L’abolizione del Privacy Shield è stato certamente un evento di cui si è parlato molto. Nella bagarre generata dalla decisione della Corte di Giustizia Europea sul Caso Schrems II, pochi però sono stati gli esperti che si sono esposti e hanno cercato di individuare delle soluzioni pratiche alle problematiche emerse a seguito di detta sentenza. Tra di essi, fortunatamente, anche l’Avv. Manuela Soccol, che in questo webinar enucleava alcuni dei consigli e delle buone pratiche individuati, poi, lo scorso 10 novembre, dall’EDPB nelle “Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data”.
I consigli dell’EDPB
Il Comitato Europeo per la Protezione dei Dati Personali ha finalmente sciolto le riserve, pubblicando una serie composita di raccomandazioni relative al trasferimento dei dati personali in territorio extra-UE, organizzandole in quattro diversi step.
1^ Step: mappare i flussi di dati.
Come prima cosa, è necessario mappare tutti i trasferimenti di dati posti in essere verso paesi terzi. Perché? Essere consapevoli della destinazione dei dati personali è essenziale per garantire che al trattamento siano applicati livelli di sicurezza equivalenti a quelli europei.
2^ Step: individuare lo strumento normativo su cui si basa il trasferimento
Il secondo passo da seguire è quello di identificare lo strumento normativo su cui si basa il trasferimento. Gli artt. 45, 46 e 49 del GDPR, sono chiari sul punto: decisioni di adeguatezza, clausole standard, binding corporate rules, o le eccezioni di cui all’art.49 (es. consenso dell’interessato, esecuzione di un contratto, etc.) possono essere le basi che legittimano tale trasferimento. Non preoccupatevi: il vostro legale o il vostro DPO dovrebbero aver individuato a monte, prima che il trattamento fosse posto in essere, lo strumento normativo in questione.
3^ Step: assessment sulla normativa del paese importatore
Questo step risulta necessario unicamente in assenza di decisioni di adeguatezza della Commissione Europea. In altri termini, il Titolare del Trattamento dovrà verificare la presenza dei presupposti di cui all’art. 46 del GDPR, ossia delle “garanzie adeguate” e, per gli interessati, di“diritti azionabili e mezzi di ricorso effettivi”. Al fine di verificare se sussistono tali circostanze, l’EDPB consiglia di far riferimento alle raccomandazioni dallo stesso fornite nelle “European Essential Guarantees recommendations”. Si badi che l’intero processo di valutazione deve essere documentato e condotto sulla base del principio di accountability.
4^ Step: eventuale applicazione di misure ulteriori
Si tratta del passo sicuramente più importante. Posto che sentenza Schrems II ha precisato che le Clausole Contrattuali Standard possono essere utilizzate solo in presenza di misure ulteriori, qualora il trasferimento di dati si basasse su tali clausole è essenziale verificare la sussistenza di misure tecniche aggiuntive… ma, quali? Ce lo dice l’EDPB, mediante l’elencazione di diversi accorgimenti, all’interno dell’Annex 2 delle Raccomandazioni.
In tal senso, a titolo esemplificativo, relativamente ai data storage e ai backup, il documento afferma che il trasferimento può ritenersi sicuro, se per esempio:
1. i dati personali vengono elaborati utilizzando una crittografia avanzata prima della trasmissione;
2. l’algoritmo di crittografia e la sua parametrizzazione (ad esempio, lunghezza della chiave, modalità operativa, se applicabile) sono conformi allo stato dell’arte e possono essere considerati robusti contro la crittoanalisi eseguita dalle autorità pubbliche nel paese destinatario;
4. le chiavi sono gestite in modo affidabile (generate, amministrate, archiviate, se pertinente, collegate all’identità di un destinatario previsto e revocate);
5. le chiavi sono conservate esclusivamente sotto il controllo dell’esportatore di dati o di altre entità incaricate di questo compito, che risiedono nel SEE o in un paese terzo con normativa adeguata.
Consigli dello Studio
I nostri consigli si possono riassumere in poche parole: accountabilty, DPIA e bilanciamento degli interessi. Al di là di quanto espresso dalle citate raccomandazioni, che peraltro non vanno esenti da critiche di vario genere, è essenziale che il Titolare del Trattamento analizzi l’opportunità di trasferire i dati personali all’estero effettuando una preventiva valutazione di impatto e bilanciando gli interessi in gioco, tra sicuramente anche le misure eventualmente adottate dal fornitore estero in ordine all’annoso problema dei cybercrime. Tale genere di valutazione è tutt’altro che agevole. Pertanto, è senza dubbio essenziale che il Titolare del Trattamento si rivolga ad un legale esperto nel settore, che possa condurlo alla decisione più sicura ed adatta al suo business.
