occasione della quarantunesima sessione plenaria tenutasi il 10 novembre 2020, l’EDPB ha rilasciato le “Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data”[3] completate dalle “Recommendations 02/2020 on the European Essential Guarantees for surveillance measures”[4]. L’obiettivo di tali raccomandazioni consiste nell’agevolare gli esportatori di dati nel compito di valutare l’adeguatezza del livello di protezione offerto nel Paese terzo verso cui i dati sono trasferiti e di delineare eventuali misure supplementari, al fine di garantire una tutela equivalente a quella europea. Come si prospettava, le indicazioni del Comitato europeo sono in linea con la Strategy for Union institutions, offices, bodies and agencies to comply with the ‘Schrems II’ Ruling pubblicata dall’EDPS il 29 ottobre, volta a delineare un piano strategico per monitorare e garantire la conformità delle istituzioni, degli organi, degli uffici e delle agenzie dell’UE alla decisione Schrems II[5].
È evidente l’importanza pratica di tali indicazioni, nonostante la loro natura essenzialmente non vincolante, in quanto strumenti di “soft law”. Dopo la sentenza Schrems II, organizzazioni pubbliche e private si sono ritrovate sprovviste dello strumento normativo che legittimava la loro pratica di trasferimento di dati personali extra UE e attendevano con ansia un risveglio delle istituzioni europee dal letargo che aveva seguito la decisione.
1. Il piano strategico dell’EDPS
Al fine di garantire e monitorare il rispetto di quanto disposto dalla sentenza “Schrems II”, l’EDPS adotta un twofold approach, distinguendo tra priorità da affrontare nel breve termine e azioni da effettuare nel medio termine.
A) I punti chiave della strategia nel breve termine
Il 5 ottobre 2020 l’EDPS ha imposto alle autorità europee di avviare una mappatura di tutte le operazioni di trattamento in corso, che comportano un trasferimento internazionale di dati, stabilendo come deadline la fine di ottobre. In tali report dovrebbero essere compresi elementi che riportano alla mente le informazioni rinvenute nel classico registro dei trattamenti come: tipologia di operazioni di trattamento, destinazioni e destinatari, strumento di trasferimento utilizzato e categorie di persone interessate.
In ossequio al risk based approach, le autorità europee dovranno riferire all’EDPS entro il 15 novembre 2020 eventuali rischi e criticità individuati durante l’esercizio di mappatura.
Nel fare ciò, dovranno confermare se i trasferimenti individuati sono o meno:
- illegali – in quanto effettuati in assenza di condizioni di liceità del trasferimento;
- basati su una delle deroghe poste in essere in assenza di garanzie adeguate (es. consenso);
- ad alto rischio – ovvero trasferimenti verso entità statunitensi soggette alla sezione 702 FISA o all’E.O. 12333, che implicano il trasferimento di dati su larga scala, il trattamento di dati sensibili o complesse operazioni di trattamento.
Al termine di tale operazione, l’EDPS potrà prendere misure per rendere conforme o interrompere il trasferimento dei dati.
Attenzione per i nuovi trattamenti: Per quanto riguarda i contratti con nuovi fornitori di servizi e le nuove operazioni di trattamento, l’EDPS raccomanda fortemente le autorità europee di evitare i trasferimenti di dati personali verso gli Stati Uniti.
B) I punti chiave della strategia nel medio termine
Alle autorità europee sarà chiesto di effettuare valutazioni d’impatto sul trasferimento dei dati caso per caso, per identificare se nel Paese terzo di destinazione è garantito un livello di protezione sostanzialmente equivalente a quello fornito nell’UE (“Transfer Impact Assessment”, o “TIA”).
Qualora dall’assessment emerga che non sia possibile assicurare, nel Paese in cui si intende trasferire i dati, un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’Unione, le autorità, insieme ai data importers dovranno identificare le misure supplementari da mettere in atto, sfruttando i documenti elaborati nella prima fase (mappatura e relative valutazioni).
