servizio dpo

Cosa succede con la dichiarazione di illegittimità del Privacy Shield?

BEATRICE BARDELLI

BEATRICE BARDELLI

DPO
Esperta in revisione documentale e compliance
Scienze forensi e Criminologiche
Project management

Bio dell'Autore

La Corte di Giustizia dell’Unione Europea (CGUE) si è pronunciata il 16 Luglio 2020 con la cosiddetta “Sentenza Schrems II” invalidando la decisione di adeguatezza delle tutele offerte dal regime del Privacy Shield, l’accordo UE-USA per la protezione dei dati personali oggetto di trasferimento transatlantico, valutando la normativa degli Stati Uniti (Art. 702 della FISA ed EO 12333) non adeguata a garantire un livello di protezione sostanzialmente equivalente a quello previsto dal regolamento europeo 679/2016.

Da più parti l’interrogativo: “Che cosa cambia per chi trasferiva dati negli Stati Uniti o in paesi terzi extra europei o si avvaleva di fornitori che appoggiano i loro servizi all’estero basandosi sulla legittimità del trasferimento su Privacy Shield? Occorre rifare tutti i contratti?”.

Con la dichiarata invalidità dell’accordo di Privacy Shield i trasferimenti sulla base di tale quadro giuridico sono illegali.

Pertanto, qualora si desideri continuare a trasferire i dati verso gli Stati Uniti, occorre verificare se ciò sia possibile secondo le condizioni di seguito indicate.

È chiaro che come espresso dal GDPR i trattamenti effettuati dal responsabile esterno per conto del titolare dovranno ancora essere disciplinati da un contratto che specifichi la durata, la natura, le finalità del trattamento, i tipi di dati trattati (art. 28) e le misure tecniche organizzative messe in atto per garantire un adeguato livello di sicurezza (art.32)

Questo accordo tra le parti è costituito dal cosiddetto “DPA” – Data Processing Agreement. Un DPA è richiesto generalmente quando il responsabile del trattamento elabora i dati personali a lui affidati per conto del titolare.

Nel caso in cui il responsabile esterno effettui anche il trasferimento dei dati in paesi extra UE, in assenza di valutazioni di adeguatezza del paese di destinazione, è necessario integrare questo contratto tra le parti prevedendo misure e garanzie ulteriori, le cosiddette Clausole contrattuali standard.

Nelle conclusioni della sentenza sopra citata, la Corte di Giustizia Europea ha dichiarato che, in seguito all’esame della decisione n. 2010/87/CE della Commissione europea, le clausole contrattuali tipo (“SCC”) mantengono la loro validità. Lo stesso vale per le norme vincolanti d’impresa, con l’aggiunta, come vedremo di seguito, di particolari valutazioni in merito all’adeguatezza del Paese di destinazione e una forte responsabilizzazione sia dei titolari del trattamento che dei responsabili esterni.

Le Clausole Contrattuali Standard (SCC – Standard Contractual Clauses) e le Norme Vincolanti D’Impresa (BCR – Binding Corporate Rules)

 

Riprendendo le definizioni che si possono trovare sul sito del Garante italiano al seguente LINK, vediamo ora in cosa consistono le Clausole Contrattuali Standard e le Norme vincolanti d’impresa.

  • Le Clausole Contrattuali Standard (“SCC – Standard Contractual Clauses”), rappresentate da clausole tipo o clausole contrattuali ad hoc per la protezione dei dati, vengono incorporate negli accordi contrattuali utilizzati per il trasferimento dei dati, stipulati tra il titolare (o il responsabile esterno) europeo esportatore dei dati e il titolare (o responsabile esterno) extra europeo importatore dei dati.
    In pratica, incorporando il testo delle clausole contrattuali in questione in un contratto utilizzato per il trasferimento, l’esportatore dei dati garantisce che questi ultimi saranno trattati conformemente ai principi stabiliti nel Regolamento anche nel Paese terzo o all’interno dell’organizzazione di destinazione. È importante sottolineare che le clausole tipo di protezione dati non ammettono modifiche e devono essere sottoscritte dalle parti. Tuttavia, esse possono essere incorporate in un contratto più generale e vi si possono aggiungere clausole ulteriori purché non in conflitto, direttamente o indirettamente, con le clausole tipo adottate.
  • Le Norme Vincolanti D’Impresa (“BCR”Binding Corporate Rules) sono, invece uno strumento volto a consentire il trasferimento di dati personali dal territorio dello Stato verso Paesi terzi nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune.
    Le BCR costituiscono un meccanismo in grado di semplificare gli oneri amministrativi a carico delle società di carattere multinazionale con riferimento ai flussi intra-gruppo di dati personali.
    Sono costituite da un documento contenente una serie di clausole che fissano i principi vincolanti espressamente individuati all’art. 47, paragrafi 1 e 2, del Regolamento UE 2016/679, al cui rispetto sono tenute tutte le entità appartenenti ad uno stesso gruppo.

