Trasferimento dati extra-UE: il quadro internazionale post Schrems II

Trasferimento dei dati extra Ue: il trattamento di dati personali al di fuori dello spazio economico europeo (SEE) presenta a tutt’oggi notevoli zone d’ombra, ancora lontane dall’essere chiarite nonostante i numerosi interventi in tal senso operati a più livelli.

La pronuncia (cd. Schrems II del 16.7.2020) della Corte di giustizia dell’Unione europea (CGUE), infatti, ha necessariamente comportato che l’European Data Protection Board (EDPB), in primis, e altri garanti (europei e non) si attivassero per cercare di fare luce su alcuni punti dubbi, con focus particolare sul DTIA (Data transfer impact assessment) richiesto dalla cd. Schrems II.

Trasferimento dei dati: le Faq dell’EDPB

È il caso delle Faq dell’EDPB che, uscite nell’immediatezza (23.7.2020) – o quasi – della citata sentenza, hanno avuto certamente il merito di spiegarla punto per punto con un linguaggio più chiaro e accessibile, senza però “andare a segno” sugli aspetti più problematici e fumosi.

Con il medesimo intento chiarificatore, l’EDPB ha poi deciso di emanare due ulteriori Raccomandazioni, la 1 e la 2 del 2020, rispettivamente dedicate alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE e ai trasferimenti di dati personali tra autorità ed organismi pubblici del SEE e di paesi non appartenenti al SEE.

Risulta, infatti, evidente come a seguito dell’invalidazione del Privacy Shield^[1] e dell’imposto obbligo in capo all’esportatore di dati e al destinatario (o importatore) di verificare – prima di qualsiasi trasferimento, alla luce delle circostanze del trasferimento stesso – se il livello di protezione dei dati assicurato e richiesto ex GDPR sia rispettato nel Paese Terzo, la valutazione circa il trasferimento assurga a elemento nevralgico.

Ecco, dunque, che le Raccomandazioni dell’EDPB mirano, per l’appunto, a dare un’indicazione generale dei criteri da poter applicare nell’analisi finalizzata alla verifica del livello di protezione, arrivando a configurare una procedura di riferimento in sei fasi: mapping dei dati, identificazione della base giuridica, valutazione dell’efficace della base/strumento, adozione di misure aggiuntive, valutazione dei passaggi procedurali necessari, rivalutazione periodica.

In aggiunta a ciò, gli allegati 2 e 3 presentano esempi di misure di sicurezza supplementari per il trasferimento (tecniche, contrattuali e organizzative), nonché possibili fonti di informazioni per la valutazione del Paese Terzo.

Trasferimento dei dati: le linee guida dei garanti europei

Su questo terreno si sono innestati, a circa un anno di distanza, alcuni tool, pronunce e linee guida di Garanti europei ed extra europei, cui pare giusto il caso di fare accenno.

Francia

A cavallo dell’adozione delle nuove clausole contrattuali standard (o SCCs) da parte della Commissione^[2], infatti, il Garante francese (CNIL) – dal canto suo – ha ritenuto di pubblicare una mappa interattiva sullo status della protezione dei dati nel mondo, sostanzialmente fornendo uno strumento pratico di supporto a titolari e responsabili – come nello stile dell’Autorità – nell’individuazione (anche visiva, contrassegnando gli Stati con diversi colori a seconda del livello di protezione) di 6 categorie di Paesi, così suddivisi: Paesi membri dell’UE, Paesi adeguati a livello di protezione dei dati richiesto dall’UE, Paesi parzialmente adeguati, Paesi in cui è presente un’Autorità indipendente (con conseguente legislazione a se stante da valutarsi), Paesi in cui esiste una legislazione relativa alla protezione dei dati che va però valutata ad hoc e, infine, Paesi che non prevedono leggi in materia.