Successivamente si raccomanda di riferire all’EDPS, nel corso della primavera del 2021, sulle tre seguenti categorie di trasferimenti: i) trasferimenti che non garantiscono un livello di protezione sostanzialmente equivalente; ii) trasferimenti che sono sospesi o interrotti a valle della valutazione effettuata dall’autorità; iii) trasferimenti basati sulle deroghe specifiche previste dal Regolamento.
In base all’esito dell’esercizio di mappatura, combinato con le conclusioni tratte dalle valutazioni d’impatto e in cooperazione con l’EDPB, l’EDPS stabilirà le priorità a lungo termine per garantire la compliance per il 2021.
2. Le raccomandazioni dell’EDPB
Con le raccomandazioni 01/2020 e 02/2020 il Comitato europeo offre preziose indicazioni per rispondere ai dubbi relativi al trasferimento dei dati extra UE, sollevati dopo la sentenza Schrems II. In particolare nelle recommendations 01/2020, l’EDPB consiglia alle imprese di seguire una roadmap scandita in 6 fasi per garantire la conformità dei data transfers extra UE.
La roadmap per la gestione del trasferimento dei dati extra UE
Step 1: Mappare tutti i trasferimenti di dati personali verso Paesi terzi
In ossequio al principio cardine di accountability, il primo passo consiste nel “conoscere i trasferimenti effettuati” attraverso la realizzazione di una mappatura del flusso dei dati. Nel compiere tale operazione occorre tenere ben presente che l’accesso remoto da un Paese terzo e/o lo storage in un cloud situato al di fuori dell’Unione, è anch’esso considerato un trasferimento. L’EDPB rammenta inoltre che al fine di garantire il rispetto del principio di minimizzazione dei dati è necessario verificare che i dati trasferiti siano adeguati, pertinenti e limitati a quanto necessario in relazione alle finalità per le quali vengono trasferiti e trattati nel Paese terzo.
Step 2: Identificare lo strumento normativo su cui si basa il trasferimento
Una volta completata l’operazione di mappatura dei dati, i data exporters devono identificare i meccanismi normativi su cui si basa il trasferimento, in conformità alle disposizioni del GDPR. Tali strumenti normativi includono:
- decisioni di adeguatezza della Commissione Europea;
- norme vincolanti d’impresa (BCRs);
- clausole contrattuali standard (SCCs);
- clausole contrattuali ad hoc;
- meccanismi di certificazione;
- codici di condotta.
L’EDPB specifica che se il trasferimento è verso un Paese ritenuto adeguato dalla Commissione non sarà necessario adottare ulteriori misure, se non controllare che la decisione di adeguatezza rimanga valida.
Step 3: Valutazione della legislazione del Paese terzo
Il terzo step, secondo l’EDPB, consiste nel valutare se vi sia qualche elemento nella legislazione o nella prassi del Paese terzo che possa incidere sull’efficacia dello strumento di trasferimento su cui si fa affidamento, nel contesto di quello specifico trasferimento.
È qui che entra in gioco il secondo documento adottato dall’EDPB sempre in data 10 novembre – raccomandazioni 02/2010 – nel quale sono definite le garanzie essenziali da prendere in considerazione nell’assessment della legislazione straniera. In particolare il documento, che aggiorna il precedente Working Document 01/2016 on the justification of interferences with the fundamental rights to privacy and data protection through surveillance measures when transferring personal data (WP237)[6], pubblicato subito dopo la sentenza Schrems I, fornisce gli elementi per esaminare se le misure di sicurezza nazionale e di sorveglianza, che consentono l’accesso ai dati personali da parte delle autorità pubbliche di un Paese terzo, possono essere considerate un’interferenza giustificabile in linea con il diritto europeo. L’EDPB riassume queste garanzie essenziali come segue:
- il trattamento deve basarsi su regole chiare, precise e accessibili;
- la necessità e la proporzionalità rispetto agli obiettivi legittimi perseguiti devono essere dimostrate;
- deve esistere un meccanismo di controllo indipendente;
- devono essere presenti tutele efficaci per l’interessato.
