Trasferire dati personali all’estero è ancora legale? Il punto post Schrems II con il DPO Valentina Apruzzi

Il trasferimento di dati al di fuori dell’Unione Europea è un tema molto importante vista la rilevante porzione di aziende e pubbliche amministrazioni che si affida a servizi cloud allocati, almeno dal punto di vista giuridico, fuori da quei territori dove vige il GDPR. La sentenza Schrems II oggi obbliga chi “esporta” informazioni a farlo in maniera motivata, vista la distanza tra gli scenari normativi europei e quelli statunitensi.

In questa seconda intervista a Valentina Apruzzi, DPO esperta di legge e in particolare del suo incrocio con il tema del digitale, l’occasione per saperne di più anche in virtù delle nuove clausole contrattuali standard (NCCS) in vigore dal 4 giugno 2021.

Avvocato, a seguito della Sentenza Schrems II e degli ultimi provvedimenti della Commissione Europea, è ancora possibile trasferire in modo lecito i dati fuori dal territorio UE?

Il tema è spinoso ma, rispetto ad un anno fa, quando è stata emanata la Sentenza Schrems II, esistono strumenti a disposizione per poter effettuare un trasferimento di dati personali fuori dal SEE. Ci sono cautele da adottare e adempimenti da svolgere ma, nella sostanza, con un approccio critico e documentato, è possibile  effettuare i trasferimenti. Ho avuto modo di affrontare il tema con alcuni colleghi nel gruppo di studio dell’Associazione Nazionale per la Protezione dei Dati e abbiamo reso una relazione a riguardo.

Può spiegarci meglio?

A seguito della decisione della Corte di Giustizia dell’Unione Europea (“CGUE”) nella causa C-311/18 del 16 luglio 2020, le operazioni di trasferimento dei dati verso destinatari in Paesi extra SEE per i quali non fosse stata adottata dalla Commissione UE una decisione di adeguatezza sembravano destinate a rimanere vietate poiché parte delle misure previste dal GDPR a garanzia del trasferimento risultavano impraticabili.  Mi riferisco, in particolare, al “Privacy Shield” (per i trasferimenti verso destinatari in USA) e alle clausole contrattuali standard approvate dalla Commissione Europea (“SCC”).

Il problema nasceva dal fatto che la sentenza ha dichiarato che i requisiti previsti dal GDPR in materia di garanzie adeguate, diritti opponibili e mezzi di ricorso effettivi, devono essere interpretati nel senso che gli interessati, i cui dati personali sono trasferiti verso un paese terzo mediante uso delle SCC, devono godere di un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’UE dal GDPR. Tale livello di protezione deve prendere in considerazione sia quanto stipulato contrattualmente tra l’esportatore dei dati europeo e il destinatario del trasferimento stabilito nel paese terzo, sia gli elementi del sistema giuridico di tale paese in contrasto con i principi di diritto applicati nell’UE e in particolare della Carta dei Diritti Fondamentali dell’Unione Europea. Il riferimento agli eventuali accessi da parte delle pubbliche Autorità di paesi terzi, come riscontrato per gli USA, costituisce il binario da seguire per l’interpretazione della pronuncia.

Sempre la CGUE, tracciando la strategia per le misure da adottare, ha stabilito che spetti all’esportatore dei dati “procedere ad una valutazione dell’adeguatezza del livello di protezione garantito dai paesi terzi verso i quali potrebbero essere trasferiti dati personali” e che spetti invece al titolare o al responsabile del trattamento “provvedere a compensare la carenza di protezione dei dati in un paese terzo con adeguate garanzie a tutela dell’interessato” con la possibilità di aggiungere altre clausole o garanzie.

Si può comprendere facilmente quanto la sentenza abbia portato scompiglio tra gli operatori, soprattutto tra le realtà aziendali di piccole dimensioni con ridotto budget da impiegare per svolgere le indagini e gli approfondimenti richiesti. Tra i  primi effetti della sentenza, i grossi player USA che raccolgono dati in UE hanno semplicemente eliminato la menzione nelle privacy policy del Privacy Shield e adottato tout court le SCC esistenti spergiurando di non fornire i dati a pubbliche Autorità,  senza però avere alcuno strumento per opporvisi.

