Quale è la portata della valutazione di impatto sul trasferimento di dati fuori dello SEE dopo la sentenza Schrems II?

Una valutazione di impatto sul trasferimento dei dati personali è necessaria dopo la sentenza Schrems II, ma non deve andare oltre quanto necessario per garantire la conformità con il GDPR.

In un periodo di recessione economica in cui le economie globali si basano in modo esponenziale sui dati, è fondamentale stabilire regole chiare sul trasferimento dei dati personali. La decisione della Corte di giustizia europea relativa al caso Schrems II non ha aiutato né le aziende europee né quelle extra UE a superare questo difficile periodo. Al contrario, l’attuale dibattito politico sui trasferimenti di dati è in fermento, innescando ulteriori incertezze nel programma di messa in conformità alla normativa sulla protezione dei dati delle imprese.

Il white paper pubblicato dal governo statunitense contesta la posizione assunta dalla Corte di giustizia europea sulla legge statunitense in materia di sorveglianza, indicando che:

  1. la maggior parte delle società statunitensi non trattano dati personali che sono di interesse per le agenzie di intelligence statunitensi e quindi non hanno mai ricevuto ordini di accesso ai dati. La probabilità di danni ai dati personali di individui provenienti da trasferimenti di dati negli Stati Uniti è di conseguenza limitata nella maggior parte dei casi;
  2. il tribunale previsto dalla FISA (Foreign Intelligence Surveillance Act) approva un programma di sorveglianza piuttosto che prendere di mira specifici individui, e i motivi del programma devono essere poi valutati e registrati dalle agenzie di intelligence ed esaminati dagli avvocati del Dipartimento di Giustizia. Esiste quindi un effettivo controllo giudiziario degli ordini di sorveglianza, a differenza di quanto sostenuto dalla Corte di Giustizia europea; ed
  3. esiste la possibilità per gli individui (compresi i cittadini non statunitensi) di intentare una causa contro il governo statunitense per sorveglianza illegale ai sensi della FISA. Si può fare un ricorso individuale, ma consente di ricevere solo un risarcimento dei danni subiti piuttosto che la cancellazione dei dati.

In tale contesto, in una riunione della Commissione per le libertà civili, la giustizia e gli affari interni del Parlamento europeo all’inizio di settembre 2020, il Commissario per la giustizia Didier Reynders ha espresso la speranza che la tanto attesa revisione delle clausole contrattuali standard (le SCC) sia completata entro la fine del 2020.

La questione è se la nuova versione delle SCC possa diventare uno strumento utile per garantire il trasferimento dei dati come le attuali clausole contrattuali standard prima del caso Schrems II.  È probabile che le nuove SCC impongano ulteriori obblighi di cooperazione agli importatori di dati nel determinare l’adeguatezza delle leggi del paese di destinazione e alcune salvaguardie per limitare i rischi di accesso ai dati dal paese terzo. Tuttavia, la valutazione dell’adeguatezza delle leggi del paese terzo in materia di protezione dei dati personali continuerà ad essere effettuata dai titolari del trattamento dei dati, che effettueranno la cosiddetta “valutazione di impatto sul trasferimento” (la c.d. TIA).  A meno che non vi siano modifiche sostanziali alle leggi sulla sorveglianza globale attraverso una sorta di accordo internazionale, è improbabile che lo scenario torni al punto in cui era prima del caso Schrems II, quando la semplice adozione degli SCC era sufficiente a consentire il trasferimento dei dati personali.

Stiamo assistendo diverse società nella valutazione dell’impatto del trasferimento dei dati sulla base dei criteri stabiliti nel caso Schrems II. Una frequente obiezione riguarda i potenziali attacchi cyber che le autorità straniere possono perpetrare per accedere ai dati trasferiti, danneggiando i sistemi per ottenere i dati , e se la società deve dimostrare l’impossibilità di questi attacchi.

A nostro giudizio, sebbene i dati stiano diventando una risorsa straordinariamente preziosa, i principi del GDPR, anche dopo la decisione Schrems II, non richiedono di garantire che in nessun caso le autorità straniere o gli hacker possano accedere ai dati in nessun caso. Non esiste un regime di responsabilità oggettiva.

Sulla base del principio di accountability, le aziende devono essere in grado di dimostrare di aver eseguito un’analisi approfondita delle leggi sulla protezione dei dati e sulla sorveglianza del paese importatore, delle misure tecniche e contrattuali messe in atto e della probabilità di danni per le persone colpite.  Una volta che sia possibile ragionevolmente dimostrare che, tenendo conto di tutti questi parametri, il trasferimento dei dati è conforme alla soglia stabilita dal GDPR e dalla CGUE, il trasferimento può avvenire.

Sul medesimo argomento, può interessare l’articolo “Avete una metodologia per valutare i trasferimenti di dati extra SEE dopo la sentenza Schrems II?”