I trasferimenti di dati personali dall’Unione Europea agli Stati Uniti a seguito delle “raccomandazioni” adottate dal Comitato Europeo per la protezione dei dati personali
[NOTA IMPORTANTE: Il presente documento è aggiornato al 10 dicembre 2020, pertanto, qualora la consultazione pubblica delle Raccomandazioni 01/2020 dell’EDPB modifichi l’assetto attualmente delineato, i contenuti del presente articolo potranno essere soggetti a successive modifiche e/o integrazioni]
1.Premessa
Com’è noto, il 16 luglio u.s., la Corte di Giustizia dell’Unione Europea (di seguito, la “CGUE”) ha adottato la sua sentenza nel caso c.d. “Schrems II”.
Nella sua sentenza, da un lato, la CGUE ha esaminato la validità della decisione 2010/87/CE della Commissione europea sulle clausole contrattuali tipo (di seguito, le “SCC”) e ne ha ritenuto la validità, chiarendo che tale validità dipende dall’esistenza di meccanismi efficaci che consentano, in pratica, di garantire il rispetto di un livello di protezione sostanzialmente equivalente a quello garantito dal Regolamento (UE) n. 2016/679 (di seguito, il “GDPR”) all’interno dell’Unione Europea (di seguito, l’“UE”).
Dall’altro lato, con la sentenza citata, la CGUE, ha esaminato la validità della decisione relativa allo scudo per la privacy (cd. “Privacy Shield”) [1], dal momento che i trasferimenti dei dati personali nell’ambito della controversia che ha portato alla domanda di pronuncia pregiudiziale si sono svolti tra l’UE e gli Stati Uniti. A tale riguardo la CGUE ha ritenuto che i requisiti del diritto interno degli Stati Uniti e, in particolare, determinati programmi che consentono alle autorità pubbliche degli Stati Uniti di accedere ai dati personali trasferiti dall’UE agli Stati Uniti ai fini della sicurezza nazionale, comportino delle limitazioni alla protezione dei dati personali che non sono configurate in modo da soddisfare requisiti sostanzialmente equivalenti a quelli previsti dal diritto dell’UE e che tale legislazione non accordi ai soggetti interessati diritti azionabili in sede giudiziaria nei confronti delle autorità statunitensi.
Alla luce di tale grado di ingerenza nei diritti fondamentali delle persone i cui dati sono trasferiti verso il suddetto Paese Terzo (vale a dire un paese che non fa parte dell’UE), la CGUE ha dichiarato invalida la decisione sull’adeguatezza del Privacy Shield [2].
Come si ricorderà, nel nostro precedente articolo sul tema di cui si discute, erano state illustrate le alternative al Privacy Shield per i trasferimenti dei dati personali dall’Italia agli Stati Uniti, esaminando le diverse possibili soluzioni che avrebbero potuto essere prese in considerazione [3].
Ebbene, l’obiettivo del presente contributo è quello di rappresentare soluzioni d’azione concrete alle società con sede nell’UE che hanno fatto finora affidamento sulle SCC [4] per trasferire i dati personali dall’Italia agli Stati Uniti, alla luce delle recenti raccomandazioni rilasciate dal Comitato europeo per la protezione dei dati personali (di seguito, l’“EDPB”).
2.Introduzione alle raccomandazioni sulle misure supplementari per i trasferimenti dei dati personali
Al fine di poter fornire degli strumenti di guida utili, lʼ11 novembre u.s. l’EDPB ha adottato, infatti, le “Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data”, e le “Recommendations 02/2020 on the European Essential Guarantees for surveillance measures” [5].
Partendo dalle Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data, esse descrivono efficacemente le attività che i titolari e i responsabili del trattamento che agiscono in qualità di data exporter verso Paesi Terzi devono eseguire, sulla base dei principi espressi dalla citata sentenza Schrems II, inizialmente, per mappare il complesso dei trasferimenti effettuati al di fuori dello Spazio Economico Europeo (di seguito, il “SEE”) e, in seguito, per valutare la necessità o meno di adottare misure supplementari per trasferire i dati conformemente al diritto dell’UE, a maggior tutela dei soggetti interessati.
Infatti, a seguito della sentenza Schrems II, i titolari e i responsabili del trattamento sono tenuti a verificare, caso per caso, se la legge del Paese Terzo garantisce un livello di protezione dei dati personali trasferiti sostanzialmente equivalente a quello garantito nel SEE e ad adottare eventuali misure supplementari/integrative delle garanzie di trasferimento previste dal Capo V del GDPR per garantire l’effettivo rispetto di tale livello di protezione, qualora le sole garanzie di trasferimento non siano sufficienti.
