Come eseguire una valutazione del trasferimento dei dati personali ai sensi della Schrems II

La valutazione del trasferimento dati personali al di fuori dello SEE ai sensi della sentenza Schrems II è una valutazione del rischio, ma ha delle sue peculiarità.

Potete ascoltare il podcast di seguito e su Apple PodcastsGoogle PodcastsSpotify e Audible.

Una metodologia per eseguire la valutazione del trasferimento dei dati personali fuori dello SEE in conformità ai criteri delineati nella decisione Schrems II è diventata un pilastro del programma di compliance GDPR di qualsiasi azienda.  In questo podcast, Giulio Coraggio, partner dello studio legale DLA Piper, delinea la metodologia di DLA Piper e lo strumento di legal tech, Transfer, sviluppato dallo studio per eseguire le valutazioni dei trasferimenti dei dati in linea con i principi del caso Schrems II.

Su un simile argomento, può essere interessante “Cosa cambia con le nuove clausole contrattuali standard sui trasferimenti di dati personali?” e potete iscrivervi alla nostra newsletter settimanale “Innovation Law Insights”, scrivendo a eventi@dlapiper.com

Di seguito riportiamo la trascrizione del podcast:

Buongiorno a tutti, sono Giulio Coraggio, responsabile del settore Technology dello studio legale DLA Piper e questo è il podcast “Diritto al Digitale”.

Oggi parliamo di come eseguire un “Transfer Impact Assessment” alla luce della sentenza “Schrems 2” della Corte di Giustizia europea. Con l’approvazione delle nuove Clausole Contrattuali Standard e con la versione finale delle raccomandazioni del European Data Protection Board sui data transfer, l’esigenza di svolgere queste valutazioni è un dato di fatto espressamente previsto dall’articolo 14 delle Standard Contractual Clauses.

Quindi a meno che il Paese in cui vengono trasferiti i dati abbia ricevuto una decisione di adeguatezza, questa è una valutazione che deve essere svolta indipendentemente dallo strumento che viene eseguito per gestire il trasferimento.

All’indomani della sentenza Schrems 2, lo studio DLA Piper ha sviluppato una metodologia per svolgere questa valutazione che poi è stata supportata da un tool di legal tech che abbiamo denominato “Transfer” che consente di fare la valutazione attribuendo uno scoring e quindi poter attestare la possibilità di procedere o meno al trasferimento dei dati.

Questo tool è stato mostrato ai principali Garanti europei che devo dire che lo hanno apprezzato. Per illustrarlo brevemente questo si fonda su quattro fasi fondamentali. Nella prima fase procediamo all’identificazione dei trasferimenti ai dati, dei Paesi in cui i dati vanno trasferiti. Ecco in questo caso la circostanza più frequente è che il dato va trasferito in una molteplicità di Paesi, ma il trasferimento va valutato nella sua completezza. Quindi andrò a valutare molteplici Paesi quale parte dello stesso “assessment”. In questo abbiamo il supporto dei nostri colleghi dei Paesi non dell’Unione europea che redigono per i nostri clienti una valutazione della normativa locale, raffrontandola poi con il nostro supporto al GDPR, attribuendo un punteggio che illustra di quanto quella normativa si discosta dalla normativa del Paese terzo e tenendo conto – anche alla luce delle raccomandazioni del European Data Protection Board – anche delle pratiche locali e quindi per esempio della case law, e se gli obblighi e le previsioni locali sono effettivamente attuate.

In secondo luogo, si tiene conto delle ulteriori previsioni adottate che possono essere contrattuali, e su questo supportiamo anche i nostri colleghi con delle clausole aggiuntive che vanno a integrare le Standard Contractual Clauses, altro strumento a disposizione introducendo degli obblighi aggiuntivi che non si contraddicono con quanto previsto dalle Clausole Contrattuali Standard o possono esserci altre misure di carattere tecnico o misure di carattere organizzativo di cui teniamo conto nella valutazione, attribuendo uno score specifico.

Il terzo punto di cui teniamo conto è la tipologia di dati e la probabilità che si verifichi un danno per gli individui e con questo caso si viene a creare un elemento soggettivo nella valutazione che non era presente nella versione iniziale delle raccomandazioni l’European Data Protection Board, ma rispetto a quale si prevede una apertura nella versione finale. Questa apertura è anche confermata dalle Standard Contractual Clauses che espressamente richiedono di tener conto delle caratteristiche specifiche del trasferimento e quindi introducono questo elemento.

E il quarto elemento di valutazione sarà il risultato finale di questo assessment che sarà un punteggio che terrà conto delle differenti variabili e consentirà di decidere se procedere o meno. L’analisi viene poi stampata tramite un file PDF che diventa parte del file contenente il contratto in modo tale che in caso di ispezione da parte delle autorità privacy può essere mostrata la fondatezza della valutazione.