L’EDPB raccomanda ai data exporters di rivolgersi direttamente all’importatore nel Paese terzo per richiedere informazioni sulla legislazione applicabile e di diffidare da valutazioni soggettive e astratte circa la probabilità che le autorità pubbliche accedano ai dati in conformità agli standard UE.
Oltre alle raccomandazioni sulle garanzie essenziali, nel contesto di tale step, appare essenziale la consultazione dell’Allegato 3 delle recommendations 01/2020, in cui troviamo un elenco di informazioni utili alla valutazione delle misure di protezione extra UE. Tra queste figurano la giurisprudenza della Corte di Giustizia dell’Unione Europea e della Corte europea dei diritti dell’uomo, le decisioni di adeguatezza della Commissione europea, le risoluzioni e i rapporti delle organizzazioni intergovernative e degli organismi regionali, come il Consiglio d’Europa, nonché la giurisprudenza nazionale e i rapporti delle istituzioni accademiche.
Step 4: Identificazione e adozione di misure supplementari/integrative al meccanismo di trasferimento
Il quarto passo consiste nell’individuare e adottare le misure supplementari necessarie per portare il livello di protezione dei dati oggetto di trasferimento agli standard dell’UE, nel caso in cui dall’assessment della terza fase risulti che la legislazione del Paese terzo incida sull’efficacia dello strumento di trasferimento scelto. L’analisi di tale tappa è di fondamentale importanza se consideriamo che la sentenza Schrems II afferma la liceità dell’utilizzo delle SCCs in presenza di misure supplementari, ma non specifica quali esse siano.
L’EDPB fornisce un elenco non esaustivo di tali misure di tipo tecnico, contrattuale e organizzativo.
In relazione alle misure tecniche, l’EDPB prende in considerazione diversi scenari in cui tali misure (es. crittografia, pseudonimizzazione, elaborazione frazionata) possono essere efficaci o meno. A titolo esemplificativo, l’EDPB indica che la cifratura può rivelarsi uno strumento estremamente utile soprattutto nel contesto in cui l’esportatore di dati utilizza un fornitore di servizi di hosting in un Paese terzo per la conservazione di dati personali (ad es. a scopo di backup). Ciò vale solo se le chiavi crittografiche sono conservate esclusivamente dall’esportatore di dati o da altri enti incaricati di questo compito, che risiedono nell’Unione o in un Paese terzo che la Commissione europea ha ritenuto idoneo a garantire un livello adeguato di protezione dei dati.
L’EDPB aggiunge che oltre le misure tecniche è possibile fare affidamento su misure contrattuali e organizzative, tra cui:
- obblighi contrattuali relativi all’utilizzo di misure tecniche specifiche e obblighi di trasparenza;
- misure contrattuali che limitino l’accesso ai dati solo con il consenso espresso o implicito del data exporter e/o dell’interessato;
- politiche interne per la governance dei trasferimenti;
- documentazione delle richieste di accesso governative;
- pubblicazione regolare di rapporti o di sintesi sulle richieste di accesso governative;
- coinvolgimento del responsabile della protezione dei dati in tutte le questioni relative al trasferimento internazionale dei dati;
- adozione di politiche rigorose e all’avanguardia in materia di sicurezza e riservatezza dei dati;
- revisione periodica delle politiche interne.
Laddove nessuna misura supplementare possa porre rimedio alle carenze individuate, l’EDPB afferma che i trasferimenti devono essere interrotti.
Step 5: Adozione di step procedurali specifici in presenza di misure supplementari
Gli esportatori di dati devono adottare tutte le misure procedurali formali che possono essere richieste per fornire le necessarie protezioni, a seconda del meccanismo di trasferimento dei dati utilizzato.
In particolare, l’EDPB osserva che non è necessario chiedere l’autorizzazione all’autorità quando le misure supplementari vengono aggiunte alle SCCs. Tuttavia, qualora le SCCs debbano essere modificate o nell’eventualità in cui le misure supplementari si trovino in contraddizione con queste, sarà necessario ottenere un’autorizzazione da parte dell’autorità competente.
