Avete una metodologia per valutare i trasferimenti di dati extra SEE dopo la sentenza Schrems II?

Una metodologia per valutare la conformità del trasferimento di dati personali ai criteri stabiliti nella sentenza Schrems II è diventata un elemento essenziale del programma di accountability ai sensi del  GDPR di qualsiasi azienda.

Dopo la sentenza Schrems II della Corte di Giustizia europea che ha invalidato il Privacy Shield e ha stabilito criteri rigorosi per l’utilizzo delle Clausole Contrattuali Standard come meccanismo alternativo di trasferimento dei dati al di fuori dello Spazio economico europeo, è giunto il momento di definire la strategia per i prossimi mesi.

Non c’è dubbio che una situazione di agitazione è seguita alla decisione a causa della sua ampia portata. La CGUE ha espressamente dichiarato che il suo scopo non era quello di creare un vuoto giuridico. Ma un notevole onere è stato posto sulle spalle delle imprese per valutare quando e perché possono ancora eseguire trasferimenti di dati al di fuori dello Spazio economico europeo sulla base delle clausole contrattuali standard.

L’articolo 14 delle nuove Clausole Contrattuali Standard richiede espressamente di eseguire una valutazione dell’impatto del trasferimento e di documentarla alla luce dei principi stabiliti dallo Schrems II che la Commissione Europea ha specificamente stabilito, e che sono stati ulteriormente sviluppati dall’European Data Protection Board nella versione finale delle loro raccomandazioni sui trasferimenti di dati.

La necessità di eseguire una valutazione dell’impatto del trasferimento è la regola per il futuro

Prima dell’approvazione delle nuove SCC, alcune aziende speravano ancora che le nuove clausole contrattuali standard avrebbero ripristinato la necessità di adottare un documento formale per regolare i trasferimenti di dati.

Purtroppo, il già citato articolo 14 delle nuove SCC prevede espressamente un obbligo stringente per l’importatore e l’esportatore di dati di “garantire che non hanno motivo di credere che le leggi e le pratiche del paese terzo di destinazione applicabili al trattamento dei dati personali da parte dell’importatore di dati, compresi eventuali requisiti di divulgazione dei dati personali o misure che autorizzano l’accesso da parte delle autorità pubbliche, impediscano all’importatore di dati di adempiere agli obblighi previsti dalle presenti clausole“.

Inoltre, durante gli ultimi mesi, alcune autorità di protezione dei dati hanno già emesso le prime sanzioni per mancanza di conformità con i principi di Schrems II sui trasferimenti di dati, e le autorità tedesche di protezione dei dati stanno già inviando delle checklist alle aziende per mappare i loro trasferimenti di dati fuori dal SEE e cercare chiarimenti sulle misure effettivamente adottate per garantirli. Inoltre, i 101 reclami presentati contro i trasferimenti di dati tra l’UE e gli Stati Uniti da NOYB, la società dietro Schrems, sono solo la punta dell’iceberg. E la pubblicazione da parte dell’EDPB della versione finale delle loro raccomandazioni sui trasferimenti di dati rinuncia all’ultima barriera che potrebbe convincere alcune autorità di protezione dei dati ad astenersi dall’avviare indagini sui trasferimenti di dati.

La metodologia di valutazione dell’impatto del trasferimento dei dati di DLA Piper e lo strumento di legal tech basato sui criteri di Schrems II

Il principio di accountability del GDPR richiede che le imprese dimostrino la loro conformità alla protezione dei dati, e l’articolo 14 delle nuove clausole contrattuali standard richiede espressamente di documentare la valutazione di impatto del trasferimento. Per sostenere le imprese, insieme ai nostri colleghi di DLA Piper, abbiamo sviluppato una metodologia di valutazione dell’impatto del trasferimento che è stata poi automatizzata attraverso uno strumento tecnologico legale chiamato “Transfer” per facilitare l’esecuzione di queste valutazioni.

La valutazione dell’impatto del trasferimento di dati personali di DLA Piper e lo strumento di tecnologia legale si basano sui principi stabiliti nei nuovi SCC. E prendono in considerazione le raccomandazioni EDPB come parte di una valutazione del rischio per creare una forte protezione contro le potenziali sfide da parte delle autorità. Si basa sui seguenti 5 passi:

  1. Identificazione dei trasferimenti di dati: richiede la definizione dei principali elementi dei trasferimenti di dati, comprese le parti coinvolte, i paesi importatori di dati, le categorie di dati personali che vengono trasferiti, lo strumento giuridico su cui si basa il trasferimento di dati (ad esempio, SCCs o BCR) poiché l’obiettivo è quello di generare un rapporto da fornire alle autorità insieme all’accordo che prevede il trasferimento;
  2. Valutare il regime giuridico e le pratiche del Paese terzo: fornisce una valutazione dettagliata delle leggi e delle pratiche di sorveglianza straniere e il loro impatto sul trasferimento dei dati attraverso il supporto dei nostri colleghi di DLA Piper della protezione dei dati delle giurisdizioni non SEE. Infatti, per ogni Paese importatore di dati non-SEE, possiamo fornire una valutazione dettagliata delle leggi locali e un punteggio che indica la potenziale divergenza dal GDPR;
  3. Valutare le protezioni aggiuntive disponibili: permette di pesare e dare un punteggio alle misure tecniche, organizzative e contrattuali supplementari adottate per garantire l’esito positivo della valutazione d’impatto del trasferimento. E anche su questo argomento, DLA Piper supporta i suoi clienti con un allegato contrattuale all’accordo di trasferimento dei dati, fornendo le potenziali misure aggiuntive che possono essere adattate e regolate al contesto specifico;
  4. Valutare la gravità e la probabilità di danno agli interessati: in linea con quanto sottolineato dalla Commissione Europea nelle nuove Clausole Contrattuali Standard, questa fase permette di attribuire un punteggio specifico in base alle caratteristiche specifiche del trasferimento dei dati; e
  5. Decisione finale: sulla base delle informazioni raccolte attraverso le risposte alle domande precedenti, lo strumento tecnico legale può attribuire un punteggio e un risultato della valutazione d’impatto del trasferimento insieme alla relativa raccomandazione.

Il risultato della valutazione è un rapporto autogenerato che – in linea con il principio di accountability – può dimostrare le sfide dalla conformità delle autorità di protezione dei dati al trasferimento dei dati ai criteri della decisione Schrems II.

Negli ultimi mesi, la metodologia di DLA Piper e la valutazione dell’impatto del trasferimento dei dati sono state mostrate alla maggior parte delle autorità europee di protezione dei dati che hanno applaudito uno strumento così dettagliato e facile da usare. Inoltre, diversi clienti di DLA Piper lo hanno già adottato, rendendo il trasferimento una sorta di punto di riferimento nel mercato. Potete anche ascoltare un podcast sull’argomento “Come eseguire una valutazione del trasferimento dei dati personali ai sensi della Schrems II“.