Le raccomandazioni intendono dunque assistere i titolari e responsabili del trattamento che siano data exporter nell’individuazione e nell’attuazione di adeguate misure supplementari, ove queste siano necessarie per garantire ai dati trasferiti verso Paesi Terzi un livello di protezione sostanzialmente equivalente.
In tal modo, l’EPDB mira a un’applicazione coerente del GDPR e della sentenza Schrems II in tutto il SEE.
3.Contenuto delle Raccomandazioni 01/2020
Come anticipato, le Raccomandazioni 01/2020 si configurano come una sorta di “tabella di marcia” o una serie di step che i data exporter devono osservare per valutare la necessità di mettere in atto misure integrative per poter trasferire i dati personali al di fuori del SEE in conformità con la normativa applicabile nell’UE, e contengono un elenco non esaustivo di misure supplementari e condizioni di efficacia delle stesse.
Saranno, pertanto, di seguito, analizzati gli step indicati dall’EPDB che i data exporter devono porre in essere nel rispetto del principio di accountability [6]:
- Ebbene, nel rammentare che le raccomandazioni sono indirizzate sia ai titolari del trattamento, sia ai responsabili che intendano individuare eventuali sub-responsabili, il primo step individuato è mappare tutti i trasferimenti di dati personali che il titolare compie verso i Paesi Terzi [7]. Tale attività potrebbe risultare particolarmente complessa, soprattutto quando si è in presenza di una serie di soggetti designati quali responsabili e sub-responsabili del trattamento, ma costituisce un primo passo fondamentale da compiere in ossequio al principio di accountability. Proprio in ragione di tale complessità, in questa fase potrà essere d’aiuto il registro dei trattamenti predisposto dal titolare ai sensi dell’art. 30 del GDPR. Infine, si evidenzia come in questa fase, il titolare dovrà necessariamente valutare il rispetto del principio di minimizzazione insieme all’eventuale esistenza di sub-responsabili in Paesi extra UE.
- Successivamente alla mappatura appena descritta, occorre poi individuare lo strumento giuridico che si sta impiegando per il trasferimento tra quelli elencati nel Capo V del GDPR [8]. A tale riguardo, l’EDPB chiarisce che in presenza di una decisione di adeguatezza della Commissione Europea, che certifichi che il Paese Terzo garantisce un livello adeguato di protezione ai dati personali che saranno trasferiti, non sarà necessario proseguire oltre nella valutazione ed il trasferimento si considererà legittimo, fatta salva la necessità per il titolare di monitorare la decisione al fine di verificare che non intervengano revoche o invalidazioni della stessa. [9]
- Ebbene, in assenza di una decisione di adeguatezza, il terzo step individuato dall’EDPB impone al titolare di valutare se lo strumento giuridico impiegato per il trasferimento è efficace [10] rispetto al trasferimento che si vuole effettuare. In altri termini, occorre valutare se esistano leggi o prassi del Paese Terzo che potrebbero incidere sull’efficacia ed effettività delle garanzie adeguate di cui all’art. 46 GDPR che legittimano il trasferimento. A tale riguardo, l’EDPB invita il titolare a considerare l’ipotesi in cui la legislazione del Paese Terzo consenta l’accesso ai dati personali da parte delle autorità pubbliche per finalità di sorveglianza. Ebbene, nell’ipotesi in cui tale legislazione sia ambigua o non disponibile al pubblico, l’analisi della legislazione dovrà tenere conto di fattori oggettivi e rilevanti e, infine, dovrà includere i controlli necessari ed essere documentata secondo il principio di accountability.
Arrivati a questo punto, se il titolare del trattamento (o il responsabile del trattamento) valuta che non vi siano interferenze e che lo strumento giuridico alla base del trasferimento sia efficace, il titolare (o il responsabile del trattamento) non dovrà adottare misure supplementari e potrà continuare o iniziare a traferire dati personali verso il Paese Terzo. Diversamente, si tratterà di identificare le misure aggiuntive che è necessario adottare per garantire un livello di protezione adeguato.
- Laddove, invece, la valutazione di cui allo step precedente individui degli ostacoli all’efficacia delle garanzie adeguate, il titolare sarà chiamato ad adottare misure supplementari (integrative) al trasferimento che assicurino agli interessati una protezione equivalente a quella loro riconosciuta all’interno dell’UE. Per questo step, si dovrà tenere conto dell’Allegato 2 alle raccomandazioni che fornisce un elenco non esaustivo di tali misure. Tali misure supplementari potranno essere tecniche (come ad esempio: la crittografia, la separazione del trattamento, la pseudonimizzazione, etc.), contrattuali (come ad esempio: la trasparenza degli obblighi, i diritti delle persone, etc.) ed organizzative (come ad esempio: le policies interne, la trasparenza, etc.). In ogni caso, le misure supplementari potranno riguardare diversi fattori, quali: il formato dei dati, la natura dei dati, la complessità del percorso dei dati, il numero di attori coinvolti, i trasferimenti successivi, etc.
Nel caso in cui, nonostante l’adozione delle misure supplementari, il trasferimento dei dati non assicuri garanzie adeguate per gli interessati, il titolare dovrà astenersi dal trasferire i dati, ovvero, qualora già in atto, sospendere il trasferimento medesimo.
- Nell’ipotesi in cui, invece, l’adozione di misure supplementari si riveli sufficiente ad assicurare agli interessati una protezione equivalente a quella loro riconosciuta all’interno dell’UE, a seconda dello strumento giuridico utilizzato a garanzia del trasferimento, sarà necessario implementare le procedure formali eventualmente richieste dalle misure supplementari che si intendono adottare. [11]
- Da ultimo, sarà opportuno monitorare, aggiornare e verificare periodicamente che le misure adottate restino efficaci nel corso del tempo [12].
Infine, l’EPDB chiarisce che i data exporter devono documentare il processo di valutazione sopra descritto, in quanto “responsabili” delle decisioni che assumono, in linea con il principio di accountability.
4.Contenuto delle Raccomandazioni 02/2020
Complementari a quelle sinora descritte, sono invece le “Recommendations 02/2020 on the European Essential Guarantees for surveillance measurers”.
Le raccomandazioni sulle garanzie essenziali [13] europee forniscono ai data exporter elementi utili a stabilire se il quadro giuridico che disciplina l’accesso delle autorità pubbliche ai dati personali nei Paesi Terzi per fini di sorveglianza configuri un’ingerenza giustificata nei diritti alla vita privata e alla protezione dei dati personali, e quindi non sia in contrasto con gli impegni assunti dall’esportatore e dall’importatore attraverso lo strumento di trasferimento utilizzato fra quelli di cui all’articolo 46 del GDPR.
5.Soluzioni pratiche per il trasferimento dei dati personali negli Stati Uniti
Alla luce di quanto sopra esposto e per tirare le fila del discorso, cosa fare se ci si avvale delle SCC con un importatore di dati negli Stati Uniti?
Ebbene, la CGUE ha rilevato che la normativa degli Stati Uniti non garantisce un livello di protezione sostanzialmente equivalente.
Pertanto, come anche chiarito dall’EDPB [14], la possibilità o meno di trasferire dati personali sulla base delle SCC dipende dall’esito della valutazione che il data exporter dovrà compiere, tenuto conto delle circostanze del trasferimento e delle misure supplementari eventualmente messe in atto. Le misure supplementari unitamente alle SCC, alla luce di un’analisi caso per caso delle circostanze del trasferimento, dovrebbero garantire che la normativa statunitense non interferisca con l’adeguato livello di protezione garantito dalle SCC e dalle misure supplementari stesse.
Se si è giunti alla conclusione che, tenuto conto delle circostanze del trasferimento e delle eventuali misure supplementari, non vi sarebbero adeguate garanzie, occorre sospendere o porre fine al trasferimento di dati personali. Tuttavia, se si intende continuare ciononostante a trasferire i dati, occorre informarne l’autorità di controllo competente.
Occorre poi capire e, conseguentemente valutare, caso per caso, che succede se il trasferimento trovi la sua condizione di legittimità sulla base degli altri strumenti di trasferimento previsti dall’art. 46 GDPR o si basi su una delle deroghe di cui all’art. 49 GDPR.
In ogni caso, occorre considerare che, nel caso in cui il trasferimento si basi sulle SCC, l’art. 6 della bozza di decisione della Commissione Europea, sottoposta a consultazione pubblica, con i modelli di SCC integrati sulla base della decisione della CGUE [15] stabilisce che, per il periodo di un anno dall’entrata in vigore della decisione e delle nuove SCC, esportatore ed importatore dei dati potranno continuare a far affidamento sulle precedenti clausole, stabilite con la Decisione 2001/497/EC e aggiornate con la 2010/87/EU, per dare esecuzione al contratto concluso prima dell’entrata in vigore della decisione.
