La sentenza Schrems II ha seriamente messo in discussione le modalità operative con cui le aziende coinvolte da trasferimenti di dati extra-UE possono operare in sicurezza.
Per fare un esempio, basta citare i problemi che si devono fronteggiare nel momento in cui ci si affida a fornitori i cui servizi risultano indispensabili, ma il potere di negoziare le condizioni del trasferimento risulta impossibile data la potenza della controparte.
Ma come si sono mosse le nostre autorità Europee per colmare l’incertezza generata dalla sentenza?
Di seguito vedremo una breve panoramica di come stanno operando per definire meglio la situazione.
Durante la sessione plenaria dell’EDPB tenutasi lo scorso 11 novembre sono state adottate delle raccomandazioni circa le misure per il trasferimento dei dati verso paesi terzi, per garantire un efficace livello di sicurezza nel rispetto del Regolamento UE 2016/679 in materia di protezione dei dati personali.
Inoltre, nella medesima sessione, sono state definite delle indicazioni sulle garanzie essenziali europee riguardo le misure di sorveglianza (EDPB – 41 sessione plenaria).
Nel dettaglio, secondo l’EDPB, i titolari del trattamento che utilizzano clausole contrattuali tipo (SCC) devono controllare se le legislazioni del paese terzo garantiscano un adeguato livello di protezione dei dati personali trasferiti equivalente a quello dello Spazio Economico Europeo. Sul tema, poi, la Corte di Giustizia dell’Unione europea ha previsto la possibilità di aggiungere delle misure cautelative supplementari alle clausole contrattuali tipo, per agevolare i Titolari del trattamento a trasferire i dati personali verso paesi terzi, nel caso in cui le clausole contrattuali tipo non siano sufficienti.
Concretamente, le misure supplementari potrebbero individuarsi o in accorgimenti tecnici o in ulteriori misure contrattuali.
Come accorgimenti tecnici si potrebbero adottare il trasferimento di dati pseudonimizzati, l’utilizzo di sistemi di criptazione, la sottoposizione a vincoli di riservatezza dei destinatari o la segmentazione del trattamento di modo tale che nessuno dei coinvolti possa avere completo accesso ai dati.
Come impegni contrattuali unilaterali, bilaterali o multilaterali si potrebbero indicare:
– obblighi di trasparenza da parte dell’importatore (documentare e registrare le richieste di accesso ricevute dalle autorità̀ pubbliche e la relativa risposta);
– politiche di responsabilizzazione degli interessati all’esercizio dei propri diritti;
– politiche interne per la gestione dei trasferimenti tra gruppi di imprese (magari prevedendo la nomina di un team specifico composto da esperti IT e privacy per trattare le richieste che implicano trasferimenti di dati dall’UE; la notifica alla direzione legale e corporate e all’esportatore di dati attraverso ricevimento di tali richieste; le fasi procedurali per contestare richieste sproporzionate o illegali e la fornitura di informazioni trasparenti agli interessati).
In aggiunta, la Commissione Europea ha sottoposto a consultazione pubblica le nuove clausole contrattuali standard (SCC) sul trasferimento di dati personali extra UE con l’intento di cambiare il clima di incertezza sull’effettiva applicabilità delle attuali SCC.
Le nuove SCC per il trasferimento dati extra UE prendono in esame quattro tipologie di relazioni:
1. titolare-titolare;
2. titolare-responsabile;
3. responsabile-(sub) responsabile;
4. responsabile-titolare.
Le nuove SCC, forse anche per snellire le procedure di nomina e organizzative da parte dei titolari, sono anche comprensive dell’accordo che deve essere posto in essere ai sensi del GDPR Art. 28.
In tale contesto è però assolutamente imperativo che le nuove SCC per il trasferimento dati extra UE incorporino tutti gli obblighi previsti in GDPR Art. 28(3): non facile nell’attuale testo ritrovare l’obbligo del responsabile di supportare il titolare riguardo le misure di sicurezza commensurate ai rischi (Art. 32) e Valutazione di Impatto (Artt. 35 e 36).
Le nuove SCC sono pensate per essere siglate da più Parti, e nulla vieta che queste siano tutte interne ad un Gruppo internazionale. Inoltre, sono già predisposte per contemplare più tipologie di relazioni privacy, inclusi i termini per l’accordo ex GDPR Art. 28 ed appendici per documentare i trattamenti-trasferimenti in oggetto e le classi di misure di sicurezza a protezione dei dati.
Probabilmente con non moltissimi apporti aggiuntivi, l’impalcatura contrattuale derivante potrebbe anche essere presa in considerazione da Gruppi internazionali per disciplinare al proprio interno i ruoli privacy e gli obblighi da osservare per i trasferimenti dati personali infragruppo tra legal entity europee ed extra-europee.
Visti questi interventi e data l’attuale incertezza, sarebbe auspicabile da parte delle autorità europee muoversi quanto prima per stabilire regole certe e definite di modo da guidare gli operatori nelle proprie operazioni di trasferimento.
In ogni caso, proprio perché oggi il problema riguarda con maggiore urgenza i rapporti tra Europa e USA ma domani potrebbe riguardare quelli tra Europa e decine di altri Paesi terzi, probabilmente, l’unica vera possibile risposta potrebbe risiedere nell’avvio di una discussione spedita, nella comunità internazionale, per l’identificazione di uno strumento pattizio capace di garantire la libera circolazione globale dei dati nel rispetto di poche ma insuperabili garanzie per gli interessati.