Il 10 novembre l’EDPB (European Data Protection Board) ha reso pubblici due importanti e tanto attesi documenti (“Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data”“Recommendations 02/2020 on the European Essential Guarantees for surveillance measures”), che contengono le prime linee guida (soggette a consultazione pubblica) volte al superamento della situazione d’impasse venutasi a creare post annullamento Privacy Shield, a fronte di quanto stabilito dalla Corte di Giustizia (CGUE) nel caso Schrems II. Ne abbiamo parlato qui.
Il Comitato Europeo per la Protezione dei Dati consegna ora, agli “esportatori”, sei passi per la verifica di conformità al GDPR in caso di trasferimenti dati extra UE, unitamente ad alcuni utili suggerimenti basati su casi pratici (Annex II – Recommendation 01/2020), offrendo un importante sostegno nell’apparentemente irrisolvibile contrasto tra comportamenti richiesti per la tutela del dato ed effettive necessità degli operatori economici.

1°Passo: Mappare tutti i trasferimenti

Per prima cosa, il Board non perde l’occasione per ricordare che il titolare del trattamento deve sempre essere in grado di sapere dove si trovano i dati e, quindi, essere informato in merito al se e al come gli stessi siano oggetto di eventuale trasferimento extra UE: deve considerarsi tale – afferma l’EDPB a scanso di equivoci – anche la semplice possibilità di accesso, magari per motivi di assistenza ad un’infrastruttura in cloud, da un Paese non appartenente allo Spazio Economico Europeo, a meno che – fondamentale precisazione – il provider non si prenda la responsabilità di chiarire contrattualmente che i dati non saranno affatto processati nel Paese Terzo. Inoltre il titolare del trattamento dovrà assicurare il rispetto del principio di minimizzazione (i dati trasferiti devono essere adeguati, pertinenti e limitati a quanto necessario in relazione alle finalità per le quali vengono trasferiti e trattati nel Paese terzo)

2°Passo: Individuare lo strumento giuridico alla base del trasferimento caso per caso

Se, rispetto al Paese Terzo in esame, esiste una decisione di adeguatezza della Commissione ai sensi dell’art. 45 GDPR o della Dir. 95/46 (ove ancora in corso di validità), al titolare non resterà altro da fare che vigilare sulla stabilità nel tempo di detta decisione. In caso contrario, ove si tratti di trasferimenti occasionali, per lo stesso potrebbe essere sufficiente rifarsi alle eccezioni previste dall’art. 49 GDPR; mentre, nel caso in cui si tratti di trasferimenti regolari e ripetuti, il titolare dovrebbe avvalersi di clausole contrattuali standard (SCCs) o altri meccanismi previsti dall’art. 46 GDPR in collaborazione con l’importatore dei dati.

3°Passo: Valutare se nel Paese Terzo vi siano leggi o prassi che inficino l’efficacia del meccanismo di salvaguardia per il trasferimento in concreto

Le clausole contrattuali standard sono uno strumento che la stessa Corte di Giustizia ha riconosciuto idoneo per la dimostrazione dell’equivalenza di tutela rispetto a quella fornita dal GDPR, pur sottolineando però come queste ultime non si applichino nel vuoto. Occorrerà bensì valutare, caso per caso, l’assetto complessivo degli ordinamenti giuridici dei Paesi Terzi, non solo il quadro normativo inteso in senso letterale. In particolare, alla luce di quanto emerso rispetto agli USA nel caso Schrems II, è importante prestare la massima attenzione ai processi che governano le possibilità di accesso alle informazioni da parte delle autorità pubbliche. Su questo offrono un approfondimento precipuo e più specifico le Recommendation 02/2020.

4°Passo: Identificare e adottare le misure suppletive necessarie per assicurare un livello di tutela equivalente rispetto al GDPR

Se, dunque, nel Paese extra UE di riferimento gli strumenti offerti dall’art. 46 GDPR non sono in grado, di per sé, di offrire garanzie idonee e sufficienti per una tutela equivalente, occorrerà individuare misure ulteriori, rispetto alle quali l’esportatore/titolare dovrà farsi consapevolmente carico in termini di responsabilità e di effettività, dando conto per iscritto (in ossequio al principio generale di accountability) delle proprie valutazioni. In particolare dovranno essere adottate misure tecniche (es. crittografia, pseudonimizzazione, elaborazione frazionata) e misure contrattuali e organizzative (che ad es. vincolino il data importer). Nel caso in cui, invece, non vi sia la possibilità di individuare misure in grado di supplire alle lacune di sistema e fornire garanzie idonee per il trasferimento – l’elaborato dell’EDPB è chiaro sul punto – non si potrà far altro che sospenderlo ed eventualmente, qualora lo stesso fosse già iniziato, ordinare la restituzione o la cancellazione dei dati all’importatore.

