Transfer: Il tool di legal tech di DLA Piper per valutare i trasferimenti dei dati dopo la sentenza Schrems II

DLA Piper ha sviluppato una metodologia e un tool di legal tech denominato Transfer per valutare i trasferimenti dei dati personali fuori dello SEE dopo la sentenza Schrems II.

Il podcast è disponibile di seguito e su Apple PodcastsGoogle PodcastsSpotify e Audible, e in questo articolo.

La sentenza Schrems II della Corte di Giustizia europea denominata Schrems II ha invalidato il Privacy Shield e ha stabilito criteri rigorosi per l’utilizzo delle Clausole Contrattuali Standard come meccanismo alternativo di trasferimento dei dati al di fuori dello Spazio economico europeo, obbligando le aziende a compiere una valutazione caso per caso circa l’adeguatezza di detto trasferimento.

Per supportare i propri clienti, DLA Piper ha sviluppato una metodologia che analizza la normativa del paese terzo in cui vengono trasferiti i dati, le misure tecniche e contrattuali adottate e i rischi per gli individui i cui dati sono trasferiti. E l’utilizzo di questa metodologia è automatizzato e facilitato da un tool di legal tech denominato “Transfer”.

Il valore aggiunto del tool risiede non solo nell’automazione della valutazione, ma anche nella possibilità di avere accesso ai moduli di analisi della normativa straniera sul trattamento dei dati personali realizzati grazie al network internazionale di Dla Piper, permettendo così alle organizzazioni di effettuare analisi dettagliate da fornire al Garante privacy in caso di contestazione.

Dla Piper è riuscita tramite questo tool a rendere complementari le proprie conoscenze legali con le skill di legal tech del proprio team. Siamo infatti dell’idea che gli avvocati devono, e dovranno sempre più, integrare le proprie competenze legali con competenze tecniche.

Transfer è stato revisionato e apprezzato finora dal garante italiano, inglese, irlandese, belga e al momento è al vaglio del garante olandese, diventando uno dei pochi (se non l’unico) tool del genere disponibile sul mercato.

Giulio Coraggio e Tommaso Ricci dello studio legale DLA Piper ce ne parlano in questo podcast e potete avere maggiori informazioni sulla nostra metodologia in questo articolo “Avete una metodologia per valutare i trasferimenti di dati extra SEE dopo la sentenza Schrems II?”.

Di seguito riportiamo la trascrizione del podcast:

Giulio Coraggio: Buongiorno a tutti, sono Giulio Coraggio e sono qui con il mio collega, Tommaso Ricci, entrambi di DLA Piper e oggi parleremo di uno degli eventi più interessanti di questa estate per gli esperti della privacy, l’invalidazione del Privacy Shield e le ombre che sono state lanciate dalla Corte di Giustizia sulle cosiddette Clausole Contrattuali Standard.

Era il 16 luglio di quest’anno quando la Corte di Giustizia nella sentenza che passerà ai posteri, scusate il termine come la sentenza Schrems 2 ha dichiarato che il Privacy Shield, uno strumento utilizzato per il trasferimento dei dati negli Stati Uniti non era più una misura adeguata per questo trasferimento e quindi è stato del tutto invalidato.

Anni prima era stato invalidato precedentemente il Safe Harbour e ora anche il suo sostituto fa la stessa fine, ma quello che crea maggiore incertezza è che la Corte di Giustizia ha ritenuto che anche le Clausole Contrattuali Standard, l’accordo approvato dalla Commissione Europea per regolare il trasferimento dei dati al di fuori dello Spazio Economico Europeo in alcuni casi potrebbe non essere sufficiente, quando la normativa del Paese che riceve i dati non fornisce tutele adeguate circa la possibilità da parte delle autorità locali di avere accesso in modo indiscriminato ai dati che sono oggetto di trasferimento nel Paese terzo e infatti questa è una delle debolezze che veniva contestata al Privacy Shield dalla Corte di Giustizia europea in quanto apparentemente le autorità americane possono avere accesso senza limitazione ai dati oggetto di trasferimento, e anche gli individui non possono poter esercitare alcuna forma di diritto di rivalsa per poter contestare l’accesso ai loro dati personali da parte delle istituzioni.

La reazione a questa sentenza è stata un po’ incoerente perché i Garanti delle diverse giurisdizioni non hanno preso una posizione congiunta. Lo European Data Protection Board a luglio ha emesso delle linee guida che non hanno dato molta certezza allo scenario applicabile, hanno confermato la posizione alla Corte di Giustizia secondo cui non è più possibile fare semplicemente affidamento sulle Clausole Contrattuali Standard, ma è necessaria un’analisi caso per caso del singolo trasferimento. Hanno espresso le indicazioni secondo cui non ci sarà nessun periodo di grazia e quindi le aziende devono già ora conformarsi con il nuovo regime giuridico, hanno stressato che anche il semplice accesso ai dati dal di fuori dell’Unione europea può integrare un trasferimento. E subito dopo questo, Schrems, questo attivista privacy che aveva già portato delle problematiche precedentemente con l’invalidazione del Safe Harbour ha agito contro 101 aziende per contestare il loro trasferimento dei dati nei Stati Uniti.

