“Le raccomandazioni pubblicate dall’European Data Protection Board costituiscono un passo decisivo per il recepimento dei principi espressi dalla sentenza Schrems II nella prassi quotidiana di tutte le imprese che trasferiscono dati all’estero”: con queste parole l’avvocato Rocco Panetta, tra i massimi esperti di diritto delle nuove tecnologie e di privacy a livello internazionale, commenta uno dei documenti più attesi nel settore della protezione dei dati personali da quando, lo scorso 16 luglio, la Corte di Giustizia Ue ha invalidato lo strumento giuridico sui cui si fondavano i trasferimenti di dati personali tra Unione Europea e Stati Uniti d’America.
Con le “Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data”, pubblicate l’11 novembre e in consultazione pubblica fino a fine mese, le aziende potranno contare su una cassetta degli attrezzi da impiegare per effettuare trasferimenti di dati personali al di fuori dello Spazio Economico Europeo rispettando le prescrizioni del Regolamento Generale sulla Protezione dei Dati (Gdpr).
Prima di entrare nel merito del provvedimento, l’avvocato Panetta – che è anche Country Leader per l’Italia e Membro del CdA della International Association of Privacy Professionals (Iapp) – ricorda che anche la Commissione Ue è recentemente intervenuta nella regolamentazione dei trasferimenti internazionali di dati pubblicando la bozza delle nuove Standard Contractual Clauses (SCC): “Le aspettavamo da tempo e non è un caso che arrivino a pochi mesi dalla sentenza Schrems II. Si tratta di un’altra importantissima notizia: il nuovo set di SCC, che prende in considerazione quattro diversi scenari (trasferimenti titolare verso titolare, titolare verso responsabile, responsabile verso responsabile, responsabile verso titolare) avrà di certo un notevole impatto sul mercato”.
Avvocato Panetta, per quali motivi queste raccomandazioni dell’Edpb sono così importanti?
La sentenza C-311/18 della Corte di Giustizia con cui è stato invalidato il Privacy Shield ha creato un momento di grande incertezza ed ha alimentato un vasto dibattito internazionale, considerato che ormai molte aziende e pubbliche amministrazioni, ma anche professionisti ed associazioni, si trovano a trasferire dati al di fuori dello Spazio Economico Europeo. Sono stati mesi dove si è ragionato molto sulle soluzioni da adottare per continuare a rispettare la disciplina dettata dal Gdpr, soprattutto per chi come me affianca imprese e gruppi multinazionali come consulente e Data Protection Officer. Forse si è anche un po’ esagerato: all’indomani della Sentenza della Corte di Giustizia, diverse Autorità garanti, tra cui anche quella italiana e l’Edpb, hanno subito rassicurato i mercati indicando di aver avviato tavoli di lavoro multilivello per fornire quanto prima linee guida e strumenti d’uso. Nonostante ciò, molti hanno alimentato ansia ed incertezza, dimostrando o di non conoscere come operano le Autorità, o semplicemente con lo scopo di rimestare nel torbido per basse ragioni di opportunità. La mia indicazione è da subito stata: calma e aspettiamo che i Garanti facciano un passo ufficiale. Il documento dell’Edpb ha un grande valore poiché rappresenta quel passo ufficiale, intervenendo con delle risposte chiare e puntuali a risolvere interrogativi rimasti in sospeso per mesi. Ma non solo. Il Board ci indica la strada da seguire, ci fornisce una guida pratica ai trasferimenti internazionali di dati per il post Schrems II.
Quali sono dunque, in sintesi, le indicazioni pratiche dettate dal Board?
L’Edpb ha tracciato un approccio fondato su sei step. Occorre prima di tutto mappare tutti i trasferimenti di dati personali che il titolare compie verso paesi terzi. Dopodiché bisogna verificare quale strumento giuridico si sta impiegando per il trasferimento. Le decisioni di adeguatezza ex art. 45 Gdpr restano lo strumento più sicuro e che non richiedono ulteriori verifiche da parte del titolare. Al contrario, le deroghe disposte all’art. 49 del Gdpr possono essere chiamate in causa solamente in caso di trasferimenti occasionali e non ripetitivi. Con queste raccomandazioni l’Edpb si concentra sugli ulteriori strumenti previsti dall’art. 46 del Gdpr e su come renderli effettivi. Difatti, con il terzo step il Board ci dice che chi esporta i dati deve verificare che nel Paese di destinazione non esistano leggi o prassi che inficino l’efficacia delle misure di tutela adottate. In tal caso si tratterà allora di identificare le misure aggiuntive che è necessario adottare per garantire un livello di protezione adeguato. La valutazione di tali misure va fatta caso per caso. A questo proposito risulta particolarmente rilevante l’Allegato B alle raccomandazioni che fornisce un elenco non esaustivo di tali misure.
Servirà poi implementare anche le procedure formali eventualmente richieste dalle misure supplementari che si intendono adottare. Da ultimo sarà opportuno verificare periodicamente che le misure adottate restino efficienti nel tempo. Si tratta di indicazioni che non sorprendono e che riecheggiano plasticamente nella logica delle Autorità e dello stesso Gdpr. Tuttavia, la messa in pratica di tali misure e step e complessa e per certi ersi di difficile attuazione anche per società multinazionali dotate di mezzi materiali e risorse umane e professionali adeguate.
Che cosa devono fare allora le aziende per adeguarsi alle nuove indicazioni dell’European Data Protection Board?
Dovranno valutare caso per caso. Questa è d’altronde ciò che l’accountability richiede. Prima di tutto si può fare riferimento ai criteri dell’art. 45(2) del Gdpr. Esiste uno stato di diritto nel Paese terzo? Esiste una legge sulla protezione dei dati ed opera un’autorità indipendente? Se ad esempio, come nel caso degli Stati Uniti, le leggi del Paese di esportazione che regolano l’accesso ai dati da parte delle autorità non rispettano i principi di proporzionalità europei, sarà necessario adottare ulteriori misure tecniche di protezione per impedire tale ingerenza. Una misura come la crittografia diventerà dunque cruciale in situazioni come queste, mentre in altri casi potrebbe non essere necessario adottarla perché, ad esempio, i dati sono trasferiti in forma pseudonimizzata. In questa ultima ipotesi, tuttavia, i dati ulteriori che potrebbero essere impiegati per re-identificare gli interessati dovrebbero conservarsi separatamente e non inviati nel Paese destinatario del trasferimento.
Quali sfide attendono i Dpo e gli uffici legali all’indomani delle raccomandazioni dell’Edpb?
Come già sappiamo, il lavoro di controllo e consulenza del Dpo, così come l’impegno di legali interni ed esterni, richiede un continuo e costante aggiornamento. Ora più che mai, queste funzioni sono chiamate a mettere la propria professionalità al servizio di titolari e responsabili del trattamento, assistendoli step by step nel processo di compliance tracciato in queste raccomandazioni. Ed è in tali situazioni che si vede la straordinaria utilità che un Dpo è in grado di portare in azienda. L’esperienza maturata negli anni, così come la dimestichezza alla proceduralizzazione (che diventa naturalmente documentazione) degli aspetti che riguardando i trattamenti di dati personali costituiscono un inestimabile valore aggiunto per adeguarsi proattivamente e in maniera competitiva alle regole dettate dalla normativa sulla protezione dei dati personali.