A cura dell’avvocato
Andrea D’Amico
Con sentenza del 16.7.2020 in C-311/18 (Schrems II) la Corte di Giustizia dell’Unione Europea ha, in particolare: (I) annullato il cd. “Privacy Shield” relativo alle esportazioni di dati personali dall’U.E. agli U.S.A.; (II) osservato che l’ordinamento degli U.S.A. non offre un livello di protezione delle persone fisiche e dei dati personali equivalente a quello dell’U.E.; e (III) confermato la validità delle clausole standard per l’esportazione di dati personali di cui alla decisione n. 87/2010 della Commissione U.E..
Le ricadute pratiche della sentenza Schrems II sono, quantomeno, due: (a) le esportazioni di dati personali negli U.S.A. e/o verso soggetti subordinati alla giurisdizione degli U.S.A. risultano, ad oggi, possibili nei limiti di cui si dirà; nonché (b) qualsivoglia esportazione di dati personali in Paesi al di fuori dello Spazio Economico Europeo (S.E.E.) può essere effettuata o continuata solo previa verifica della sussistenza di un livello di protezione equivalente a quello assicurato dall’ordinamento dell’Unione Europea.
Costituisce trasferimento di dati personali extra S.E.E., tra le altre, anche la fruizione di servizi di “cloud computing”, fintantoché ricorra almeno una delle seguenti condizioni: (1) il cloud provider è assoggettato alla giurisdizione di un Paese extra S.E.E., indipendentemente dal luogo in cui sono conservati fisicamente i dati personali (peraltro, come noto, tutti i principali cloud provider sono oggi soggetti statunitensi o cinesi); (2) i dati personali sono fisicamente archiviati e/o trasferiti su un dispositivo di archiviazione sito al di fuori dello S.E.E.; e/o (3) l’importatore, soggetto alla giurisdizione di un Paese extra S.E.E., può accedere da remoto a dati personali conservati in un dispositivo sito nello S.E.E.. Analogo discorso potrebbe, naturalmente, riguardare il provider del servizio di email, così come i fornitori di numerosi altri servizi della società dell’informazione.
In attesa che le Pubbliche Autorità competenti risolvano la situazione a livello politico/normativo, o che vengano implementate soluzioni tecnologiche europee, lo European Data Protection Board (E.D.P.B.), in data 10.11.2020, ha pubblicato apposite linee-guida, attualmente in consultazione pubblica e dunque non definitive, ove si descrive il processo che ogni esportatore di dati personali extra S.E.E. deve seguire (https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/recommendations-012020-measures-supplement-transfer_it); di seguito si riporta una sintesi dei principali passaggi di dette linee-guida (n.b.: si parlerà di “esportatore”, piuttosto che di “titolare del trattamento” o “responsabile del trattamento”, in quanto chiunque esporti dati personali extra S.E.E. è tenuto a quanto segue, in via diretta o indiretta, indipendentemente dal ruolo privacy rivestito in concreto).
Il primo step indicato dall’E.D.P.B. è la mappatura delle esportazioni: l’esportatore deve fare un check di tutti i dati personali trasmessi (effettivamente o astrattamente) al di fuori dello S.E.E., avendo cura di verificare il Paese di esportazione nonché l’ordinamento a cui è soggetto l’importatore. È importante osservare che qualora l’importatore si serva, a sua volta, di sub-fornitori a cui trasmette i dati personali ricevuti dall’esportatore, la mappatura dovrà essere estesa anche ai sub-fornitori.
Il secondo step consiste nel verificare la base giuridica applicabile ad ogni esportazione mappata. Le basi giuridiche rilevanti a tal fine vengono indicate dagli artt. da 45 a 49 del reg. U.E. 679/2016 (GDPR). Semplificando all’estremo, esse sono così riassumibili: (i) presenza di una “decisione di adeguatezza” della Commissione U.E. ex art. 45 GDPR (l’elenco delle decisioni è disponibile qui: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_it); (ii) ricorrere – essenzialmente per trattamenti occasionali e non ripetitivi – di una delle circostanze di cui all’art. 49 GDPR, tra le quali figurano l’esecuzione di un contratto ed il consenso informato dell’interessato; (iii) uso di clausole standard approvate in via preventiva e generale dalla Commissione U.E.; (iv) uso delle cd. “norme vincolanti di impresa” o di clausole contrattuali ad hoc, che tuttavia devono previamente essere sottoposte dall’esportatore al vaglio della/e competente/i autorità di controllo ai fini della specifica approvazione (non troppo diversamente dicasi in caso di ricorso a codici di condotta e/o a meccanismi di certificazione, che andranno previamente approvati a norma degli artt. 40 o 42 GDPR). Qualora la base giuridica sia quella indicata sub (i) o (ii), l’esportatore non dovrà fare altro, se non effettuare monitoraggi periodici. Al ricorrere delle basi giuridiche “contrattuali” indicate sub (iii) o (iv), invece, occorrerà eseguire gli ulteriori passaggi di seguito descritti.
