25 Mar Il trasferimento dei dati personali: tra incertezze e nuovi adempimenti

Gli effetti della sentenza Schrems II

A luglio 2020, la Corte di Giustizia dell’Unione Europea (“CGUE”) ha invalidato, con effetto immediato, la decisione di adeguatezza della Commissione Europea sul Privacy Shield relativa al trasferimento di dati verso gli Stati Uniti (causa C‑311/18); ma non solo. Infatti, la CGUE è andata oltre l’invalidazione del Privacy Shield, mettendo in discussione la validità dei trasferimenti posti in essere con le standard contractual clauses (“SCC”) e con le binding corporate rules (“BCR”) così come mediante altre salvaguardie previste dall’art. 46 del GDPR: quanto al trasferimento verso i Paesi terzi privi di una decisione di adeguatezza, la CGUE ammette l’uso di tali altri strumenti solo unitamente all’impiego di supplementary measures, che garantiscano un livello di protezione adeguato – almeno equivalente a quello dell’Unione – dei diritti e delle libertà delle persone fisiche i cui dati sono trasferiti fuori dallo Spazio Economico Europeo.

Si tratta quindi di uno scenario ben diverso da quello del 2015, quando la sentenza Schrems I (causa C-362/14) fu superata attraverso la “semplice” sostituzione del Safe Harbor con il Privacy Shield.

Nell’attesa che vengano adottate le nuove SCC (si veda la bozza di decisione di implementazione), l’European Data Protection Board (“EDPB”) nelle sue Raccomandazioni 01/2020 relative alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE ha fornito alcuni esempi delle suddette supplementary measures da poter applicare.

Cosa fare

Seguendo le indicazioni dell’EDPB occorre:

1. 1. 1. identificare i trasferimenti di dati personali all’estero, partendo dal registro delle attività di trattamento e anche mediante interviste con le funzioni coinvolte;
      2. procedere all’individuazione di una nuova base giuridica per il trasferimento di dati extra-SEE, a norma degli articoli 46-49 GDPR, in sostituzione del Privacy Shield;
      3. operare un TIA (Transfer Impact Assessment) per valutare il livello di adeguatezza del Paese terzo di destinazione e verificare la necessità di adottare le supplementary measures legali, organizzative e tecniche (e quali); in subordine, verificare la sussistenza di possibili deroghe al divieto di trasferimento ex art. 49 GDPR;
      4. modificare la documentazione privacy in uso (DPA, registro delle attività di trattamento, clausole nei contratti di servizio, checklist di audit, informative);
      5. monitorare le attività delle Autorità di Controllo e la normativa, al fine di adeguarsi prontamente alle evoluzioni regolatorie in materia.

Che cosa ha predisposto ICTLC per i propri clienti

1. 1. 1. Sviluppo di una metodologia per svolgere il Transfer Impact Assessment (TIA) che include, per esempio:

– processi per l’identificazione dei trasferimenti di dati personali extra-SEE;

– processi per l’identificazione e l’analisi delle eventuali norme locali, vigenti nel Paese del data importer, applicabili ai fornitori, al fine di valutare le possibili “interferenze” e gli eventuali rischi per i diritti e le libertà dei soggetti interessati, e

– processi per la valutazione, l’identificazione e il test di adeguatezza e fattibilità circa l’applicazione delle “supplementary measures”;

1. 1. 2. Representations/Warranties: un documento da sottoporre a tutti i fornitori coinvolti in trasferimenti extra-SEE al fine di ottenere le necessarie dichiarazioni (representations) e garanzie (warranties), nonché per stabilire e fissare correttamente i rispettivi obblighi.
      3. Workflow: di monitoraggio relativamente all’applicazione delle Representations/Warranties, con specifico focus sul permanere dell’adeguatezza “supplementary measures” nel tempo.

Paolo Balboni e Luca Bolognini

Founding Partners – ICT Legal Consulting (ICTLC)