Avete una metodologia per valutare i trasferimenti di dati extra SEE dopo la sentenza Schrems II?

Una metodologia per valutare la conformità del trasferimento di dati personali ai criteri stabiliti nella sentenza Schrems II è diventata un elemento essenziale del programma di accountability ai sensi del  GDPR di qualsiasi azienda.

Pochi giorni dopo la sentenza Schrems II della Corte di Giustizia europea che ha invalidato il Privacy Shield e ha stabilito criteri rigorosi per l’utilizzo delle Clausole Contrattuali Standard come meccanismo alternativo di trasferimento dei dati al di fuori dello Spazio economico europeo, è giunto il momento di definire la strategia per i prossimi mesi.

Non c’è dubbio che una situazione di confusione ha fatto seguito alla sentenza. La CGUE ha ritenuto che il suo obiettivo non fosse quello di creare un vuoto normativo. Ma una responsabilità notevole è stata posta sulle spalle delle imprese per valutare quando e perché possono ancora effettuare trasferimenti di dati al di fuori dello Spazio economico europeo sulla base delle clausole contrattuali standard.

Le FAQ del Comitato europeo per la protezione dei dati hanno fornito alcuni (ma non molti) chiarimenti sulla metodologia di trasferimento dei dati che le imprese devono adottare. Ma l’EDPB è stato inflessibile nell’indicare che i criteri stabiliti nella sentenza sono già in vigore e devono essere adottati dalle imprese.

L’attuale reazione delle imprese alla sentenza Schrems II sul trasferimento dei dati

La nostra impressione è che alcune aziende sperano ancora

  • che tutte le preoccupazioni relative al trasferimento dei dati scompariranno con l’adozione di nuove clausole contrattuali standard da parte della Commissione europea; oppure
  • che i garanti privacy europei saranno tolleranti e non emetteranno sanzioni ai sensi del GDPR.

Purtroppo, anche se venissero adottate delle nuove clausole contrattuali standard, non potrebbero essere “la soluzione“. La CGUE ha indicato come i termini contrattuali supplementari possano supportare la valutazione dell’adeguatezza dei trasferimenti di dati. Tuttavia la questione riguarda anche la valutazione della normativa sulla sorveglianza straniera e il suo impatto sulle persone e sui loro dati personali trasferiti al di fuori dello SEE.

Inoltre, come è successo dopo l’invalidazione del Safe Harbor, le autorità privacy inizieranno ad emettere sanzioni contro i trasferimenti illeciti di dati, se le imprese non saranno in grado di dimostrare la loro conformità ai criteri stabiliti dalla decisione Schrems II. E questo rischio è ora amplificato dalle sanzioni previste dal GDPR, che sono notevolmente più elevate di quelle precedentemente in vigore.

Ogni impresa ha bisogno di una metodologia sul trasferimento dei dati basata sui criteri Schrems II

Il principio di accountability previsto dal GDPR richiede che le imprese possano dimostrare la loro conformità alla normativa sulla protezione dei dati personali. Le imprese non possono limitarsi a presentare ai garanti europei i loro accordi che comportano il trasferimento dei dati personali per farli convalidare. Inoltre, un tale approccio non sarebbe nemmeno in linea con i tempi di operatività di qualsiasi impresa, che dovrebbe sospendere i trasferimenti di dati, in attesa di un’approvazione che potrebbe non arrivare mai.

Per supportare le aziende, insieme ai nostri colleghi di DLA Piper, abbiamo sviluppato una metodologia che valuta il trasferimento dei dati ai sensi dei criteri definiti nella sentenza Schrems II, tenendo conto – tra gli altri –

  • del regime normativo dei Paesi in cui hanno sede rispettivamente l’esportatore e l’importatore di dati;
  • la natura e le finalità per le quali i dati vengono trasferiti;
  • la misura in cui le leggi del Paese di destinazione forniscono un’adeguata protezione agli interessati, tenendo conto:
    • delle garanzie offerte dalle leggi locali sulla privacy;
    • i rischi posti da leggi più ampie che autorizzano le autorità pubbliche ad accedere o a effettuare la sorveglianza su informazioni private per motivi di sicurezza nazionale o per altri motivi;
    • la facilità di accesso ai procedimenti giudiziari per proteggere i diritti in materia di privacy;
    • il ruolo dei regolatori locali e delle autorità di regolamentazione della protezione dei dati;
    • la capacità degli individui di presentare reclami, ricorsi e far rispettare le decisioni; e
    • l’impatto dei trattati internazionali pertinenti e dei relativi impegni;
  • qualsiasi ulteriore salvaguardia applicata agli accordi di trasferimento proposti – sia che si tratti di altre clausole contrattuali, di protezioni specifiche del settore o di controlli tecnici e organizzativi specifici; e
  • il rischio residuo per l’interessato.

Il principale vantaggio di tale metodologia è che

  • fornisce una valutazione dettagliata delle leggi di sorveglianza straniere e del loro impatto sul trasferimento dei dati attraverso il supporto dei nostri colleghi di DLA Piper delle giurisdizioni extra SEE esperti di privacy;
  • consente l’integrazione di clausole aggiuntive negli accordi sul trasferimento dei dati per rafforzare – in caso di necessità – la valutazione dell’adeguatezza; e
  • attraverso un sistema di legal tech basato su criteri di scoring, permette di valutare una quantità considerevole di contratti in un breve lasso di tempo, generando un report.

Il risultato finale è un report che – in linea con il principio di accountability – può dimostrare, in caso di contestazioni da parte dei garanti privacy, la conformità del trasferimento dei dati ai criteri della decisione Schrems II.

Potete trovare qui maggiori dettagli sulla metodologia e contattare per ulteriori chiarimenti Giulio Coraggio (giulio.coraggio@dlapiper.com).