Causa Schrems II: le raccomandazioni dell’European Data Protection Board


Adozione delle Raccomandazioni ed obiettivo dell’EDPB

L’11 novembre 2020, nel corso della sua 41° sessione plenaria, il Comitato europeo per la protezione dei dati (“EDPB“) ha adottato, a seguito della sentenza della Corte di giustizia dell’Unione europea (“CGUE”) nella causa Data Protection Commissioner v. Facebook Ireland Limited, Maximillian Schrems (C-311/18) (“la causa Schrems II“), le seguenti raccomandazioni:

Le Raccomandazioni sono sottoposte a consultazione pubblica fino al 30 novembre 2020 e saranno applicabili immediatamente dopo la loro pubblicazione.

L’obiettivo dell’EDPB, nell’ambito di un’applicazione coerente del GDPR e della sentenza Schrems II sul territorio europeo, è quello di assistere i titolari e i responsabili del trattamento che agiscono in qualità di data exporter verso Paesi terzi nell’individuazione ed attuazione di adeguate “misure supplementari/integrativenecessarie per garantire un livello di protezione sostanzialmente equivalente a quello europeo.

Infatti, a seguito della sentenza Schrems II, i titolari del trattamento sono tenuti a verificare, caso per caso, se la legge del paese terzo garantisce un livello di protezione dei dati personali trasferiti sostanzialmente equivalente a quello garantito nello Spazio economico europeo (SEE) e di adottare eventuali misure supplementari/integrative delle garanzie di trasferimento previste dal Capo V del GDPR per garantire l’effettivo rispetto di tale livello di protezione, qualora le sole garanzie di trasferimento non siano sufficienti.

Contenuto delle Raccomandazioni 01/2020

Le Raccomandazioni 01/2020 contengono una serie step, o una “tabella di marcia”, che gli exporter devono seguire per valutare la necessità di mettere in atto misure integrative per poter trasferire i dati al di fuori del SEE in conformità con la legislazione dell’UE, ed un elenco non esaustivo di esempi di misure supplementari e condizioni di efficacia delle stesse (Annex 2).

Di seguito un riassunto dei step indicati dall’EDPB che gli exporter devono porre in essere nel rispetto del principio di acconuntability:

  1. Individuare e mappare i trasferimenti di dati personali
  2. Identificare il meccanismo di trasferimento adeguato tra quelli elencati nel Capo V del GDPR 
  3. Valutare se il meccanismo di trasferimento adottato è efficace rispetto al trasferimento che si vuole effettuare, ossia valutare se c’è qualche aspetto della legge o della prassi del Paese terzo che potrebbe interferire sull’efficacia del meccanismo di trasferimento su cui si fa affidamento, nel contesto del trasferimento specifico. Durante questo step, si dovrà tenere conto delle Raccomandazioni 02/2010, documentando con la dovuta diligenza le valutazioni poste in essere in un’ottica di accountability. Se il titolare del trattamento valuta che non vi sono interferenze e che il meccanismo di trasferimento scelto rimane efficace, non deve adottare misure supplementari e può continuare o cominciare a traferire dati personali verso il Paese terzo. 
  4. Adottare misure supplementari/integrative al meccanismo di trasferimento e valutare se sono idonee a colmare il gap nella protezione dei dati quando la legislazione/prassi del Paese terzo incide sull’efficacia del meccanismo di trasferimento scelto dall’exporter. Per questo step, si dovrà tenere conto dell’Annex 2 delle Raccomandazioni 01/2020 che contiene un elenco non esaustivo ed esemplificativo di misure supplementari e delle condizioni che richiedono per essere efficaci. Le misure citate sono: misure tecniche, misure contrattuali supplementari, misure organizzative.
  5. Adottare formalmente il meccanismo di trasferimento e porre in essere le misure supplementari/integrative efficaci
  6. Monitorare ed aggiornare periodicamente la valutazione del livello di protezione di dati personali, nell’ottica del principio di accountability

Infine, l’EDPB chiarisce che gli exporter devono documentare il processo di valutazione sopra descritto, in quanto responsabili delle decisioni che prendono su tale base, in linea con il principio di accountability.

Contenuto delle Raccomandazioni 02/2020

Le Raccomandazioni 02/2020 sulle “European Essential Guarantees for surveillance measures”, sono complementari alle Raccomandazioni 01/2020 finora esaminate.

Esse forniscono agli exporter dei “criteri” per determinare se il quadro giuridico che disciplina l’accesso delle autorità pubbliche ai dati personali, a fini di sorveglianza, nei Paesi terzi può essere considerato un’interferenza giustificabile nel diritto alla privacy e alla protezione dei dati personali, e quindi non ostacolare il meccanismo di trasferimento su cui si basano l’esportatore e l’importatore.

In particolare, le Raccomandazioni 02/2020 individuano le seguenti “garanzie essenziali”:

  • Regole chiare, precise e accessibili per il trattamento di dati personali
  • Dimostrazione della necessità e della proporzionalità in relazione agli obiettivi legittimi perseguiti
  • Esistenza di un meccanismo di controllo indipendente
  • Esistenza di tutele efficaci per l’interessato

Conclusioni

A quasi 4 mesi dalla sentenza Schrems II, l’EDPB, attraverso Raccomandazioni soggette a consultazione pubblica, ha dato indicazioni in merito agli step che titolari e responsabili del trattamento exporter di dati personali devono porre in essere affinché il trasferimento sia conforme alla normativa sulla protezione dei dati personali.

La vera sfida per i titolari del trattamento, a seguito della pubblicazione ed applicabilità delle Raccomandazioni, sarà quella di implementare queste indicazioni, probabilmente attraverso appositi “documenti di valutazione del trasferimento di dati extra UE” nell’ottica del principio di accountability più volte citato dall’EDPB.

In particolare, ad avviso di chi scrive e ad una prima impressione, lo step più complesso sarà quello relativo alla valutazione della conformità delle tutele privacy assicurate dai Paesi terzi e del “livello di ingerenza” nei diritti e nelle libertà degli interessati. Considerando poi che la valutazione non dovrà riguardare solo il Paese, ma dovrà tenere conto anche del contesto di quello specifico trasferimento, è possibile che per due differenti trasferimenti di dati personali verso uno stesso paese, si abbiano due valutazioni differenti…

Articolo a cura di Iliana Tounova | Data Protection Consultant, Labor Project

Se ti è piaciuto l'articolo condividi: