La bozza di raccomandazioni pubblicate dall’EDPB sui trasferimenti di dati personali al di fuori dell’UE impone gravosi oneri alle aziende dopo la sentenza Schrems II.
L’European Data Protection Board ha pubblicato la bozza delle raccomandazioni sulle misure supplementari per il trasferimento dei dati personali e le raccomandazioni sulle garanzie essenziali europee per le misure di sorveglianza nei paesi extra UE dopo la sentenza Schrems II.
Il 10 novembre 2020, il Garante europeo della protezione dei dati (“EDPB”) ha adottato la bozza delle Raccomandazioni 01/2020 sulle misure che integrano gli strumenti di trasferimento per garantire il rispetto del livello di protezione dei dati personali nell’UE – immediatamente applicabili, ma aperte alla consultazione pubblica fino al 30 novembre – e le Raccomandazioni 02/2020 sulle Garanzie Essenziali Europee per le misure di sorveglianza nei paesi terzi, le quali costituiscono, di fatto, un’appendice alle prime.
Le due raccomandazioni fanno seguito alla sentenza “Schrems II” della Corte di Giustizia europea e hanno il fine di supportare gli esportatori di dati, titolari o responsabili del trattamento, “nel complesso compito di valutare i paesi terzi e l’individuazione di adeguate misure supplementari, ove necessario”, garantendo quindi l’applicazione in concreto del principio di accountability stabilito nel Regolamento UE 2016/679 (“GDPR”).
In particolare, con le Raccomandazioni 01/2020 l’EDBP intende fornire all’esportatore una roadmap per i trasferimenti, articolata nei sei step di seguito schematizzati:
- Step 1 – Mappatura dei propri trasferimenti, volta ad individuare i paesi terzi coinvolti e verificare che i dati siano adeguati, pertinenti e limitatati a quanto necessario in relazione alle finalità per le quali sono trasferiti e trattati nel paese terzo;
- Step 2 – Verifica dello strumento su cui si basa il trasferimento, tra quelli elencati nel Capitolo V del GDPR, e., (i) se è stata adottata dalla Commissione Europea una decisione di adeguatezza ai sensi dell’articolo 45 del GDPR; (ii) se è necessario fare affidamento su uno degli strumenti di trasferimento elencati all’articolo 46 del GDPR; o (iii) se, nel caso di trasferimenti occasionali e non ripetitivi, sia possibile fare affidamento su una delle deroghe previste dall’articolo 49 del GDPR;
- Step 3 – Valutazione della legge o prassi del paese terzo, da effettuarsi qualora il trasferimento non possa fondarsi né su una decisione di adeguatezza ex articolo 45 del GDPR, né su una deroga ai sensi dell’articolo 49 del GDPR. In questi casi, è infatti necessario condurre un’analisi più puntuale sulla legislazione dei paesi terzi verso i quali si intende trasferire i dati, al fine di individuare eventuali disposizioni in grado di incidere, nel caso concreto, sull’efficacia degli strumenti di trasferimento ex articolo 46 del GDPR su cui si fa affidamento. A tal riguardo, l’Allegato 3 alle Raccomandazioni 01/2020 fornisce un elenco non esaustivo di fonti di informazione per tale valutazione, così come è in tale contesto che si collocano anche le previsioni contenute nelle ulteriori Raccomandazioni 02/2020 adottate dall’EDPB, le quali specificano, in particolare, i fattori da tenere in considerazione nel valutare “se le misure di sorveglianza che consentono l’accesso ai dati personali da parte delle autorità pubbliche di un paese terzo, siano esse agenzie di sicurezza nazionale o autorità incaricate dell’applicazione della legge, possano essere considerate un’interferenza giustificabile o meno”. L’assessment deve essere effettuato mediante un’accurata due diligence e dovrà poi essere debitamente documentato, in un’ottica di accountability;
- Step 4 – Individuazione e adozione delle eventuali misure supplementari necessarie, nel caso in cui dall’assessment effettuato risulti che la legislazione del paese terzo verso il quale si intende trasferire i dati non garantisce una protezione sostanzialmente equivalente a quella prevista dalla normativa europea. L’EDPB include in proposito, nell’Allegato 2 alle Raccomandazioni 01/2020, un elenco non esaustivo di misure tecniche, contrattuali e organizzative supplementari, a supporto della disamina degli esportatori. Viene peraltro rimarcato che l’efficacia di ciascuna misura dipende dal caso concreto e che la valutazione è pur sempre rimessa, in ultima analisi, all’esportatore stesso. Pertanto, anche in questo caso, le scelte dovranno essere effettuate a valle di un accurato assessment e dovranno essere documentate;
- Step 5 – Adozione di eventuali procedimenti formali, resisi necessari in base all’implementazione delle misure supplementari individuate a seconda dello strumento di trasferimento ex articolo 46 del GDPR su cui si fa affidamento. L’EDPB fornisce ulteriori informazioni in merito a tali eventuali adempimenti formali ed evidenzia che in alcuni casi potrebbe essere necessario consultare le autorità di controllo competenti; e
- Step 6 – Rivalutazione, ad intervalli adeguati, del livello di protezione dei dati trasferiti verso paesi terzi, per verificare “se ci sono stati o ci saranno sviluppi che possono influire su di essi”. Tale controllo va effettuato in ogni caso in cui si effettuano trasferimenti ai sensi del Capitolo V del GDPR, in quanto il principio di accountability richiede una vigilanza continua sul livello di protezione dei dati personali.
L’EDPB rimarca infine che le autorità di controllo continueranno a monitorare l’applicazione del GDPR e che, nell’esercitare i propri poteri, terranno in debita considerazione le azioni intraprese dagli esportatori per garantire che i dati da essi trasferiti godano di un livello di protezione sostanzialmente equivalente a quella prevista nei paesi dell’UE.
Su di un simile argomento, è possibile leggere l’articolo “Avete una metodologia per valutare i trasferimenti di dati extra SEE dopo la sentenza Schrems II?”.