Cercando all’interno della mappa il Paese di proprio interesse e cliccando sullo stesso appariranno una serie di informazioni che potranno essere d’aiuto nella valutazione sul trasferimento, ad esempio se ci si focalizzasse sulla Malesia si otterrebbero le seguenti informazioni:

Norvegia

A settembre di quest’anno, invece, il Garante norvegese (Datatilsynet^[3]) ha ritenuto di aggiornare la propria “guida” sui trasferimenti post sentenza Schrems II, rilevando come a volte avere una valida base di trasferimento non sia sufficiente, e come, quindi, debbano essere interpretati i requisiti aggiuntivi richiesti per il trattamento (e cosa possano comportare).

Premesso che non vi è una definizione di “trasferimento” ai sensi del GDPR e posta la necessità di condurre delle valutazioni coscienziose e di documentarle a dovere, il Garante norvegese sottolinea come si debba, anzitutto, distinguere tra due casistiche: il trasferimento che avviene per conto dell’azienda (ad esempio perché i dati personali vengono inviati a un destinatario in un paese terzo, archiviati in un paese terzo o qualora si utilizzino servizi di supporto da paesi terzi), e i casi in cui sia il responsabile del trattamento a decidere che i dati personali debbano essere trasferiti, contrariamente alla volontà dell’azienda.

In sintesi, ciò che emerge dalla citata guida è:

– la non classificabilità dell’accesso da remoto per connettersi al server dell’azienda quale trasferimento ex GDPR (ad esempio di un dipendente in viaggio fuori dall’UE o dalla Norvegia);

– la non rilevanza della nazionalità del dipendente;

– la qualificazione dell’accesso da parte di un dipendente di una filiale o controllata fuori dall’UE quale trasferimento;

– la possibilità che il service provider sia titolare autonomo nel momento in cui decide il luogo del trattamento o come/cosa venga trasferito extra UE. Negli altri casi sarà bene assicurarsi che tale soggetto sia qualificato (ex art. 28 GDPR) come responsabile del trattamento;

– che l’essere “già disponibili al pubblico” possa essere un elemento di valutazione della proporzionalità di un intervento. La raccolta da parte delle autorità di dati personali disponibili al pubblico potrebbe infatti costituire più facilmente un intervento proporzionato rispetto alla raccolta di informazioni non disponibili al pubblico. È in ogni caso necessaria una valutazione caso per caso;

– che a volte può esserci un conflitto tra legge e pratica. Se la legge sulla carta non costituisce violazione della privacy, ma è praticata in modo tale da costituire violazione, devono essere presi ulteriori provvedimenti. Viceversa, possono verificarsi casi in cui la legge è problematica, ma non vi è motivo di ritenere che tale normativa venga applicata nella pratica. In tal caso, non è necessario intraprendere ulteriori azioni, ma bisognerà essere in grado di poter documentare dettagliatamente tale valutazione.

Il Datatilsynet si preoccupa, inoltre, di fornire una sorta di check list di controllo per il trasferimento (mutuata dalle raccomandazioni dell’EDPB), articolata in 5 fasi:

1. Conoscere i trasferimenti: ossia avere una panoramica completa di tutti i processi, sistemi, servizi, soluzioni, partner, fornitori, responsabili del trattamento e subappaltatori del trattamento dei dati che trasferiscono dati personali al di fuori del SEE. Anche l’accesso remoto, ad esempio per il supporto tecnico, è indicato come trasferimento.
2. Identificare la base di trasferimento
3. Valutare se la base del trasferimento sarà effettiva alla luce di tutte le circostanze del trasferimento^[4]: in questa fase, si devono esaminare le leggi e le prassi del paese terzo, tenendo a mente di considerare in che modo le leggi e le pratiche influiscano su eventuali responsabili del trattamento, subappaltatori e infrastruttura utilizzati nel trattamento dei dati personali.
4. Implementare ulteriori misure^[5], se la valutazione al punto 3 ha mostrato che il livello di protezione in pratica sarà inferiore a quello del SEE.
5. Rivalutare periodicamente.