In questo lasso di tempo, il contratto fra le parti potrà essere però integrato con le misure supplementari necessarie ad assicurare che il trasferimento avvenga con le adeguate garanzie ed in sicurezza.
In conclusione, è evidente come l’EDPB rimetta all’esportatore e all’importatore di dati, la valutazione se il livello di protezione richiesto dal diritto dell’UE sia rispettato nel Paese Terzo al fine di determinare se le garanzie fornite dagli strumenti giuridici prescelti possano essere rispettate nella pratica, con la conseguenza che, soltanto nel caso in cui detto livello non possa essere rispettato, occorrerà valutare se sia possibile prevedere misure supplementari per garantire un livello di protezione sostanzialmente equivalente a quello previsto nel SEE.
Le misure supplementari, in altri termini, potranno colmare la lacuna, laddove lo strumento di trasferimento individuato tra quelli dell’articolo 46 del GDPR da solo non riesca a garantire un livello di protezione dei dati personali sostanzialmente equivalente a quello previsto nel SEE, sempre se la legislazione del Paese Terzo non consenta ingerenze nei riguardi delle suddette misure supplementari tali da comprometterne di fatto l’efficacia [16].
Il contenuto di questo elaborato ha valore meramente informativo e non costituisce, né può essere interpretato, quale parere professionale sugli argomenti in oggetto. Per ulteriori informazioni si prega di contattare il vostro professionista di riferimento.
[1] Decisione 2016/1250 sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy.
[2] È possibile trovare il testo integrale della sentenza al seguente link: http://curia.europa.eu/juris/documents.jsf?num=C-311/18.
[3] Tutti i titolari o i responsabili del trattamento avrebbero potuto nel breve periodo:
- rivalutare la necessità di trasferire i dati personali oltreoceano e considerare la possibilità di sostituire i fornitori con sede negli Stati Uniti con fornitori stabiliti nell’UE o di conservare i dati presso uno stabilimento all’interno dell’UE;
- basare i trasferimenti di dati personali sulle SCC, dopo aver stabilito una procedura per valutare il livello di protezione dei dati nel paese o territorio in cui tali dati sono trasferiti e imporre misure tecniche e organizzative adeguate a tale livello di protezione;
- fare affidamento sul consenso esplicito degli interessati, sulla base delle indicazioni del Data Protection Board;
mentre, nel medio-lungo termine:
- per i gruppi multinazionali, definire delle norme vincolanti d’impresa e sottoporle all’approvazione delle autorità competenti ai sensi e per gli effetti dell’articolo 47 del GDPR; oppure
- attendere l’emanazione di codici di condotta o di meccanismi di certificazione e poi aderirvi.
[4] Nella maggior parte dei casi, le società con sede negli Stati Uniti che non aderiscono al Privacy Shield hanno basato i flussi di dati personali provenienti dall’UE sulle SCC. Le SCC consistono in set di clausole “tipo” che l’esportatore e l’importatore di dati personali sottoscrivono, allo scopo di assicurare, attraverso obblighi contrattuali conformi alle disposizioni del GDPR, un livello di protezione adeguato ai dati personali che lasciano lo Spazio economico europeo. La Commissione Europea ha approvato, sino ad ora, fino a tre set di clausole contrattuali tipo: due per i trasferimenti di dati dai titolari del trattamento stabiliti nell’UE ai titolari del trattamento stabiliti al di fuori dell’UE o del SEE e una per i trasferimenti di dati dai titolari del trattamento stabiliti nell’UE ai responsabili del trattamento stabiliti al di fuori dell’UE o del SEE. Non sono state ancora emesse SCC relative al trasferimento da un responsabile del trattamento stabilito nell’UE a un titolare del trattamento stabilito al di fuori dell’UE né relative al trasferimento da responsabili del trattamento (o sub-responsabili) stabiliti nell’Unione Europea a responsabili del trattamento (o sub-responsabili) stabiliti al di fuori dell’UE. A tale riguardo, il 12 novembre u.s., la Commissione Europea ha pubblicato la bozza di decisione, sottoposta a consultazione pubblica sino alla mezzanotte del 10 dicembre 2020 (ora di Bruxelles), con i modelli di SCC integrati sulla base della decisione della CGUE, che abroga la Decisione 2001/497/EC e la Decisione 2010/87/EU. In particolare, i modelli allegati alla bozza attualmente in discussione disciplinano quattro tipologie di trasferimenti: (i) trasferimento da titolare a titolare; (ii) trasferimento da titolare a responsabile; (iii) trasferimento da responsabile a responsabile; (iv) trasferimento da responsabile a titolare.
