L’EDPB apre i primi spiragli dopo la Schrems II

Dopo il deposito della sentenza Schrems II (16 luglio 2020) è stato tutto un rincorrersi di ipotesi su come gestire i rapporti con i fornitori americani.

La sentenza infatti – vedi il nostro articolo di approfondimento e lo schema sulla Privacy Shield - dichiara che

• il Privacy Shield è invalido, poiché non è in grado di garantire un livello di protezione sufficiente ai cittadini europei i cui dati vengono trattati negli Stati Uniti, specie in relazione agli strumenti legislativi americani di sorveglianza pubblica, che risultano invece eccessivi e sproporzionati rispetto ai criteri del diritto europeo.
• le Clausole Contrattuali Standard – contenute nella Decisione della Commissione UE 5 febbraio 2010, modificata nel 2016 -  pur rimaste valide, possono però essere utilizzate solo previa valutazione, caso per caso, circa la sussistenza di idonee garanzie a protezione dei dati personali nel Paese del destinatario e prevedere garanzie supplementari nel caso in cui quelle assicurate dalle clausole standard non siano ritenute sufficienti.

Tale regola – certamente di non facile ed immediata applicazione – vale per tutti i trasferimenti extra UE, non solo per i dati che vanno in USA.

La sentenza è una bomba.

E quindi, dopo una settimana di approfondimento circa le possibili soluzioni, uno spiraglio arriva dalle risposte FAQ dell’EDPB che risultano pubblicate nel documento titolato European Data Protection Board publishes FAQ document on CJEU judgment C-311/18 (Schrems II).

Vediamo in sintesi.

• Cosa deve fare una azienda che trasferisce i dati in USA in forza alle Clausole Contrattuali Standard (CCS) ? 

L’EDPB prende atto che la sentenza Schrems ha ritenuto che la legge statunitense (ossia la Section 702 FISA e la EO 12333) non garantisce un livello di protezione sostanzialmente equivalente a quella europea.

Ne deriva che l’azienda europea potrà trasferire i dati personali sulla base delle SCC solo dopo aver effettuato – caso per caso- una valutazione delle disciplina del paese di destinazione e del livello di tutela della disciplina stessa. Se dall’analisi risultasse che il livello di protezione è inferiore a quello europeo, l’azienda potrà introdurre misure di garanzia supplementari.

Ove poi  si giungesse alla conclusione che, nonostante le misure supplementari, non è possibile garantire lo stesso livello di protezione che è presente nella UE, l’azienda sarà tenuta  a sospendere o a porre fine al trasferimento dei dati personali. Ove intendesse continuare il trasferimento dovrà informare il Garante Privacy.

• Cosa deve fare una azienda che trasferisce i dati in USA in forza di Binding Corporate Rules (BCR) ?

Tenuto conto che la legge americana è strumento giuridico più forte delle BCR, anche in questo caso sarà necessario valutare caso per caso  la necessità di inserire misure supplementari (oltre alle  BCR) idonee ad alzare il livello di protezione.

Come sopra), ove si giungesse alla conclusione che, anche con le misure supplementari, non è possibile raggiungere garanzie analoghe a quelle europee,  occorrerà sospendere il trasferimento;  se ciò non è possibile occorrerà informare il Garante Privacy.

• Può una azienda utilizzare per il trasferimento dei dati gli ulteriori strumenti previsti dall’art. 46 del GDPR?

L’art 46 del GDPR  prevede che i dati possono essere trasferiti  anche tramite altri strumenti tra cui strumenti vincolanti tra autorità pubbliche, codici di condotta, meccanismi di certificazione. 

Tali strumenti non sono stati oggetti di analisi nella sentenza Schrems II: quindi in linea di principio possono essere utilizzati.

Ciononostante, tenuto conto dell’ampia portata della sentenza, l’EDPB ha dichiarato che sta studiando le conseguenze della stessa anche su tali strumenti.