Nell’immediatezza di questa sentenza il nostro studio DLA Piper ha sviluppato una metodologia per l’analisi dell’adeguatezza dei trasferimenti e ha supportato questa metodologia con un tool di legal tech denominato “Transfer” per automatizzare questa valutazione in modo più efficiente. Ma Tommaso ci racconti un po’ questa metodologia è il tool di legal tech che ha reso la metodologia più automatica, più utile e più efficiente nel suo utilizzo.

Tommaso Ricci: assolutamente e benvenuti ai nostri ascoltatori. Allora ha ragione o per citare “il gattopardo” direi che affinché tutto resti come è, è necessario che tutto cambi. In questo caso infatti le linee guida che tu citavi ci dicono una cosa soprattutto nella traduzione che il nostro Garante privacy ha pubblicato sul proprio sito web, ovvero se ho un meccanismo alternativo rispetto al Privacy Shield, come le stampe del contratto al closing, è sufficiente e la risposta molto chiara è no. Non è sufficiente, bisogna svolgere una valutazione, come svolgere questa valutazione, è l’approccio la domanda.

Noi abbiamo fornito una risposta a questa domanda e abbiamo predisposto uno strumento super facile da utilizzare che prevede sia un approccio e di legal tech in quanto l’abbiamo interamente realizzato noi, senza il supporto di personale esterno ma è anche uno strumento di legal design in quanto è concepito per tenere bene a mente la user experience e per essere facilmente utilizzato da chiunque.

Come si componeva la nostra metodologia, la nostra metodologia si compone di un procedimento di accertamento in cinque step, proprio gli step che sono stati richiamati dalla Corte di Giustizia nella sua sentenza del 16 luglio e quindi parte inizialmente da una qualificazione e da una rappresentazione di quella che è la tipologia di trasferimento, con tutte le informazioni necessarie che poi vengono prese per la maggior parte dei contratti. Quindi per gravare il meno possibile sulle organizzazioni nella fase di reperimento delle informazioni e poi fare leva su quelli che sono i tre criteri richiamati dalla Corte di Giustizia che vengono presi proprio all’articolo 45 del GDPR.

Quindi c’è una valutazione dello stato di diritto, il rispetto dei diritti umani da parte del soggetto che riceve i dati. Quindi il nostro tool fornisce una valutazione sull’esistenza e il funzionamento delle autorità di controllo indipendenti nel Paese terzo o a cui è soggetta l’organizzazione internazionale e poi una valutazione su eventuali impegni internazionali assunti al Paese terzo, ma non c’è solo questo perché – dopo la fase di valutazione del trasferimento e di valutazione dello stato legale applicabile nel Paese ricevente – la nostra metodologia di analisi del rischio permette di andare a calcolare un vero e proprio rischio inerente, un rischio residuale e un rischio finale, andando a controbilanciare il livello di rischio che abbiamo calcolato, inserendo delle informazioni sulle contromisure contrattuali che abbiamo posto in essere.

Quindi, come abbiamo reagito dopo la sentenza Schrems, oppure le ulteriori contromisure tecniche organizzative che abbiamo, possono essere tutti questi elementi presi in considerazione all’interno della nostra metodologia attraverso una semplice compilazione in forma verticale, in modo da poter selezionare tutte le informazioni applicabili, traccia il livello di rischio per poi vedere alla fine quello che è l’output, quello che è il risultato è il livello di rischio che è stato calcolato dalla metodologia che grazie agli algoritmi è del tutto automatizzato, ci permette sulla base della nostra valutazione soggettiva quindi effettuata dal professionista che fa affidamento sulle proprie competenze di effettuare una valutazione a 360 gradi e avere poi un output che è un risultato che può essere prodotto alle autorità, in quanto ci permette anche di andare a fare quella vera e propria valutazione dei rischi, quindi della gravità del danno che sappiamo come assolutamente importante ed è richiamata non solo in altri processi da parte delle autorità garanti, ma soprattutto anche nella DPIA e quindi nella valutazione di impatto privacy.

Giulio Coraggio: assolutamente molto interessante, forse quello che è da aggiungere è che noi in qualità di uno studio legale internazionale, oltre alla metodologia forniamo di supporto un’analisi della normativa del Paese terzo verso il quale vengono trasferiti i dati, quindi lo forniamo per tutti i Paesi che sono rilevanti per il cliente di riferimento. Quindi il cliente avrà una analisi di questa normativa e l’individuazione del corrispondente livello di rischio per lo score del nostro tool di legal tech, realizzato dai nostri colleghi internazionali non solo per gli Stati Uniti, ma per tutte le giurisdizioni.

Questo è un qualcosa che differenzia evidentemente un servizio che può fornire uno studio legale internazionale come il nostro rispetto a un fornitore di tecnologia, ma noi possiamo fornire anche delle clausole contrattuali aggiuntive integrative delle Standard Contractual Clauses per fornire ulteriori tutele all’azienda che trasferisce dati al di fuori dello Spazio Economico europeo e dimostrare quello che sottolineava Tommaso che il trasferimento verso il Paese terzo e un trasferimento adeguato che in linea con i benchmark tracciato dalla Corte di Giustizia europea.

Ovviamente questo è semplicemente uno snapshot della nostra metodologia e del nostro tool di legal tech Transfer rimaniamo a disposizione per ulteriori chiarimenti e vi ringraziamo.