The European Data Protection Board on 11 November 2020 adopted the first recommendations n. 1/2020 that provide an initial guidance on the additional measures to be taken that ensure the said transfer of data to a non EU country. The Recommendations were adopted by the Committee following the CJEU’s “Schrems II” judgment providing a preliminary guidance criteria  to data controllers and processors exporting personal data, and to allow them to identify and implement appropriate supplementary measures that ensure the same level of  protection by non EU as EU countries in data transfers.

IL FATTO

La sentenza nota come “Shrems II” con cui la Corte di Giustizia dell’Unione Europea ha dichiarato l’invalidità della decisione della Commissione (UE) 2016/1250, istitutiva del c.d. “Privacy Shield”, ha messo altresì in dubbio l’applicabilità delle clausole contrattuali standard di cui all’art. 46 del Regolamento UE 679/2016, non ritenendo tale strumento sufficiente di per sé solo a garantire una protezione adeguata dei dati personali nei trasferimenti di dati verso paesi terzi.

La sentenza ha generato un vuoto normativo e numerosi dubbi tra i titolari e responsabili del trattamento esportatori di dati (i soggetti che trasferiscono dati dall’UE verso paesi terzi) e l’intervento del Comitato europeo per la protezione dei dati con l’adozione delle Raccomandazioni n. 1/2020 “on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data”, rappresenta un primo passo per fornire indicazioni pratiche su come gestire il trasferimento dei dati verso paesi terzi.

Nelle Raccomandazioni il Comitato pone l’accento sulla responsabilità del soggetto che agisce come esportatore dei dati di verificare, con la collaborazione dell’importatore dei dati (il soggetto situato in un paese terzo che riceve i dati personali da parte dell’esportatore) che non vi siano leggi o prassi nel paese terzo di destinazione dei dati che possano interferire con l’applicazione delle misure di garanzia per il trasferimento dei dati previste dall’art. 46 del Regolamento UE 679/2016. Il Comitato nelle Raccomandazioni traccia una roadmap ideale per gli esportatori dei dati al fine di consentire a questi ultimi di individuare le misure necessarie per garantire la liceità dei trasferimenti di dati personali verso paesi terzi.

Di seguito, in breve, l’elenco delle attività previste dalla roadmap:

1. Mappare i trasferimenti di dati e mappare le destinazioni dei dati.

Per prima cosa il Comitato invita gli esportatori a “conoscere i propri trasferimenti”; gli esportatori dovranno dunque procedere alla mappatura dei dati trasferiti verso paesi extra UE, considerando anche gli eventuali sub-fornitori che potrebbero intervenire nel processo e individuando con esattezza la destinazione dei dati (ossia dove sono localizzati o trattati dall’importatore i dati oggetto di trasferimento).

2. Identificare su quale delle condizioni stabilite dal Capo V del Regolamento UE 679/2016, si basa il trasferimento dei dati verso i paesi terzi.

Gli esportatori dovranno poi individuare su quale delle condizioni previste dal Capo V del Regolamento UE 679/2016 si basa il trasferimento dei dati verso il paese terzo di destinazione. Come noto, il trasferimento si può basare su: i) Decisioni di adeguatezza della Commissione Europea (art. 45 Regolamento UE 679/2016); ii) Trasferimento oggetto di garanzie adeguate (art. 46 Regolamento UE 679/2016); iii) Deroghe specifiche (art. 49 Regolamento UE 679/2016).

3. Verificare se la garanzia adeguata di cui all’art. 46 del Regolamento UE 679/2016 su cui si basa il trasferimento sia effettivamente implementabile in considerazione di tutte le circostanze del trattamento.

Nell’ipotesi in cui il trasferimento si basi su una misura di cui all’art. 46 del Regolamento UE 679/2016 gli esportatori dovranno stabilire se la misura di garanzia adeguata scelta sia effettivamente implementabile nel paese terzo di destinazione. Gli esportatori dovranno dunque valutare se, nel contesto dello specifico trasferimento, vi siano leggi o prassi nel paese terzo di destinazione che possano impedire l’effettività della misura di garanzia adeguata applicata al trasferimento. A tal fine è prevista la collaborazione dell’importatore dei dati che dovrà fornire, ove possibile, le informazioni necessarie per valutare l’effettività delle misure individuate.

4. Individuare e adottare le misure supplementari

Successivamente, gli esportatori dovranno valutare se esistano misure supplementari che, aggiunte alla misura di garanzia su cui si basa il trasferimento, possano garantire che i dati personali oggetto di trasferimento ricevano un livello di protezione essenzialmente equivalente al livello di protezione garantito all’interno dell’Unione Europea. Le misure individuate potranno essere di natura contrattuale, tecnica o organizzativa. Il Comitato offre nelle Raccomandazioni alcuni esempi di misure supplementari che potranno essere utilizzate dagli esportatori dei dati al fine di legittimare il trasferimento.

5. Individuare le misure procedurali per implementare le misure supplementari individuate.

Gli esportatori dovranno poi individuare le misure procedurali necessarie per adottate le misure supplementari; come sottolineato dal Comitato, le misure procedurali differiranno in base alla misura di garanzia di cui all’art. 46 del Regolamento UE 679/2016 su cui si basa il trasferimento.

6. Riesaminare periodicamente le misure individuate

Infine, gli esportatori dovranno monitorare, anche con il supporto dell’importatore, eventuali modifiche legislative che interessino il paese di destinazione dei dati e che possano incidere sul livello di protezione dei dati personali oggetto del trasferimento.

Infine, nelle Raccomandazioni, il Comitato sottolinea che le decisioni in merito al trasferimento dei dati assunte dagli esportatori dovranno essere sempre adeguatamente documentate, anche al fine di poter dimostrare il rispetto del principio di accountability di cui all’art. 5 del Regolamento UE 679/2016. Le consultazioni in merito alle Raccomandazioni si sono concluse il 21 dicembre 2020 e a breve il Comitato europeo per la protezione dei dati dovrà procedere con l’adozione della versione definitiva delle Raccomandazioni.

PERCHÉ È IMPORTANTE:

Le Raccomandazioni costituiscono un primo e importante passo per colmare il vuoto normativo conseguente alla sentenza “Shrems II”. Il dibattito su come tutelare i dati oggetto di trasferimento verso paesi terzi, per garantire che non vi siano vuoti di tutela per gli Interessati situati all’interno dell’UE è tuttavia ancora aperto. La strada tracciata dal Comitato europeo per la protezione dei dati costituisce una prima e necessaria indicazione per gli esportatori dei dati a cui dovranno seguire urgentemente nuove indicazioni da parte delle autorità competenti.

In seguito a queste prime indicazioni, è tuttavia indispensabile che i Titolari del trattamento che trasferiscono dati personali verso paesi terzi, inizino a valutare concretamente quali sono gli step necessari per effettuare tali trasferimenti nel rispetto del Regolamento UE 679/2016 e delle nuove indicazioni della Corte di Giustizia dell’Unione Europea e del Comitato europeo per la protezione dei dati personali. Un assessment interno in merito al trasferimento rappresenta quindi un importante aspetto di accountability da parte dei Titolari interessati.