Lo scorso 16 luglio la Corte di giustizia dell'Unione Europea (CGUE), con la sentenza nella causa C-311/18 Data Protection Commissioner / Maximilian Schrems e Facebook Ireland (cd. “Sentenza Schrems II”), si è pronunciata in merito al regime di trasferimento dei dati tra l'Unione Europea e gli Stati Uniti, invalidando la decisione di adeguatezza del "Privacy Shield”, adottata nel 2016 dalla Commissione europea in seguito alla decadenza dell'accordo "Safe Harbor".
Il “Privacy Shield” era l’accordo per il trasferimento dei dati verso gli Stati Uniti, che tutelava i diritti fondamentali degli interessati nell’UE e stabiliva regole certe per le imprese coinvolte nell’esportazione di dati al di là dell’Atlantico.
Questa sentenza ha anche creato incertezze rispetto alle Clausole Contrattuali Standard (SCC) e alle Binding Corporate Rules (BCR), meccanismi previsti dal Regolamento Privacy UE 2016/679 (“GDPR”), rendendo critico il trasferimento dei dati al di fuori dello Spazio Economico Europeo (SEE) in generale, e lasciando spiazzati numerosi operatori economici, che si sono trovati a dover rivalutare le condizioni legittimanti e le modalità con cui effettuare l’esportazione di dati al di fuori del SEE.
Il 23 luglio l’EDPB (il Comitato Europeo per la protezione dei dati) ha pubblicato le FAQ, volte a fornire risposte ad alcune domande frequenti ricevute dalle Autorità di controllo in seguito alla sopracitata sentenza.
Le FAQ chiariscono che la possibilità di ricorrere a SCC o BCR è subordinata ad una preventiva e più ampia valutazione, da effettuare caso per caso, tenendo in considerazione le circostanze del trasferimento e le misure supplementari eventualmente messe in atto.
L’EDPB chiarisce che il parametro per l’adeguatezza delle garanzie di cui all’art. 46 GDPR è costituito dalla "equivalenza sostanziale": le persone i cui dati personali sono trasferiti verso un Paese terzo sulla base di clausole tipo di protezione dei dati, devono godere di un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’Unione dal Regolamento.
Le recenti raccomandazioni dell’EDPB
Per poter fornire degli strumenti di guida e supporto alla conduzione di tale valutazione, l’11 novembre l’EDPB, nel corso della sua 41° sessione plenaria, ha adottato le seguenti raccomandazioni:
- Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data, Adopted on 10 November 2020.
- Recommendations 02/2020 on the European Essential Guarantees for surveillance measures, Adopted on 10 November 2020.
Le prime contengono una serie di step che gli exporter devono seguire per poter trasferire i dati al di fuori del SEE in conformità con la legislazione dell’UE. Gli step di valutazione comprendono una iniziale mappatura dei trasferimenti effettuati; l’individuazione del meccanismo di trasferimento adeguato; un’analisi della normativa del paese terzo; l’adozione di misure supplementari/integrative; l’adozione di step procedurali specifici in presenza di misure supplementari; il monitoraggio e aggiornamento periodico della valutazione effettuata.
Fermo restando che la valutazione e la scelta delle misure supplementari/integrative è in capo al titolare del trattamento, l’allegato 2 alle Raccomandazioni 01/2020 contiene un elenco esemplificativo e non esaustivo di misure tecniche (crittografia, separazione del trattamento, pseudonimizzazione), contrattuali (trasparenza degli obblighi, diritti delle persone) e organizzative (politica interna, trasparenza, procedure), a garanzia del trasferimento, in relazione a diversi possibili scenari.
Le Raccomandazioni 02/2020 sono complementari alle Raccomandazioni 01/2020 e forniscono agli exporter dei “criteri” per determinare se il quadro giuridico che disciplina l’accesso delle autorità pubbliche ai dati personali, a fini di sorveglianza, nei Paesi terzi può essere considerato un’interferenza nel diritto alla privacy e alla protezione dei dati personali, e quindi ostacolare o meno il meccanismo di trasferimento su cui si basano l’esportatore e l’importatore.