[5] Le Raccomandazioni 01/2020 sono sottoposte a consultazione pubblica fino al 21 dicembre 2020 e saranno applicabili immediatamente dopo la loro pubblicazione.
[6] Secondo il principio di accountability, infatti, previsto all’interno del GDPR, è onere del titolare del trattamento quello di essere in condizione in ogni momento di dimostrare il rispetto della disciplina in materia di trattamento dei dati personali.
[7] A tale riguardo, l’EDPB precisa che anche l’accesso remoto da un Paese Terzo (in caso di supporto) e/o l’archiviazione in un cloud situato al di fuori del SEE debba essere considerato un trasferimento extra UE.
[8] Ai sensi del GDPR, in assenza di una decisione di adeguatezza, i trasferimenti di dati personali verso Paesi Terzi possono essere effettuati soltanto se il titolare o il responsabile del trattamento che trasferisce i dati personali nel Paese Terzo abbia fornito garanzie adeguate e gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi. Possono costituire garanzie adeguate ai sensi dell’art. 46 GDPR: (i) le SCC; (ii) le norme vincolanti di impresa (“BCR”); (iii) i codici di condotta; (iv) i meccanismi di certificazioni; (v) clausole contrattuali ad hoc. Oltre alle ipotesi di cui sopra, il trasferimento può basarsi anche sulle deroghe di cui all’articolo 49 (incluso, tra le altre, il consenso esplicito dell’interessato).
[9] Tuttavia, si evidenzia, allo stesso tempo, che le decisioni di adeguatezza non impediscono agli interessati di presentare un reclamo, né impediscono alle autorità di controllo di adire un giudice nazionale in caso di dubbi sulla validità di una decisione, affinché il giudice nazionale possa sottoporre alla CGUE una domanda pregiudiziale finalizzata all’esame di tale validità.
[10] Il termine “efficace”, sta a significare che ai dati personali deve essere garantito un livello di protezione equivalente a quello garantito nell’UE.
[11] In particolare, nel caso in cui il trasferimento si basi sulle SCC, salvo che le ulteriori misure individuate non ledano i diritti degli interessati ovvero contraddicano le previsioni delle SCC medesime, non sarà necessario chiedere l’autorizzazione all’autorità di controllo per l’adozione di tali misure. Diversamente, qualora il titolare intenda modificare le SCC ovvero nel caso in cui le misure supplementari individuate si pongano in contrasto con le SCC, sarà necessario chiedere l’autorizzazione all’autorità di controllo competente, ai sensi dell’Art. 43, comma 3, lett. a) del GDPR.
[12] In particolare, il titolare dovrà adottare meccanismi per sospendere immediatamente il trasferimento quando l’importatore non è più in grado di rispettare lo strumento adottato e/o le misure supplementari si rivelano non più sufficienti a garantire un adeguato livello di protezione degli interessati.
[13] In particolare, le Raccomandazioni 02/2020 individuano le seguenti “garanzie essenziali”: (i) regole chiare, precise e accessibili per il trattamento di dati personali, (ii) dimostrazione della necessità e della proporzionalità in relazione agli obiettivi legittimi perseguiti; (iii) esistenza di un meccanismo di controllo indipendente, (iv) esistenza di tutele efficaci per l’interessato.
[14] Si vedano le “Domande frequenti sulla sentenza della Corte di giustizia dell’Unione europea nella causa C-311/18 — Data Protection Commissioner/Facebook Ireland Ltd e Maximillian Schrems”.
[15] Si veda la nota 4.
[16] A tale riguardo, si consideri che la clausola 3 della bozza di decisione della Commissione Europea, sottoposta a consultazione pubblica, con i modelli di SCC integrati sulla base della decisione della CGUE, prevede una serie di obblighi in capo all’importatore in caso di richieste di accesso ai dati personali da parte del governo. Fra questi vi è l’obbligo di notificare all’esportatore la richiesta dell’Autorità, e di comunicare a quest’ultimo la maggior quantità possibile di informazioni sulle richieste ricevute (numero di richieste, tipo di dati richiesti, autorità o autorità richiedenti, se le richieste sono state contestate e l’esito di tali contestazioni, etc.).