Il nostro team privacy di DLA Piper ha fornito delle raccomandazioni sulla gestione del trasferimento di dati personali dopo la sentenza Schrems II per aiutare le aziende in questi giorni caotici.
La sentenza c.d. Schrems II della Corte di Giustizia dell’Unione europea ha portato all’invalidazione del Privacy Shield e ha creato incertezze rispetto alle clausole contrattuali standard, sollevando diversi interrogativi su come affrontare il trasferimento dei dati ai quali cerchiamo di dare delle raccomandazioni.
Il Comitato europeo per la protezione dei dati ha pubblicato alcune FAQ che chiariscono la sua posizione su alcuni dei punti che emergono dalla decisione che possono essere illustrate come segue:
- i criteri stabiliti dalla CGUE si applicano non solo al Privacy Shield, ma a qualsiasi meccanismo di trasferimento dei dati, comprese le clausole contrattuali standard e le binding corporate rules;
- non ci sarà un periodo di tolleranza, il Privacy Shield è immediatamente invalido, ma l’EDPB non ha indicato se i garanti privacy europei inizieranno immediatamente ad emettere sanzioni contro i trasferimenti di dati che non rispettano i criteri stabiliti dalla CGUE;
- la decisione non si applica solo ai trasferimenti di dati verso gli Stati Uniti, ma i suoi criteri si applicano a qualsiasi trasferimento di dati al di fuori del SEE;
- un trasferimento di dati non si verifica solo quando i dati sono memorizzati al di fuori del SEE, ma anche quando si fornisce l’accesso a dati provenienti da un paese terzo, ad esempio a fini amministrativi, equivale a un trasferimento;
- non si può più fare affidamento sul Privacy Shield, ma – anche se si utilizzano altri meccanismi di trasferimento dei dati – è necessario eseguire una valutazione caso per caso tenendo conto delle circostanze dei trasferimenti, compresa la possibilità che la legislazione del paese terzo SEE consenta di rispettare gli obblighi previsti dagli SCC e dai BCR, e le misure supplementari che si potrebbero attuare;
- gli obblighi derivanti dalla sentenza Schrems II si applicano anche al seguito dei trasferimenti effettuati dai subprocessori, e pertanto l’intero processo sarà riesaminato;
- se la società concludete che, tenuto conto delle circostanze del trasferimento e delle eventuali misure supplementari, non sarebbero garantite adeguate garanzie sul trasferimento dei dati, è tenuta a sospendere o a porre fine al trasferimento dei dati personali al di fuori del SEE;
- se la conclusione sulla conformità del trasferimento dei dati alla soglia stabilita dalla CGUE è negativa, ma intendete continuare a trasferire i dati nonostante tale conclusione, deve informare il garante privacy competente.
Con i nostri colleghi di DLA Piper abbiamo messo a punto una metodologia per valutare il rischio derivante dal trasferimento dei dati alla luce della soglia stabilita dalla CGUE e delle azioni da intraprendere, anche attraverso clausole aggiuntive e misure tecniche raccomandate. Questo strumento è molto utile in quanto si basa su un sistema di scoring che ha lo scopo di fornire una valutazione il più possibile obiettiva per sostenere la decisione rispetto a possibili contestazioni.
Per effettuare la valutazione e adottare le misure che consentono di mitigare i rischi derivanti dal trasferimento dei dati dopo la sentenza Schrems II, le raccomandazioni sono le seguenti:
- identificare i trasferimenti di dati, partendo dal registro dei trattamenti dei dati e dagli accordi più rilevanti per l’azienda e i trasferimenti di dati verso i paesi più a rischio di contestazioni che includono non solo quelli verso gli Stati Uniti, ma anche altri paesi come la Cina o la Russia;
- valutare il regime giuridico in vigore nel paese terzo, a questo scopo ci stiamo coordinando con i nostri colleghi di DLA Piper nelle diverse giurisdizioni per fornire la valutazione più accurata;
- valutare le ulteriori protezioni disponibili che possono includere misure tecniche come la crittografia e/o le ulteriori garanzie contrattuali adottate, tenendo presente che – come sottolineato dall’EDPB – anche il semplice accesso ai dati personali innesca un trasferimento di dati;
- valutare il danno potenziale e la sua probabilità per gli individui, tenendo conto – tra l’altro – delle tipologie di dati personali che vengono trasferiti e del rischio di azioni di sorveglianza da parte del paese estero; e
- prendete la decisione finale, affidandovi al nostro sistema di scoring che sarà il supporto per un rapporto interno di autovalutazione, necessario ai fini della responsabilità in caso di problemi.
Per quanto riguarda l’ultimo punto, il riferimento da parte dell’EDPB alla necessità di notificare il trasferimento dei dati all’autorità per la protezione dei dati competente se si intende continuare a trasferire i dati, nonostante la conclusione negativa della valutazione, non è affatto chiaro. Se la valutazione è negativa, perché il trasferimento dei dati dovrebbe continuare? Qual è lo scopo della notifica? È un processo simile alla consultazione preventiva di cui all’articolo 36 del GDPR?
Non crediamo che l’invalidazione del meccanismo del Privacy Shield nel suo complesso incida sulla conformità alla GDPR di qualsiasi trasferimento di dati verso gli Stati Uniti, e non crediamo che qualsiasi trasferimento debba essere notificato all’autorità competente per la protezione dei dati. Ma non c’è dubbio che la valutazione di cui sopra è necessaria per difendere la vostra attività da potenziali contestazioni e sanzioni.