È quindi ancora possibile trasferire i dati in un paese terzo extra europeo integrando i propri contratti con le Clausole contrattuali standard o le norme vincolanti d’impresa. Occorre però, a questo punto, verificare che il livello di protezione richiesto dal diritto dell’Unione europea sia rispettato nel Paese terzo in questione al fine di determinare se le garanzie fornite possano essere rispettate anche nella pratica. In caso contrario, come chiarito dalle FAQ dell’EDPB sulla sentenza Schrems II (è possibile leggere le FAQ tradotte dal Garante italiano QUI), occorre valutare se sia possibile prevedere misure supplementari da introdurre, che devono essere però stabilite caso per caso, al fine di garantire un livello di protezione sostanzialmente equivalente a quello previsto nello Spazio economico europeo. In particolare, occorre assicurarsi che la legislazione del paese terzo verso cui si trasferiscono i dati non consenta interferenze nei riguardi di tali misure supplementari con il rischio di comprometterne di fatto l’efficacia.

Qualora l’esportatore o l’importatore dei dati nel paese terzo constati che i dati trasferiti ai sensi delle SCC o delle BCR non godono delle medesime garanzie previste dall’Unione europea, occorre sospendere immediatamente i trasferimenti.

Le deroghe previste dall’articolo 49 del GPDR

 

In alternativa, qualora non sia possibile effettuare un trasferimento basandosi su una decisione di adeguatezza, sulle SCC o sulle BCR, è ancora possibile trasferire i dati personali negli Stati Uniti in base ad alcune deroghe previste dall’articolo 49 del GDPR, purché siano soddisfatte le condizioni espresse in tale articolo.

Tra le varie possibilità a disposizione è possibile decidere di basare il trasferimento sul consenso dell’interessato ma è opportuno ricordare che, quando i trasferimenti sono basati sul consenso, esso dovrebbe essere:

  • esplicito;
  • specifico, con riguardo al particolare trasferimento o insieme di trasferimenti (il che significa che l’esportatore deve assicurarsi di ottenere un consenso specifico prima che il trasferimento sia messo in atto anche se ciò avviene dopo la raccolta dei dati);
  • informato, in particolare sui possibili rischi del trasferimento (il che significa che l’interessato dovrebbe essere informato anche dei rischi specifici derivanti dal trasferimento dei dati verso un paese che non fornisce una protezione adeguata, e dell’assenza di misure di salvaguardia adeguate volte a proteggere i dati).
Oppure, è possibile anche decidere di effettuare un trasferimento dei dati per l’esecuzione di un contratto tra l’interessato e il titolare del trattamento ma occorre tenere presente che i dati personali, in questo caso, possono essere trasferiti solo su base occasionale, in maniera non ripetitiva e se riguardano un numero limitato di interessati.
Qualora venga a mancare una di queste condizioni il trasferimento di dati fondato su queste basi giuridiche diventerebbe illegittimo.
 

I responsabili esterni al trattamento

 
Infine, occorre porre particolare attenzione ai fornitori Responsabili esterni al trattamento) di cui ci si avvale, soprattutto per quanto riguarda i servizi tecnologici e di telecomunicazione e questo tenuto conto che l’annullamento del Privacy Shield si applica non solo alle Aziende poste su suolo extra UE ma anche a quelle che hanno sedi su territorio europeo ma sono controllate da società americane.
Si raccomanda quindi di effettuare un’analisi puntuale dei fornitori di servizi con cui si sono stipulati contratti. Molto spesso, infatti, tali fornitori si avvalgono a loro volta di sub fornitori, rendendo complessa la ricostruzione del percorso effettuato dai dati affidati all’esterno.
 
Il titolare ha l’obbligo di verificare che i servizi che affida all’esterno si appoggino a fornitori e sub fornitori adeguati. Così come secondo l’articolo 28 del GDPR anche il responsabile esterno ha il dovere di segnalare al titolare del trattamento se vi siano elementi che possano entrare in contrasto con la conformità normativa e deve garantire con accuratezza, perizia e diligenza la specifica di tutti i sub fornitori di cui si avvale e della loro conformità, soprattutto se effettua il trasferimento dei dati fuori dall’Unione europea.
 
Vi invitiamo a controllare, quindi, i contratti stipulati con i Vostri fornitori per verificare che l’eventuale trasferimento dei dati negli Stati Uniti o fuori dal territorio europeo sia vincolato ad una base giuridica legittima.
 
Non esitate a contattarci per avere maggiori informazioni, chiarimenti o approfondimenti per quanto concerne l’abolizione del Privacy Shield e le sue implicazioni.
Inoltre, qualora abbiate dubbi o domande sulle pratiche da adottare o sull’adeguatezza dei contratti stipulati con fornitori che trasferiscono all’estero i vostri dati o se dovessero insorgere problemi, potete contattarci direttamente per effettuare una verifica puntuale della situazione.
dpo esterno
Scopri di più sull'autore di questo articolo!

Ti è piaciuto il nostro articolo? CONDIVIDILO!

Share on facebook
Share on linkedin
Share on email
Share on print

Conosci già i nostri servizi?

Sono molti i soggetti che per legge devono nominare un DPO: aziende, partiti, sindacati, società di professionisti… anche tu sei fra gli obbligati?