COMPLIANCE PRIVACY: COME TRASFERIRE I DATI PERSONALI AL DI FUORI DELL'UE

La sentenza della Corte di Giustizia Europea

Nel luglio 2020, la Corte di Giustizia dell’Unione Europea (CGUE), con la sentenza “Schrems II” (causa C-311/18 – Data Protection Commissioner v/s Facebook Ireland e Maximillian Schrems),ha invalidato il Privacy Shield – l’accordo che regolamentava il trasferimento di dati tra Unione Europea e USA – in quanto ritenuto non adeguato a tutelare il diritto alla riservatezza dei cittadini europei.

La sentenza Schrems II ha ribadito che lo standard europeo di protezione dei dati personali deve essere garantito e applicato sempre, a prescindere dal Paese in cui siano trasferiti. In altre parole, sebbene il livello di protezione in un Paese terzo non debba necessariamente essere identico, bensì equiparabile a quello garantito nello Spazio Economico Europeo (SEE), il trasferimento di dati personali verso Paesi terzi non può essere causa di indebolimento della protezione garantita nel SEE.

Infatti, la Corte ha stabilito che i titolari e i responsabili del trattamento che trasferiscono dati personali al di fuori dell’UE (c.d. data exporter) hanno l’obbligo di verificare caso per caso se le normative del Paese in cui i dati sono trasferiti possano incidere negativamente sull’applicazione delle “garanzie adeguate” descritte dall’Art. 46 del Regolamento Europeo sulla protezione dei dati personali (GDPR).

Qualora le normative del Paese in cui i dati sono trasferiti incidano negativamente sull’applicazione delle garanzie adeguate, la Corte richiede a chi effettua il trasferimento di dati personali verso Paesi terzi di adottare misure aggiuntive, che vadano a colmare le carenze identificate relative alla protezione dei dati personali, in modo da adattare il livello di protezione a quello previsto dalla normativa europea. Tuttavia, la Corte non specifica puntualmente quali misure siano adottabili dal titolare o responsabile del trattamento che si trovi nella necessità di trasferire dati personali al di fuori dell’UE.

La metodologia dell’European Data Protection Board

Alla luce dei temi toccati dalla sentenza, l’European Data Protection Board (EDPB) il 18 giugno 2021 ha adottato le Raccomandazioni 01/2020 relative alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE, nelle quali indica il processo da implementare per identificare e valutare l’adeguatezza di un trasferimento al di fuori dell’UE e adottare eventuali misure aggiuntive, al fine di garantire una protezione adeguata dei dati personali ad esso associati.

L’EDPB, nelle Raccomandazioni, definisce 6 principali fasi per gestire i trasferimenti di dati personali, secondo l’approccio di seguito rappresentato:

Le implicazioni delle nuove Clausole Contrattuali Standard

Anche in considerazione della sentenza CGUE e delle Raccomandazioni EDPB, il 27 giugno 2021 la Commissione Europea ha pertanto approvato le nuove  Clausole Contrattuali Standard (SCC), uno degli strumenti previsti dall’art. 46 del GDPR - e più utilizzati dalle imprese - per trasferire dati personali all’estero in assenza di una decisione di adeguatezza della Commissione Europea.

Le nuove SCC, a differenza di quelle precedenti e in linea con quanto previsto dalle Raccomandazioni dell’EDPB, presuppongono la valutazione preventiva sopra descritta sul trasferimento che si va a disciplinare, al fine di assicurare che le leggi e le prassi del Paese terzo non limitino l’applicazione concreta delle clausole.

Rispetto alla precedente versione delle SCC, troviamo inoltre le seguenti novità:

• Relazioni: Previsione di 4 tipologie di relazioni tra data exporter (soggetto al GDPR) e importer (non soggetto al GDPR): titolare-titolare; titolare-responsabile; responsabile-(sub) responsabile; responsabile-titolare.
• Multilateralità del contratto: Possibilità di far aderire al contratto più di due parti. Inoltre, successivamente alla prima sottoscrizione, altre parti possono inserirsi in qualità di data exporter o importer con il consenso dei contraenti originari.
• Misure tecniche e organizzative: Necessità di definire in maniera analitica le misure tecniche e organizzative necessarie per garantire la sicurezza in tutte le fasi del trasferimento dei dati (es.: crittografia, misure a garanzia del rapido ripristino dei sistemi, misure a protezione del flusso di comunicazione dei dati). Infatti, all’interno del documento, deve essere possibile distinguere chiaramente le misure applicabili a ciascun trasferimento e il ruolo delle parti nell’applicazione di ciascuna di esse.
• Indennizzi: Esplicita previsione di una clausola che regoli il regime degli indennizzi tra le parti a seguito di violazione delle clausole.

Inoltre, a livello di tempistiche di adozione:

• Per i nuovi contratti, la nuova versione delle SCC deve essere necessariamente adottata dal 27 settembre 2021.
• Per i contratti già esistenti, le aziende hanno fino al 27 dicembre 2022 per aggiornare i contratti con la nuova versione delle SCC.

Come ti può supportare Protiviti?

Protiviti, grazie al suo team multidisciplinare di professionisti specializzati sulle tematiche Security & Privacy, può aiutare le aziende ad affrontare questo importante cambiamento nella gestione dei dati personali attraverso diverse modalità di supporto:

1. Disegno o revisione della metodologia per la gestione dei trasferimenti di dati personali.

2. Identificazione di soluzioni tecniche per monitorare e gestire costantemente i trasferimenti di dati personali.

3. Creazione di una “Destination Map” per mappare i trasferimenti di dati personali extra-UE attualmente in essere verso soggetti terzi (es.: fornitori, sub-fornitori o altre società del gruppo) attraverso:

• acquisizione e analisi di informazioni interne all’azienda, come il registro dei trattamenti predisposto dall’azienda, le informative, i contratti con terzi e gli assessment privacy eseguiti;
• interviste ai referenti di business per verificare che le informazioni acquisiti siano aggiornate e complete;
• audit su terze parti.

4. Esecuzione di un “Transfer Impact Assessment” per supportare l’azienda nel valutare il livello di compliance privacy dei trasferimenti effettuati verso soggetti che importano dati al di fuori dell’UE, anche al fine di comprendere se sia necessario adottare misure aggiuntive al trasferimento dei dati, incluse misure tecniche e organizzative (ad esempio crittografia end-to-end).

5. Supporto nell’identificazione, disegno e adozione delle eventuali misure tecniche e organizzative a protezione dei trasferimenti di dati (ad esempio “pseudonimizzazione”, crittografia).

6. Predisposizione e revisione di SCC per i trasferimenti di dati personali extra-UE.

7. Aggiornamento del registro dei trattamenti e delle informative privacy, ove necessario.