20 Novembre 2020
image_pdfimage_print

Raccomandazioni dell’EDPB sul trasferimento dati negli Stati Uniti

Milano, 20 novembre 2020 – Come ormai ben noto, il 16 luglio scorso la Corte di Giustizia dell’Unione Europea ha invalidato il Privacy Shield che legittimava il trasferimento di dati personali negli Stati Uniti, con ciò creando non poche incertezze presso numerosi operatori che si sono ritrovati a dover valutare le modalità con cui svolgere tali trasferimenti, essenziali in alcuni casi per lo svolgimento delle loro attività imprenditoriali.

La sentenza, inoltre, ha previsto che anche per utilizzare le clausole standard pubblicate dalla Commissione Europea, che costituiscono una misura di salvaguardia in caso di trasferimento dei dati extra-UE, il titolare del trattamento debba comunque effettuare una valutazione sull’ordinamento dello Stato in cui è stabilito il soggetto destinatario valutandone la compatibilità con i principi dell’ordinamento europeo.

Ora, mentre la Commissione Europea ha posto in consultazione, fino al 10 dicembre 2020, i nuovi modelli di clausole contrattuali standard integrati sulla base della decisione della Corte di Giustizia (per una consultazione dei testi si veda il seguente link: https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countries), il Comitato Europeo per la Protezione dei Dati Personali (EDPB) riunitosi per la quarantunesima sessione plenaria tenutasi l’11 novembre 2020, ha adottato raccomandazioni ulteriori afferenti alle misure supplementari da adottare in tema di trasferimento dei dati (Recommendations 1/2020 on measures that supplement transfers tools to ensure compliance with the EU level of protection of personal data).

 

Più nel dettaglio:

 

  • Destinatari: le raccomandazioni sono indirizzate sia ai titolari del trattamento sia ai responsabili che intendano individuare eventuali sub-responsabili;
  • Data Transfer Impact Assessment – DTIA: una procedura in sei fasi che gli operatori possono seguire per stabilire se sia possibile e a quali condizioni operare il trasferimento, considerando che secondo il principio di accountability previsto all’interno del Regolamento (UE) n. 679/2016 (“GDPR”) è onere del titolare del trattamento quello di essere in condizione in ogni momento di dimostrare il rispetto della disciplina;
  • Mappatura: la fotografia dei trasferimenti di dati personali effettuati dall’organizzazione è il primo passo per condurre la DTIA;
  • Registro dei trattamenti: il documento formato ai sensi dell’art. 30 del GDPR (il Garante italiano ha sottolineato come, pur non essendo un adempimento sempre obbligatorio, è fortemente raccomandato a tutti i titolari del trattamento di provvedere alla redazione e tenuta del registro, proprio per poter avere contezza del complesso dei trattamenti effettuati), sarà di grande ausilio nel compiere le rilevanti valutazioni;
  • Strumenti di cui all’articolo 46 GDPR: una volta eseguita la mappatura e individuata una decisione di adeguatezza da parte della Commissione Europea rispetto al Paese extra UE destinatario dei dati non sarà necessario proseguire oltre nell’assessment ed il trasferimento si considererà legittimo. Nel caso contrario, invece, sarà necessarioprocedere alla valutazione di uno degli strumenti elencati all’articolo 46 GDPR. Tale articolo prevede la possibilità di procedere al trasferimento verso il Paese terzo adottando alternativamente: le clausole standard approvate dalla Commissione Europea (cd. standard contract clauses (SCCs)); le norme vincolanti di impresa (o Binding Corporate Rules (BCRs); i codici di condotta; i meccanismi di certificazione; clausole contrattuali ad hoc.

Qualora sia utilizzato uno di tali strumenti inizia la terza fase del DTIA consistente nel valutare se la legislazione del Paese terzo possa incidere sull’efficacia ed effettività di tali garanzie. In particolare, è necessario tenere conto delle disposizioni che eventualmente autorizzano nel Paese importatore l’accesso ai dati da parte delle autorità pubbliche a fini di sorveglianza “ambigui”. In assenza di leggi sull’accesso ai dati da parte delle autorità pubbliche, l’analisi della legislazione deve tenere conto di fattori oggettivi e rilevanti e, inoltre, deve includere i controlli necessari ed essere documentata secondo il principio di responsabilità. Laddove la valutazione di cui al punto precedente individui degli ostacoli all’efficacia delle garanzie per il lecito trasferimento, sarà necessario individuare e adottare misure supplementari tecniche/organizzative/contrattuali anche in collaborazione con il soggetto importatore dei dati.

  • L’ultima fase del DTIA: consiste nel rivalutare regolarmente i trasferimenti verso i Paesi terzi al fine di verificare se eventuali sviluppi (normativi o regolamentari) adottati negli stessi possano in qualche modo incidere sulle garanzie e misure adottate. In particolare, è richiesta l’adozione di meccanismi per sospendere immediatamente il trasferimento quando l’importatore non può più rispettare lo strumento adottato e/o le misure aggiuntive si rivelano non più sufficienti a garantire un adeguato livello di protezione degli interessati.

 

_________
DISCLAIMER
Il presente comunicato è divulgato a scopo conoscitivo per promuovere il valore dell’informazione giuridica. Non costituisce un parere e non può essere utilizzato come sostitutivo di una consulenza, né per sopperire all’assenza di assistenza legale specifica.