Svizzera

Un’altra Autorità che si è ulteriormente espressa sul tema dei trasferimenti extra UE è quella elvetica, che con lo Statement del 27.8.2021 si è voluta concentrare più nello specifico sulle SCCs approvate dalla Commissione.

Difatti, il Federal Data Protection and Information Commissioner (FDPIC) ha ufficialmente riconosciuto le clausole contrattuali standard quale condizione legittimante per il trasferimento di dati personali verso quei Paesi che non dispongono di un livello adeguato di protezione dei dati, seppur con le dovute attenzioni e modifiche.

Il Garante svizzero, nella pronuncia, distingue l’ipotesi del trasferimento cui si applica la sola legge svizzera di protezione dei dati (e che quindi non presenta alcun collegamento con il GDPR), da quella in cui al trattamento si applica il GDPR ex art. 3 comma 2^[6], ma l’esportatore è Titolare o Responsabile localizzato in Svizzera (e quindi soggetto alla legge svizzera).

In tal caso, secondo l’Autorità le parti potranno scegliere se redigere due accordi separati (uno ai sensi del GDPR e uno ai sensi della legge svizzera di protezione dei dati) oppure rifarsi ad un unico regime, sottoponendo tutti i trasferimenti agli standard GDPR, seppur prevedendo gli opportuni adeguamenti.

Infine, rimanendo in ambito svizzero, è opportuno riportare che a fine settembre 2021 il Dipartimento federale di giustizia e polizia (EJPD) ha diramato un Rapporto sul Cloud Act (Clarifying Lawful Overseas Use of Data Act)^[7] approvato nel 2018 dagli Stati Uniti, che include anche riflessioni circa il trattamento di dati personali e il loro trasferimento all’estero, giungendo alle seguenti conclusioni:

– la compatibilità della legge Cloud e di qualsiasi accordo esecutivo concluso sulla base dei suoi principi con il diritto dell’UE, in particolare con il GDPR è rilevante anche per la Svizzera. Anche se non direttamente applicabile alla Svizzera, le sue disposizioni si applicano alle aziende svizzere che rientrino nel campo di applicazione del Regolamento ai sensi dell’articolo 3. L’esame delle basi giuridiche svolto nel rapporto mostra che il trattamento dei dati basato su ordini di agenzie di polizia statunitensi ai sensi del Cloud Act deve essere valutato come problematico in termini di legalità. Questo vale sia per la conservazione dei dati personali che per la loro divulgazione. Il criterio decisivo preso in considerazione per l’adeguatezza è se la norma che permette l’accesso da parte delle autorità dello Stato ricevente per scopi di sicurezza nazionale contiene anche disposizioni chiare che limitano l’accesso, cioè indica chiaramente le condizioni e le circostanze in cui tale accesso è permesso. L’accesso, infatti, deve essere limitato a ciò che è assolutamente necessario. Inoltre, il regolamento la legge dello stato ricevente dovrà prevedere diritti efficaci e applicabili per proteggere gli interessati da possibili abusi;

– L’FDPIC non considera più adeguato il livello di protezione dei dati negli Stati Uniti in nessun settore;

– anche in assenza di una protezione adeguata all’estero, la divulgazione dei dati potrebbe essere ammessa in via eccezionale, ma solo laddove: strumenti giuridicamente vincolanti ed esecutivi offrano garanzie adeguate per una protezione adeguata dei dati all’estero; la persona interessata acconsenta alla divulgazione; la divulgazione dei dati sia indispensabile per salvaguardare un interesse pubblico preponderante o per stabilire, esercitare o far valere diritti legali in tribunale o se è necessaria per proteggere la vita o l’integrità fisica della persona interessata o di un terzo;

– i dati coperti dal Cloud Act sono dati personali ai sensi della legge sulla protezione dei dati. Nell’analizzare la compatibilità del Cloud Act con la legge sulla protezione dei dati attuale e futura (svizzera), il rapporto rileva che l’analisi suggerisce che la consegna di dati in base a un ordine di consegna sulla base della legge Cloud è compatibile con il diritto svizzero ed europeo sulla protezione dei dati solo in casi specifici eccezionali.