Le Raccomandazioni sopra esaminate sono sottoposte a consultazione pubblica fino al 30 novembre 2020 e saranno applicabili immediatamente dopo la loro pubblicazione.
Parallelamente, il 12 novembre, la Commissione Europea ha pubblicato la bozza di decisione con i modelli di Clausole contrattuali tipo (SCC) integrati sulla base della decisione della CGUE.
La decisione della Commissione
La recente decisione della Commissione Europea sulle SCC, costituisce un atto di esecuzione soggetto alla procedura definita, nel gergo UE, di "comitatologia".
La comitatologia si riferisce a una serie di procedure, comprese le riunioni dei comitati rappresentativi, con cui i paesi dell’UE possono esprimere la loro opinione sugli atti di esecuzione.
Inoltre, nel contesto dell’agenda "Legiferare meglio" della Commissione, i cittadini e le altre parti interessate possono esprimere un loro parere su un progetto di atto delegato per un periodo di 4 settimane prima che il comitato responsabile voti per approvarlo o respingerlo. La discussione sulle nuove SCC, pertanto, si chiuderà il 10 dicembre.
La bozza attualmente in discussione si compone della decisione della commissione più un allegato comprendente diversi “modules” al fine di disciplinare quattro tipologie di trasferimenti:
- Trasferimento da titolare a titolare;
- Trasferimento da titolare a responsabile;
- Trasferimento da responsabile a responsabile;
- Trasferimento da responsabile a titolare.
L’art. 6 della decisione stabilisce che, per il periodo di un anno dall’entrata in vigore della decisione e delle nuove SCC, esportatore ed importatore dei dati potranno continuare a far affidamento sulle precedenti clausole, stabilite con la Decisione 2001/497/EC e aggiornate con la 2010/87/EU, per dare esecuzione al contratto concluso prima dell’entrata in vigore della decisione.
In questo lasso di tempo, il contratto fra le parti potrà essere però integrato con le misure supplementari necessarie ad assicurare che il trasferimento avvenga con le adeguate garanzie ed in sicurezza.
La bozza delle nuove SCC, rispetto alle precedenti clausole, include disposizioni specifiche relative al rapporto con leggi e autorità degli Stati coinvolti nel processo di esportazione.
- La Clausola 2 dell’allegato alla decisione riguarda le “Leggi locali che influenzano il rispetto delle clausole”. Le parti devono garantire di “non avere alcun motivo di credere che le leggi del paese terzo di destinazione applicabili al trattamento dei dati personali da parte dell'importatore di dati, compresi gli eventuali requisiti di divulgazione dei dati personali o le misure che autorizzano l'accesso da parte delle autorità pubbliche, impediscano all'importatore di adempiere ai suoi obblighi ai sensi delle presenti Clausole. Ciò si basa sulla consapevolezza che le leggi che rispettano l'essenza dei diritti e delle libertà fondamentali e non vanno al di là di quanto necessario e proporzionato in una società democratica per salvaguardare uno degli obiettivi elencati nell'articolo 23, paragrafo 1, del GDPR, non sono in contraddizione con le clausole”. A tal fine, esportatore ed importatore devono dichiarare di aver preso in considerazione una serie ben definita di elementi (fra cui circostanze, misure di salvaguardia, leggi nazionali, etc.).
- La Clausola 3 prevede una serie di obblighi in capo all’importatore in caso di richieste di accesso ai dati personali da parte del governo. Fra questi vi è l’obbligo di notificare all’esportatore la richiesta dell’Autorità, e di riportare a quest’ultimo la maggior quantità possibile di informazioni pertinenti sulle richieste ricevute (numero di richieste, tipo di dati richiesti, autorità o autorità richiedenti, se le richieste sono state contestate e l'esito di tali contestazioni, etc.).
Per ulteriori dettagli si rimanda alla bozza della decisione, disponibile qui.