Trasferimento di dati extra SEE: il punto della situazione e best practices

Il General Data Protection Regulation (GDPR) ha disciplinato il trasferimento dei dati personali al di fuori dello Spazio Economico Europeo (SEE), stabilendo la legittimità dello stesso laddove sussistano adeguate garanzie tali da assicurare che nel Paese terzo esistano tutele ai dati personali equivalenti a quanto previsto dal Regolamento stesso, ovvero in caso di eccezioni specificamente individuate dal legislatore.

La questione ha un forte impatto sul business quotidiano anche nell’ambito dell’IoT: basti pensare ai servizi di archiviazione in Cloud, spesso forniti da soggetti con sede extra SEE (ad es. i principali big player del settore hanno sede negli U.S.A.) o ai servizi di assistenza e manutenzione, che possono comportare l’accesso ai propri dati da parte di un operatore che si trova all’estero.

Nel luglio 2020 la Corte di Giustizia dell’U.E. con la sentenza c.d. Schrems II ha stabilito l’invalidità del Privacy Shield, la decisione di adeguatezza che legittimava i trasferimenti di dati verso gli U.S.A. La decisione ha altresì previsto che, qualora i trasferimenti si basino sulle clausole contrattuali standard (c.d. SCC), sia necessario procedere con opportune valutazioni del singolo caso, al fine di individuare misure tecniche, organizzative e/o contrattuali supplementari alle SCC tali da garantire extra SEE equivalente livello di tutela ai dati personali a quanto previsto dal GDPR. La CGUE ha infine stabilito che, nel caso in cui non fosse possibile individuare adeguate misure supplementari alle SCC, il trasferimento dovesse essere interrotto/non iniziato, salvo la preventiva notifica all’Autorità Garante circa la volontà di continuare/procedere comunque con il trasferimento, Autorità che valuterà il caso di specie e prenderà gli opportuni provvedimenti.

A seguito di tale decisione, il Comitato Europeo per la Protezione dei Dati (EDPB) ha fornito alcune indicazioni operative per i soggetti che già trasferiscono e/o intendono trasferire dati extra SEE, riassumibili nei seguenti step:

1. Mappare tutti i trasferimenti in essere e/o potenziali relativamente a futuri progetti in fase di valutazione. Al fine della mappatura, è opportuno considerare tutta la filiera di trattamento di dati, includendo anche i sub-fornitori che rivestano il ruolo di altri responsabili del trattamento.

2. Verificare, per ciascun trasferimento mappato, delle misure adottate a garanzia del trasferimento. Nel caso in cui il trasferimento si basi su uno degli strumenti negoziali previsti dall’art. 46 GDPR (es. le SCC), è necessario procedere con gli ulteriori step.

3. Valutare, se del caso in collaborazione con l’importatore, se la legge o la prassi del Paese terzo possano pregiudicare l’efficacia delle garanzie di cui all’art. 46 GDPR. Laddove lo strumento adottato non dovesse risultare tale da garantire equivalente livello di protezione, è necessario verificare la possibilità di adottare adeguate misure supplementari.

4. Individuare e adottare opportune misure supplementari alle SCC. Sul punto l’EDPB ribadisce che, tenuto conto della normativa statunitense e dello stato dell’arte, ad oggi non sussistono adeguate misure supplementari alle SCC tali da legittimare i trasferimenti di dati personali negli U.S.A.

5. Rivalutare nel tempo le analisi/valutazioni svolte.

Si ricorda che, tenuto conto del principio di accountability che permea il GDPR, è necessario essere in grado di dimostrare le valutazioni svolte e le decisioni assunte.

Nel giugno 2021, la Commissione Europea ha adottato il nuovo modello di SCC, che include al suo interno apposita dichiarazione in merito alle valutazioni preliminari svolte come da step indicati dall’EDPB, nonché l’obbligo di indicare le misure supplementari concretamente adottate.

Nella pratica, ad oggi riscontriamo come, soprattutto laddove l’importatore sia un big player, le SCC siano lo strumento preferenziale adottato a garanzia del trasferimento. Tuttavia, dall’analisi della documentazione disciplinante i rapporti privacy tra le parti, spesso emerge la formale inclusione delle SCC (a tal fine, si ricorda che le vecchie SCC continueranno a rimanere in vigore fino al dicembre 2022 per quei rapporti contrattuali instaurati prima del 27 settembre 2021, mentre negli altri casi, e comunque a partire dal 27 dicembre 2022, dovranno essere adottate le nuove SCC), che tuttavia non risultano essere opportunamente compilate, limitandosi ad esempio a un link al modello pubblicato dalla Commissione Europea. In tali casi, per poter svolgere le valutazioni del caso, è opportuno sollecitare a controparte le informazioni mancanti.

A distanza di quasi due anni dalla sentenza Schrems II, le competenti autorità stanno iniziando ad emettere le prime decisioni sul punto dei trasferimenti di dati extra SEE.

Scoprile nell’articolo completo su IOTtoday