Alla luce di tutto quando premesso, va tuttavia rilevato come sembri difficile pensare che un semplice contratto quali delle SCCs (seppur nella versione ad oggi validata dalla Commissione) possa essere di per sé solo in grado di far fronte ai rischi di ingerenza da parte di Governi stranieri o di costituire una base sufficientemente solida per garantire un adeguato livello di protezione agli interessati.

Pur riconoscendo il valore ed il ruolo ricoperto dalle clausole contrattuali standard attuali – caratterizzate da un approccio modulare che le rende maggiormente flessibili e capaci di adattarsi anche a catene di trattamento più complesse – resta aperto il punto circa la valutazione del trasferimento dei dati (DTIA) che deve senza dubbio ricadere in capo al Titolare (v. accountability), il quale però si vede investito di valutazioni circa intere legislazioni straniere, spesso neppure di facile accesso, senza avere ad oggi degli strumenti concreti di cui avvalersi nella conduzione pratica di tali analisi.

Note

1. A seguito della sentenza Schrems II, in data 8.9.2020, anche l’IFPDT (incaricato federale della protezione dei dati e della trasparenza) ha rivalutato la conformità del Swiss-US Privacy Shield, ritendendo il livello di protezione dei dati non adeguato e conforme alla LPD (legge federale sulla protezione dei dati). ↑
2. A giugno 202. ↑
3. Si veda: https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/overforing-av-personopplysninger-ut-av-eos/tilleggskrav-til-overforingsgrunnlag-schrems-ii/. ↑
4. Le leggi e le pratiche applicabili possono dipendere da: finalità del trattamento e del trasferimento (ad esempio, finalità relative a marketing, risorse umane, conservazione, supporto tecnico, studi clinici), tipologia di soggetti coinvolti (pubblici/privati, titolari/incaricati del trattamento), settore interessato (es. adtech, telecomunicazioni, finanza, giornalismo, salute), categoria dei dati personali (ad esempio, il paese terzo potrebbe avere leggi speciali relative ai minori), se i dati sono archiviati in paesi terzi o se ci sarà accesso remoto ai dati archiviati nel SEE, formato dei dati (testo normale, pseudonimizzato o crittografato), possibilità di ulteriore trasferimento verso nuovi paesi terzi. ↑
5. Quando si considera quali misure aggiuntive sono più efficaci, si dovrebbe, ad esempio, guardare a: formato dei dati (testo normale, pseudonimizzato o crittografato), natura dei dati (ad esempio categorie particolari di dati personali godono di maggiore tutela ai sensi del Regolamento Privacy), lunghezza e complessità del processo di trattamento dei dati personali, numero dei soggetti coinvolti e rapporto tra gli stessi (ad esempio, il trasferimento coinvolge più titolari del trattamento o sia titolari che responsabili del trattamento, e chi di essi effettua il trasferimento?), attraverso quali tecniche o in base a quali parametri si applica la normativa problematica del paese terzo, possibilità che i dati vengano ulteriormente trasferiti all’interno dello stesso paese terzo o in un altro paese terzo (ad esempio tramite un subappaltatore di un responsabile del trattamento). ↑
6. “Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano: a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure

   b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione”. ↑

7. Ha lo scopo di permettere alle autorità di polizia degli Stati Uniti di accedere ai dati memorizzati da fornitori di servizi di comunicazione con sede negli Stati Uniti per la prevenzione, l’indagine, l’individuazione o il perseguimento di reati gravi. Questo indipendentemente dal fatto che i dati siano memorizzati negli Stati Uniti o all’Estero, per esempio tramite filiali, il che conferisce alla legge statunitense un campo di applicazione extraterritoriale. ↑