Il 10 novembre l’EDPB (Il Comitato Europeo per la Protezione dei Dati) ha reso pubblici in consultazione due importanti documenti che contengono le prime linee guida per superare la situazione d’impasse sul trasferimento dati verso Paesi Terzi post annullamento Privacy Shield da parte della Corte di Giustizia Europea: “Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data” e “Recommendations 02/2020 on the European Essential Guarantees for surveillance measures”.
Gli step consigliati
Nei documenti sono indicati a coloro che esportano dati personali al di fuori del SEE sei passi ed alcuni utili suggerimenti basati su casi pratici (Annex II – Recommendation 01/2020), offrendo un importante sostegno nell’apparentemente irrisolvibile contrasto tra comportamenti richiesti per la tutela del dato ed effettive necessità degli operatori economici.
1° passo: mappare tutti i trasferimenti
Il titolare del trattamento deve sempre essere in grado di sapere dove si trovano i dati ed essere a conoscenza del se e come gli stessi siano oggetto di eventuale trasferimento extra UE: deve considerarsi tale anche la semplice possibilità di accesso, magari per motivi di assistenza ad un’infrastruttura in cloud, da un Paese non appartenente allo Spazio Economico Europeo, a meno che il provider non si prenda la responsabilità di chiarire contrattualmente che i dati non saranno affatto processati nel Paese Terzo.
Inoltre, il titolare del trattamento dovrà assicurare il rispetto del principio di minimizzazione per il quale i dati trasferiti devono essere adeguati, pertinenti e limitati a quanto necessario in relazione alle finalità per le quali vengono trasferiti e trattati nel Paese terzo.
2° passo: individuare lo strumento giuridico alla base del trasferimento caso per caso
Se, rispetto al Paese Terzo in esame, esiste una decisione di adeguatezza della Commissione ai sensi dell’art. 45 GDPR o della Dir. 95/46 (ove ancora in corso di validità), al titolare non resterà altro da fare che vigilare sulla stabilità nel tempo della stessa.
In caso contrario, qualora si tratti di trasferimenti occasionali, potrebbe essere sufficiente rifarsi alle eccezioni previste dall’art. 49 GDPR; mentre, nel caso in cui si tratti di trasferimenti regolari e ripetuti, il titolare dovrebbe avvalersi di clausole contrattuali standard (SCCs) o altri meccanismi previsti dall’art. 46 GDPR in collaborazione con l’importatore dei dati.
3° passo: valutare se nel Paese Terzo vi siano leggi o prassi che inficino l’efficacia del meccanismo di salvaguardia per il trasferimento in concreto
Le clausole contrattuali standard sono uno strumento che la Corte di Giustizia ha riconosciuto idoneo con riserva per la dimostrazione dell’equivalenza di tutela rispetto a quella fornita dal GDPR. Occorrerà infatti valutare, caso per caso ed alla luce di quanto emerso rispetto agli USA nel caso Schrems II, l’assetto complessivo degli ordinamenti giuridici del Paese Terzo, ed in particolare i processi che governano le possibilità di accesso alle informazioni da parte delle autorità pubbliche.; argomento approfondito nelle Recommendation 02/2020.
4°Passo: identificare e adottare le misure supplementari necessarie per assicurare un livello di tutela equivalente rispetto al GDPR
Se le caratteristiche del Paese Terzo fanno sì che gli strumenti contrattuali non siano in grado di offrire garanzie idonee e sufficienti per una tutela equivalente, occorrerà individuare misure ulteriori a carico della parte esportatrice in termini di responsabilità e di effettività, dando conto per iscritto delle proprie valutazioni. In particolare, dovranno essere adottate misure tecniche (es. crittografia, pseudonimizzazione, elaborazione frazionata) e misure contrattuali e organizzative (che ad es. vincolino il data importer). Nel caso in cui, invece, non vi sia la possibilità di individuare misure in grado di supplire alle lacune di sistema e fornire garanzie idonee per il trasferimento non si potrà far altro che sospenderlo ed eventualmente, qualora lo stesso fosse già iniziato, ordinare la restituzione o la cancellazione dei dati all’importatore.
