Trasferimento di dati personali extra UE: Le raccomandazioni 1/2020 dell’EDPB

Alfredo Sanfelice – Consulente privacy e antiriciclaggio, DPO

La decisione della Corte di Giustizia Europea del luglio di quest’anno che ha invalidato il Privacy Shield, nota come Schrems II, ha creato non poche apprensioni nel panorama degli operatori che frequentemente, in virtù dei servizi acquistati presso fornitori situati in stati extra Ue e segnatamente negli Stati Uniti, si trovano a scambiare e trasferire ad essi una moltitudine di dati personali.
L’EDPB è già intervenuto poco dopo il provvedimento della Corte europea pubblicando una serie di FAQ per fornire chiarimenti che, in sintesi, hanno precisato che:

  • la possibilità o meno di trasferire dati personali sulla base di SCC o di norme vincolanti d’impresa (“BCR”) dipende dall’esito della valutazione che l’importatore dovrà compiere, tenuto conto delle circostanze del trasferimento e delle misure supplementari eventualmente messe in atto;
  • le misure supplementari che possono essere introdotte dovrebbero essere decise caso per caso, tenendo conto di tutte le circostanze del trasferimento e a seguito della valutazione della legge del paese terzo

Il Comitato recentemente (il 10 novembre), a conclusione dell’analisi avviata per determinare il tipo di misure che potrebbero essere fornite in aggiunta a SCC o BCR (misure contrattuali, tecniche o organizzative), durante la sua 41a sessione plenaria, ha adottato raccomandazioni sia sulle misure che integrano gli strumenti di trasferimento dei dati per garantire il rispetto del livello UE di protezione dei dati personali sia sulle cosiddette “garanzie essenziali europee” in rapporto alle misure di sorveglianza.

Le Raccomandazioni 1/2020 sulle misure supplementari sono state sottoposte a consultazione pubblica fino 30 novembre. Tale termine durante la 42° sessione plenaria del 20 novembre scorso è stato prorogato fino al 21 dicembre 2020.

Ma quali sono i passi che le raccomandazioni 1/2020, in consultazione, suggeriscono di seguire?

  • come primo passo, l’EDPB consiglia di mappare i trasferimenti di dati personali verso Paesi terzi e verifica che i dati trasferiti siano adeguati, pertinenti e limitati a quanto necessario in relazione agli scopi per i quali sono trasferiti e trattati nel Paese terzo;
  • un secondo il passo è quello di verificare che lo strumento su cui si basa il trasferimento sia tra quelli elencati al Capitolo V GDPR. Se il Paese rientra fra quelli per i quali è stata adottata una decisione di adeguatezza ai sensi dell’articolo 45 del GDPR o della precedente Direttiva 95/46, fintanto che la decisione rimane in vigore non sarà necessario compiere ulteriori passi. In caso contrario è necessario fare affidamento su uno degli strumenti di trasferimento elencati all’art. 46 del GDPR per trasferimenti regolari e ripetitivi. Solo per trasferimenti occasionali e non ripetitivi si potrebbe fare affidamento su una delle deroghe previste dall’articolo 49 GDPR;
  • un terzo passaggio è quello di valutare se nel Paese terzo sia in vigore una legge o un regolamento che potrebbe incidere sull’efficacia – in termini di garanzie appropriate – degli strumenti di trasferimento su cui si fa affidamento. Per gli elementi da prendere in considerazione si può fare riferimento alle raccomandazioni 02/2020;
  • un quarto passo è identificare e adottare misure supplementari necessarie per portare il livello di protezione dei dati trasferiti allo standard europeo. Questo passo è necessario solo se la valutazione rivela che la legislazione del Paese terzo incide sull’efficacia dello strumento ex art. 46 del GDPR su cui si basa il trasferimento. A tal fine prese a riferimento gli esempi di misure supplementari, da utilizzare anche in modo combinato, contenuti nell’Allegato 2 delle Raccomandazioni 01/2020. Tale valutazione dovrebbe essere documentata ed eseguita con la dovuta diligenza;
  • un quinto passaggio è quello di utilizzare procedure formali per l’adozione di eventuali misure supplementari necessarie in relazione allo strumento, previsto dall’art. 46 del GDPR, che viene utilizzato per il trasferimento;
  • il sesto e ultimo passaggio prevede che occorre rivalutare a intervalli regolari il livello di protezione offerto ai dati trasferiti nei paesi terzi e monitorare eventuali sviluppi che potrebbero influire su tale livello di protezione.

Una volta divenute definitive, l’auspicio è quello che ha già rappresentato Andrea Jelinek, la presidente del comitato europeo per la protezione dei dati, e cioè che davvero…” le raccomandazioni possano aiutare gli esportatori di dati a individuare e attuare misure supplementari efficaci laddove siano necessarie”.