• Può una azienda trasferire i dati utilizzando le regole dell’art. 49 GDPR?

L’art. 49 del GDPR stabilisce che quando non esiste un accordo di adeguatezza o non è possibile applicare le previsioni dell’art. 46 si possono trasferire i dati in forza di alcune condizioni specifiche (consenso, esecuzione di un contratto, motivi interesse pubblico, difesa giudiziaria, interessi vitali dell’interessati, registro pubblico).

L’EDPB dichiara è possibile applicare l’art. 49 a patto che siano rispettati in maniera molto puntuale le prescrizioni contenute nelle Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679.

• Una azienda può continuare ad utilizzare le Clausole Contrattuali Standard o le Binding Corporates Rules per trasferire dati verso paesi terzi diversi dagli USA?

L’EDPB precisa che i principi della sentenza Schrems trovano applicazione per tutti i trasferimenti fuori dal territorio UE.

Quindi spetterà all’azienda UE che trasferisce i dati ed  all’azienda extra UE che li riceve  valutare se la legislazione del paese terzo garantisce lo stesso livello di protezione della UE: ciò al fine di determinare se le garanzie fornite dai CSC o dai BCR possano essere rispettate nel paese dove i dati vengono trasferiti. In caso contrario, occorrerà valutare se è possibile fornire misure supplementari.

Occorre quindi prendere contatti con l’importatore di dati per verificare i contenuti della legislazione del suo paese e operare una valutazione insieme.

Se il livello non è adeguato occorrerà sospendere il trasferimento oppure continuare nel trasferimento, informando però il Garante Privacy.

L’EDPB precisa anche che saranno aperti confronti tra le autorità privacy a livello internazionale al fine di evitare decisioni divergenti.
 

• Quali sono le misure supplementari che le aziende possono utilizzare?

Le misure supplementari che possono essere introdotte dovrebbero essere decise caso per caso, tenendo conto di tutte le circostanze del trasferimento e a seguito della valutazione della legge del paese terzo.

Pur dando atto che è responsabilità primaria dell'esportatore e dell'importatore di dati effettuare questa valutazione e fornire le necessarie misure supplementari, si precisa che l'EDPB sta attualmente analizzando la sentenza della Corte per determinare il tipo di

misure che potrebbero essere fornite in aggiunta a SCC o BCR, siano esse misure contrattuali,  tecniche o organizzative.

In sostanza l'EDPB sta esaminando ulteriormente in cosa potrebbero consistere queste misure supplementari e fornirà maggiori indicazioni.

• Se l’azienda si avvale di un Responsabile del trattamento, come fa a sapere se tale Responsabile trasferisce dati negli USA?

In questo caso l’EDPB  suggerisce di verificare con attenzione i contenuti dei contratti stipulati con i Responsabili ex art. 28 del GDPR per verificare dove vanno effettivamente i dati.

Occorre inoltre verificare quali sono i sub-responsabili e se nella firma dei contratti gli stessi sono stati autorizzati. L’EDPB su questo punto richiama l’attenzione sul fatto che una grande varietà di soluzioni informatiche può comportare il trasferimento di dati personali verso un paese terzo (ad esempio, ai fini di archiviazione o manutenzione).

• Nell’ipotesi un cui il contratto ex art. 28 GDPR preveda il trasferimento in USA o in altro paese terzo, cosa deve fare l’azienda?

Se i dati vengono trasferiti negli Stati Uniti e non possono essere fornite misure supplementari per garantire un livello di protezione sostanzialmente equivalente a quello garantito nella UE, né possono  essere applicate le deroghe di cui all'articolo 49 GDPR, l'unica soluzione è quella di negoziare una modifica o una clausola supplementare al  contratto per vietare i trasferimenti negli Stati Uniti.

Analogamente se i dati vengono  trasferiti in un altro paese terzo, occorre invece  verificare l’adeguatezza del livello di protezione del paese terzo e, se tale livello non è adeguato, occorre interrompere il trasferimento.