5° passo: adottare tutte le procedure formali richieste dall’art. 46 GDPR
Oltre alle predette misure di sicurezza supplementari, dovranno essere adottate delle procedure formali a garanzia della conformità del trasferimento di dati personali mediante: l’aggiunta di standard data protection clauses (SCCs); l’adozione di binding corporate rules (BCRs); la previsione di clausole contrattuali ad hoc.
6° passo: verificare regolarmente il mantenimento del livello di protezione
Tutto l’iter, infine, dovrà essere regolarmente e pedissequamente rispettato e riesaminato.
Alla luce di quanto appena considerato, si può dunque osservare come si tratti di un’importante presa di posizione in quanto, una volta per tutte, viene l’EDPB stabilisce che se si utilizzano in modo corretto le misure supplementari, il trasferimento di dati avrà un livello di protezione adeguato agli standard GDPR.
L’esempio dei servizi cloud
Dando uno sguardo ai casi e ai suggerimenti pratici contenuti nell’Annex II si evince che, ad esempio, in caso di backup in cloud, dato che non vi è necessità che i dati siano in chiaro, il trasferimento può ritenersi sicuro al ricorrere dei seguenti presupposti:
- i dati personali vengono elaborati utilizzando una crittografia avanzata prima della trasmissione;
- l’algoritmo di crittografia e la sua parametrizzazione (ad esempio, lunghezza della chiave, modalità operativa, se applicabile) sono conformi allo stato dell’arte e possono essere considerati robusti contro la crittoanalisi eseguita dalle autorità pubbliche nel paese destinatario tenendo conto delle risorse e capacità tecniche (ad esempio, potenza di calcolo per attacchi di forza bruta) a loro disposizione;
- la forza della crittografia tiene conto del periodo di tempo specifico durante il quale deve essere preservata la riservatezza dei dati personali crittografati;
- l’algoritmo di crittografia è implementato in modo impeccabile da un software adeguatamente mantenuto la cui conformità alle specifiche dell’algoritmo scelto è stata verificata, ad esempio mediante certificazione;
- le chiavi sono gestite in modo affidabile (generate, amministrate, archiviate, se pertinente, collegate all’identità di un destinatario previsto e revocate);
- le chiavi sono conservate esclusivamente sotto il controllo dell’esportatore di dati o di altre entità incaricate di questo compito che risiedono nel SEE o in un paese terzo, territorio o uno o più settori specificati all’interno di un Paese Terzo adeguato.
Attraverso l’indicazione dei casi pratici nell’Allegato II alle Recommendation 01/2020, il Board indica minuziosamente le operazioni da porre in essere per rendere sicure alcune tra le più comuni tipologie di trattamento trasfrontaliero, risolvendo ad esempio un aspetto di grande rilievo per i sistemi di business continuity e dysaster recovery quale la gestione dei backup in cloud.
Nonostante ciò, sono ancora diverse le questioni rimaste irrisolte e su cui l’EDPB – per ora – non si è espresso tra cui quella relativa ai servizi in cloud per l’archiviazione e la gestione operativa dei dati, forniti dalle Big Tech americane come Google, Apple, Microsoft e Dropbox; non c’è ancora alcuna soluzione in vista nemmeno rispetto all’uso di Facebook o altri social network utilizzati per il marketing e la comunicazione aziendale: punto davvero molto caldo, se si pensa alla vertenza apertasi proprio di recente tra il colosso social e il Garante irlandese.
Per queste ultime casistiche, nell’impossibilità – allo stato dell’arte – anche per l’EDPB di individuare misure adeguate, vale quanto visto sopra al 4°Passo, ovvero, l’obbligo di sospendere il trattamento, anche perché nel frattempo – chiosa l’EDPB – le Autorità Garanti dovranno comunque continuare a monitorare con attenzione i trasferimenti, per verificare che il livello di tutela sia sempre adeguato al caso specifico.