Dall’altro lato, gli esportatori ci hanno creduto o hanno fatto finta di crederci, pur di poter usufruire dei servizi in uno stato di incertezza assoluta. Ovviamente questa situazione non ha riguardato solo le aziende italiane e in alcuni casi le Autorità di Controllo non hanno perso tempo a vietare tali condotte, come nel caso di MailChimp, provider di servizi per il marketing.

Quali sono le novità e i cambiamenti più recenti sul tema?

Il 10 novembre l’EDPB (European Data Protection Board) ha pubblicato e posto in pubblica consultazione le “Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data”, che contengono le prime linee guida per individuare un metodo e gli strumenti a disposizione per effettuare i trasferimenti in compliance con la normativa. Inoltre, la Commissione Europea ha approvato, con decisione del 4 giugno 2021, un nuovo set di clausole contrattuali standard,  le nuove “SCC”, da utilizzarsi a garanzia del trasferimento ex art. 46 GDPR.

Quindi, da una parte l’EDPB ha chiarito cosa deve intendersi per trasferimento, quali misure sarebbero necessarie per eliminare o contenere il rischio di trasferimenti illeciti e, dall’altra, la Commissione ha fornito uno strumento di immediata applicazione.

Come possono essere utilizzati questi nuovi strumenti dagli “esportatori” di dati?

Le raccomandazioni e le nuove SCC permettono di tracciare un breve percorso per supportare chi volesse trasferire dati personali fuori dal SEE in sicurezza.

• Innanzitutto, è necessario partire dal censimento dei trasferimenti, diretti e indiretti, attuati dal responsabile o sub-responsabile: quali trattamenti comportano un trasferimento di dati extra SEE? Il board coglie l’occasione per chiarire che anche la semplice possibilità di accesso, magari per motivi di manutenzione ad un’infrastruttura in cloud, costituisce un trasferimento e soggiace al divieto di trasferimento extra SEE, salvo che il fornitore non offra sufficienti garanzie contrattuali rispetto al fatto che i dati non saranno oggetto di trattamento nel Paese Terzo o che il trasferimento avverrà nel rispetto della normativa.

• Una volta individuati i trattamenti, ove il trattamento non sia meramente occasionale, sarà necessario verificare l’esistenza di una decisione di adeguatezza emanata dalla Commissione (l’elenco è pubblico e presente sul sito della Commissione e del nostro Garante) rispetto al paese destinatario dei dati e, in mancanza, individuare lo strumento giuridico idoneo tra quelli previsti dall’art. 46 GDPR dopo averne valutato l’impatto svolgendo una valutazione ad hoc (“DTIA” – Data Transfer Impact Assessment). In questo contesto si inseriscono le nuove SCC applicabili in accordo con il soggetto importatore dei dati per la cui adozione tuttavia occorrerà prima assumere informazioni e valutare, caso per caso, l’assetto complessivo dell’ordinamento giuridico del paese importatore, non solo il quadro normativo ma anche il relativo rischio associato con particolare attenzione alla possibilità di accesso alle informazioni da parte delle Autorità pubbliche. Quanto all’adozione delle SCC è la stessa Commissione a spiegare che le clausole contrattuali standard combinano clausole generali con un approccio modulare per rispondere ai diversi scenari di trasferimento e alla complessità delle moderne catene di trattamento. Si presentano in moduli tra cui il titolare è chiamato a scegliere in base alla applicabilità alla propria situazione e al ruolo assunto nell’ambito del trasferimento. La loro applicazione tuttavia non è semplice come si potrebbe ipotizzare perché la scelta dei moduli richiede valutazioni fattuali e giuridiche piuttosto complesse.