Il terzo step consiste nello svolgimento di una “transfer impact assessment”, o “TIA”, per ogni singola esportazione mappata e sottoposta a basi giuridiche diverse da quelle di cui agli artt. 45 e 49 GDPR. In buona sintesi, l’esportatore dovrà valutare se il livello di protezione garantito dall’ordinamento a cui è soggetto l’importatore (e/o il Paese in cui i dati personali vengono importati) è equivalente a quello dell’U.E.. In presenza di sub-fornitori dell’importatore la TIA andrà estesa anche agli ordinamenti aventi giurisdizione su di essi (e/o sul Paese in cui i dati personali vengono ulteriormente trasferiti). La TIA, naturalmente, è una valutazione quantomai complessa che richiede, in particolar modo, un esame della normativa estera applicabile alla luce di tutte le circostanze del caso concreto applicabili: l’acquisizione di un apposito parere legale e/o di documenti e dichiarazioni da parte dell’importatore e/o dai suoi aventi causa è una cosa sicuramente da prendere in considerazioni a tali fini (anche perché è consigliabile, a norma dell’art. 5, co. 2, GDPR, che ogni TIA sia corroborata da apposita documentazione a supporto). Sotto altro aspetto, occorre dare atto che taluni elementi per condurre la TIA si rinvengono in altre guidelines dell’E.D.P.B. (segnatamente le Recommendations 02/2020 on the European Essential Guarantees for surveillance measures, cfr. https://edpb.europa.eu/our-work-tools/our-documents/recommendations/edpb-recommendations-022020-european-essential_en) su cui, tuttavia, qui non ci si intratterrà. Ove ad esito della TIA il livello di protezione del Paese terzo sia ritenuto non equivalente a quello dell’U.E., i dati personali non potranno essere esportati (e se il trattamento è già in atto esso andrà interrotto, con tutto quanto ne consegue anche in merito alla necessità di “recuperare” dall’importatore i dati comunicatigli e/o distruggere tali dati e le loro eventuali copie); ciò salvo non sia possibile adottare misure ulteriori efficaci, come meglio illustrato di seguito.
Il quarto step (da compiersi solo se la TIA ne evidenzia la necessità, salvo l’esportatore non voglia comunque procedere su base volontaria, cosa comunque consigliabile) consiste nell’adozione di misure supplementari di tipo legale, organizzativo e/o tecnico, da definirsi caso per caso. Esempi di misure supplementari di tipo tecnico, organizzativo e legale sono contenute (con maggiori dettagli) all’interno delle linee-guida (v. https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/recommendations-012020-measures-supplement-transfer_it), pagg. da 21 a 37; tra di esse è possibile citare (semplificando molto, per ragioni di brevità): (1) l’uso di tecniche di crittografia robusta, ove la chiave di decrittazione sia in possesso del solo esportatore; (2) l’esportazione di dati pseudonimizzati – cosicché l’importatore non possa più risalire all’identità degli interessati – corroborata dalla conservazione separata e solo in Paesi del S.E.E. e presso soggetti sottoposti all’ordinamento dell’U.E. di informazioni aggiuntive utili ad identificare gli interessati; (3) il ricorso a più importatori assoggettati a diversi ordinamenti, affinché ciascuno tratti solo una parte dei dati personali; (4) l’imposizione, in via contrattuale, all’importatore dell’obbligo di adottare specifiche misure tecnico/organizzative, o di comunicare eventuali accessi di terzi ai dati personali esportati, o di sottoporsi a audit e ispezioni, ecc.; (5) la previsione di obblighi a carico dell’importatore e/o dell’esportatore di assistenza dell’interessato ai fini dell’eventuale esercizio dei propri diritti. Le misure dovranno essere compatibili con la base giuridica individuata per l’esportazione. Ove tali misure non siano attuabili efficacemente, ovvero nei casi in cui la loro attuazione non innalzi comunque il livello di protezione ad una soglia almeno equivalente a quella del diritto U.E., l’esportatore dovrà valutare se: (i) astenersi dall’esportare i dati personali in quel dato Paese e/o verso quel dato importatore; oppure (ii) chiedere ed ottenere dalla competente autorità di controllo, preventivamente, l’autorizzazione all’esportazione (n.b.: l’autorità di controllo potrà anche imporre l’attuazione di misure aggiuntive).
La TIA, la mappatura e tutti gli output risultanti dagli steps suindicati andranno rivisti periodicamente (è opportuno che del controllo venga dato atto in deliberazioni del C.d.A., determine dell’A.U. o altri documenti scritti, anche nel caso in cui ad esito del controllo l’esportatore non ritenesse di dover apportare modifiche di sorta).
Alla luce di tutto quanto sopra, è consigliabile procedere quanto prima a mappare le esportazioni, partendo da quanto riportato nei registri del trattamento adottati ex art. 30 GDPR e nelle informative agli interessati, per poi procedere, occorrendo, al compimento degli ulteriori steps indicati dall’E.D.P.B..
Per completezza, si segnala che l’inottemperanza a quanto sopra (a partire dalla mappatura in poi) potrebbe non determinare, di per sé, l’illegittimità dell’esportazione di dati personali extra S.E.E.. Ciò non di meno, l’inosservanza degli steps indicati dall’E.D.P.B. potrebbe assumere rilievo ai fini del rispetto dei principi di cui all’art. 5 GDPR (principi la cui violazione è di per sé assoggettata a sanzione pecuniaria ex art. 83, comma 5, GDPR); a ciò potrebbero aggiungersi eventuali ulteriori sanzioni, derivanti dalla violazione degli art. 25, 32 e/o 44 e ss. GDPR, qualora ne sussistessero i presupposti.