5°Passo: Adottare tutte le procedure formali richieste dall’art. 46 GDPR

Oltre alle predette misure di sicurezza supplementari, dovranno essere adottate delle procedure formali a garanzia della conformità del trasferimento di dati personali mediante: l’aggiunta di standard data protection clauses (SCCs); l’adozione di binding corporate rules (BCRs); la previsione di clausole contrattuali ad hoc.

6°Passo: Verificare regolarmente il mantenimento del livello di protezione

Tutto l’iter, infine, dovrà essere regolarmente e pedissequamente rispettato e riesaminato.

Alla luce di quanto appena considerato, si può dunque osservare come si tratti di un’importante presa di posizione in quanto, una volta per tutte, viene l’EDPB stabilisce che se si utilizzano in modo corretto le misure supplementari, il trasferimento di dati avrà un livello di protezione adeguato agli standard GDPR.

L’Esempio dei servizi cloud:

Dando uno sguardo ai casi e ai suggerimenti pratici contenuti nell’Annex II si evince che, ad esempio, in caso di backup in cloud, rispetto a cui non è necessario che i dati siano in chiaro, il trasferimento può ritenersi sicuro al ricorrere dei seguenti presupposti:

  1. i dati personali vengono elaborati utilizzando una crittografia avanzata prima della trasmissione;
  2. l’algoritmo di crittografia e la sua parametrizzazione (ad esempio, lunghezza della chiave, modalità operativa, se applicabile) sono conformi allo stato dell’arte e possono essere considerati robusti contro la crittoanalisi eseguita dalle autorità pubbliche nel paese destinatario tenendo conto delle risorse e capacità tecniche (ad esempio, potenza di calcolo per attacchi di forza bruta) a loro disposizione;
  3. la forza della crittografia tiene conto del periodo di tempo specifico durante il quale deve essere preservata la riservatezza dei dati personali crittografati;
  4. l’algoritmo di crittografia è implementato in modo impeccabile da un software adeguatamente mantenuto la cui conformità alle specifiche dell’algoritmo scelto è stata verificata, ad esempio mediante certificazione;
  5. le chiavi sono gestite in modo affidabile (generate, amministrate, archiviate, se pertinente, collegate all’identità di un destinatario previsto e revocate);
  6. le chiavi sono conservate esclusivamente sotto il controllo dell’esportatore di dati o di altre entità incaricate di questo compito che risiedono nel SEE o in un paese terzo, territorio o uno o più settori specificati all’interno di un paese terzo adeguato.

Attraverso l’indicazione dei casi pratici nell’allegato II alle Recommendation 01/2020, il Board, indica minuziosamente le operazioni da porre in essere per rendere sicure alcune tra le più comuni tipologie di trattamento trasfrontaliero, risolvendo ad esempio un aspetto di grande rilievo per i sistemi di business continuity e dysaster recovery, quale la gestione dei backup in cloud.

Nonostante ciò, sono ancora diverse le questioni rimaste irrisolte e su cui l’EDPB – per ora – ha alzato le mani, tra cui quella relativa ai servizi in cloud per l’archiviazione e la gestione operativa dei dati, forniti dalle Big Tech americane come Google, Apple, Microsoft e Dropbox; non c’è ancora alcuna soluzione in vista nemmeno rispetto all’uso di Facebook o altri social network utilizzati per il marketing e la comunicazione aziendale: punto davvero molto caldo, se si pensa alla vertenza apertasi proprio di recente tra il colosso social e il Garante irlandese (ne abbiamo parlato qui).
Per queste ultime casistiche, nell’impossibilità – allo stato dell’arte – anche per l’EDPB di individuare misure adeguate, vale quanto visto sopra al 4°Passo, ovvero, l’obbligo di sospendere il trattamento, anche perché nel frattempo – chiosa l’EDPB – le Autorità Garanti dovranno comunque continuare a monitorare con attenzione i trasferimenti, per verificare che il livello di tutela sia sempre adeguato al caso specifico.

Se si effettuano dei trasferimenti di dati extra UE, o non si è sicuri di porli in essere, è importante rivolgersi a dei professionisti, è chiaro che servirà l’adeguato supporto, a maggior ragione nel caso vi sia da valutare l’efficacia di un meccanismo di trasferimento e/o l’adozione misure ulteriori.

Noi di Consulenti Privacy offriamo un’attività di consulenza specifica, volta ad assistere le aziende e gli studi professionali nell’organizzazione del flusso di dati anche in relazione agli specifici servizi utilizzati, valutando attentamente i rischi di violazione rispetto ai trasferimenti in Paesi Terzi e l’implementazione di misure ulteriori che si renda necessario adottare.