• Se il trasferimento extra SEE non è basato su garanzie idonee e sufficienti per una tutela “equivalente”, occorrerà individuare e documentare le misure supplementari adottate. La tutela equivalente potrà passare attraverso l’adozione di misure tecniche (es. crittografia con riserva della chiave nella mani dell’esportatore, anonimizzazione, pseudonimizzazione, elaborazione parziale) e di altre misure contrattuali ed organizzative. Per escludere il trasferimento non è pertanto sufficiente che il fornitore-responsabile abbia i propri server all’interno del SEE ma occorrerà anche che lo stesso garantisca di non effettuare accessi ai server da un paese esterno allo SEE. In assenza di equivalenza non si potrà far altro che interrompere o non dare avvio al trasferimento ordinando la restituzione o la cancellazione dei dati all’importatore.

• L’adozione di una procedura formale, da tenere costantemente monitorata e aggiornata, è certamente di grande ausilio per evitare di commettere errori o dimenticare di tenere in considerazione aspetti rilevanti e poter documentare il processo svolto internamente.

Può esserci un impatto sui servizi in cloud resi extra SEE?

Certamente, poiché un fornitore di servizi in cloud può essere situato in un paese extra SEE e, conseguentemente, il trattamento sarebbe soggetto alla normativa e ai vincoli di cui abbiamo parlato. Se il paese di importazione non è considerato adeguato dalla Commissione UE, fatte salve le eccezioni previste dall’art. 49 GDPR (occasionalità, necessità, consenso), sarà indispensabile applicare una delle garanzie di adeguatezza previste dalla normativa e, volendo utilizzare le nuove SCC, integrarle con misure supplementari.

Ad esempio, l’Annex II delle Raccomandazioni EDPB, nell’elencare alcuni casi e le possibili soluzioni, fa espresso riferimento ai fornitori di servizi in cloud menzionando sia il servizio di backup che non necessita di dati in chiaro (caso 1), sia il servizio che invece processa dati in chiaro (caso 6) e sancisce che il trasferimento può ritenersi sicuro solo in presenza di un sistema di cifratura avente le seguenti caratteristiche:

• i dati personali prima di essere trasferiti vengono crittografati con tecniche avanzate;
• l’algoritmo di crittografia e i parametri (inclusa la lunghezza della chiave) sono conformi rispetto allo stato dell’arte e possono essere considerati robusti in caso di tentativi di decrittazione eseguita dalle pubbliche Autorità nel paese importatore;
• la robustezza della crittografia tiene conto del periodo di tempo specifico durante il quale deve essere preservata la riservatezza dei dati personali crittografati;
• l’algoritmo di crittografia è implementato in modo impeccabile da un software correttamente mantenuto la cui conformità alle specifiche dell’algoritmo scelto è stata verificata, ad esempio mediante certificazione;
• le chiavi sono gestite in modo affidabile (generate, amministrate, archiviate, se pertinente, collegate all’identità di un destinatario previsto e revocate);
• le chiavi sono conservate esclusivamente sotto il controllo dell’esportatore di dati o di altre entità incaricate di questo compito che risiedono nel SEE o in un paese terzo, inteso come territorio o uno o più settori specificati all’interno di un paese terzo ritenuto adeguato.
 

Come detto, di tutto questo dovrà esserci una valutazione preventiva, un accordo espresso con il fornitore, nonché procedure e monitoraggio continuo rispetto al trattamento.

Le Big Tech U.S.A. si sono adeguate?

Non mi risulta, ma la complessità dei trattamenti e gli interessi in gioco rendono difficile pensare che possano, al momento, adeguarsi alla visione del legislatore europeo e, a detta degli esperti del settore, le conseguenze in termini di perdita di utenti si sono già manifestate.

Il mio consiglio è di rivolgersi a consulenti esperti nella selezione dei servizi che possono comportare trasferimenti di dati all’estero, svolgere le valutazioni, documentarle e tenere strettamente monitorato il trattamento. Ritengo che la normativa e la prassi subiranno ancora molte variazioni e le sanzioni sono salatissime.