Al riguardo ricordiamo che il 12 novembre la Commissione europea ha pubblicato la sua proposta di nuove clausole contrattuali tipo per i trasferimenti internazionali di dati[7]. Le nuove SCCs includono diversi “modules” al fine di disciplinare quattro tipologie di trasferimenti:
- trasferimento da titolare a titolare;
- trasferimento da titolare a responsabile;
- trasferimento da responsabile a responsabile;
- trasferimento da responsabile a titolare.
Inoltre, in linea con la sentenza Schrems II, le nuove SCCs includono disposizioni specifiche riguardo le richieste governative di accesso ai dati.
Per quanto riguarda le BCRs e le clausole contrattuali ad hoc, l’EDPB specifica che l’impatto della decisione Schrems II è ancora in fase di discussione.
Step 6: Monitoraggio ed aggiornamento periodico della valutazione del livello di protezione di dati personali
In ossequio al principio di accountability, i data exporters coadiuvati dagli importatori di dati, devono monitorare costantemente se vi sono delle modifiche, nel Paese terzo verso il quale hanno trasferito i dati personali, che potrebbero influire sulla loro valutazione iniziale del livello di protezione e sull’efficacia delle misure supplementari adottate.
Infine, l’EDPB rammenta che l’intero processo di assessment sopra descritto deve essere documentato, in quanto i data exporters sono ritenuti responsabili delle decisioni prese.
Conclusione
Dopo un periodo di silenzio gli organismi europei sono tornati a far sentire la loro voce, fornendo importanti indicazioni pratiche per risolvere alcune delle problematiche rimaste irrisolte dopo la discussa sentenza Schrems II. In particolare, il dettaglio con cui l’EDPB descrive le possibili misure supplementari e i relativi scenari, si rivelerà di particolare importanza nelle attività delle organizzazioni pubbliche e private.
Ricordiamo però che si tratta pur sempre di raccomandazioni, che aiutano solo parzialmente a risolvere/semplificare la complessità dei trasferimenti extra UE venutasi a sviluppare soprattutto dopo la decisione della Corte di giustizia dell’Unione europea. Raccomandiamo dunque alle organizzazioni di non sottovalutare l’importanza di un’analisi in concreto di ciascuna fase suggerita dall’EDPB, in considerazione dello specifico trattamento, dell’ordinamento giuridico del Paese terzo e del meccanismo normativo di trasferimento utilizzato, al fine di mantenere integri gli standard di protezione dei dati dell’UE nei Paesi terzi.
[1] G. Fragalà, Schrems II: il Privacy Shield UE-USA non è adeguato, luglio 2020, disponibile qui: https://www.iusinitinere.it/schrems-ii-il-privacy-shield-ue-usa-non-e-adeguato-29649
[2] Vedi qui: https://eur-lex.europa.eu/legal-content/IT/ALL/?uri=CELEX%3A32010D0087
[3] Vedi qui: https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/recommendations-012020-measures-supplement-transfer_en
[5] Vedi qui: https://edps.europa.eu/sites/edp/files/publication/2020-10-29_edps_strategy_schremsii_en_0.pdf
[6] Vedi qui: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2016/wp237_en.pdf
[7] Vedi qui: https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countries
Laureata in Giurisprudenza presso l’Université Paris I Panthéon-Sorbonne, con specializzazione in diritto pubblico, con il massimo dei voti. Dopo aver integrato la sua formazione, come Visiting Student, presso l’Università di Cambridge e l’Università della California Los Angeles (UCLA), continua i suoi studi presso l’Université Paris I Panthéon-Sorbonne, conseguendo un Master di primo livello in Diritto Internazionale.
Particolarmente interessata all’applicazione del diritto nell’era digitale, si candida ed è ammessa all’edizione 2018-2019 del LL.M in Law of Internet Technology, presso l’Università Commerciale Luigi Bocconi di Milano.
La sua formazione le permette di avere una conoscenza livello madrelingua della lingua francese e inglese, oltre ad una buona padronanza della lingua spagnola.