Un garante privacy tedesco emette una guida sul trasferimento dei dati dopo la sentenza Schrems II

Il garante privacy dello Stato tedesco del Baden-Württemberg ha pubblicato una guida sul trasferimento dei dati al di fuori dello Spazio economico europeo dopo la decisione della Corte di Giustizia europea nella famosa sentenza Schrems II.

Avevamo analizzato in un precedente articolo la sentenza Schrems II che ha invalidato il Privacy Shield e sollevato alcuni profili di criticità in relazione all’utilizzo delle Clausole Contrattuali Standard.

Nella guida emessa dal garante tedesco dopo la sentenza Schrems II, lo stesso mette anzitutto in discussione la possibilità di continuare ad effettuare i trasferimenti di dati negli Stati Uniti sulla base delle clausole contrattuali standard, laddove queste non vengano accompagnate da misure supplementari effettivamente idonee ad assicurare un livello di protezione adeguato dei dati personali, impedendone quindi l’accesso alle agenzie di intelligence statunitensi.

A questo proposito, consiglia espressamente di ricorrere, quali garanzie aggiuntive, a

• sistemi di crittografia in cui solo il data exporter possiede la chiave di decriptazione e i dati non possono essere decifrati dalle agenzie statunitensi; e
• sistemi di anonimizzazione o di pseudonimizzazione in cui solo il c.d. data exporter può ricollegare i dati ad una determinata persona fisica.

In alternativa, potrebbe valutarsi l’ipotesi di basare il trasferimento sull’articolo 49 del GDPR, il quale introduce particolari “deroghe in specifiche situazioni”. Tale disposizione deve essere comunque interpretata in modo restrittivo e, quindi, può essere invocata solo in pochi casi eccezionali (e.g., nel caso di trasferimenti occasionali).

Inoltre, estendendo le proprie riflessioni a qualsiasi trasferimento extra-SEE, nella guida viene proposta una checklist per i data exporter, ove si suggerisce in particolare di:

• identificare i paesi extra-SEE in cui i dati personali vengono trasferiti;
• comunicare ai fornitori di servizi e partner contrattuali nei paesi terzi la decisione della Corte di Giustizia europea e le sue conseguenze;
• ottenere informazioni circa il sistema giuridico del paese terzo verso il quale vengono trasferiti i dati personali;
• verificare se sia stata emanata dalla Commissione europea una decisione di adeguatezza relativa al paese verso il quale effettuare il trasferimento;
• in mancanza della decisione di adeguatezza, verificare se le clausole contrattuali possano essere impiegate senza il ricorso a misure supplementari; e
• ove non ricorra alcuna delle condizioni sopra indicate, verificare se i dati personali possano essere trasferiti al paese terzo sulla base di integrazioni delle clausole contrattuali standard che introducano ulteriori obblighi contrattuali.

A tal proposito, secondo l’autorità per il trattamento dei dati personali tedesca, nel caso di rapporti con data importer responsabili del trattamento, potrebbe, tra gli altri, considerarsi quali disposizioni integrative delle clausole contrattuali standard:

• l’obbligo di informare gli interessati in relazione ad ogni trasferimento di dati personali in tali paesi (e non solo nel caso di trasferimenti di categorie particolari di dati);
• il deferimento ai tribunali dello Stato membro in cui è stabilito l’esportatore di qualsiasi controversia tra l’interessato e il data importer; nonché
• l’inserimento di una clausola di indennizzo per il caso di violazione delle clausole contrattuali standard.

Da ultimo, il garante tedesco ha sottolineato che, in sede di accertamento, terrà conto altresì dell’eventuale esistenza di fornitori di servizi e/o partner contrattuali alternativi a cui le imprese potrebbero rivolgersi senza effettuare trasferimenti verso quei paesi che offrono meno garanzie di tutela per i dati personali. Ove così fosse, qualora le imprese non riescano a dimostrare le ragioni per cui i servizi forniti dai propri fornitori/partner contrattuali siano insostituibili a breve o medio termine, l’autorità potrà vietarne i relativi trasferimenti.

Un’analisi pià dettagliata della guida del garante privacy dello Stato tedesco del Baden-Württemberg alla luce della sentenza Schrems II è disponibile in questo articolo dei nostri colleghi tedeschi di DLA Piper.

Questa guida riflette in ogni caso aspetti della metodologia già sviluppata da DLA Piper al fine di valutare l’adeguatezza dei trasferimenti extra SEE dopo la sentenza Schrems II. Tuttavia, la nostra metodologia contiene un’analisi più approfondita della normativa straniera e del suo impatto sul trasferimento dei dati, con il vantaggio dell’utilizzo di un tool di legal tech che consente di automatizzare l’analisi. Abbiamo illustrato la metodologia in questo articolo e per chiarimenti vi invitiamo a contattare l’Avv. Giulio Coraggio.