Conservazione dei dati all’estero e GDPR, le ultime novità

Conservazione dei dati all’estero e GDPR, le ultime novità

Sei conforme al GDPR? Conosci l' importanza del DPO? Conservazione dei dati

Aggiornamenti sulle normative a cura dell’avvocato e DPO Valentina Apruzzi, collaboratrice di Utixo.

Premessa

Con la sentenza Schrems II la Corte di Giustizia Europea ha definitivamente spazzato via l’assetto normativo in materia di trasferimento e conservazione dei dati all’estero. La CGUE ha sancito la centralità del GDPR e spinto il legislatore europeo a concentrarsi sulla sostanza dei trattamenti. Inoltre, dovrà definire specifiche misure essenziali al trasferimento dei dati personali al di fuori dello spazio economico europeo. Dunque, sorge spontanea una domanda: trasferire i dati oltre i confini dell’UE in maniera legale è ancora possibile? 

Il trasferimento e la conservazione dei dati al di fuori dell’Unione Europea è un tema molto importante. Si nota anche in base alla rilevante porzione di aziende e pubbliche amministrazioni che si affida a servizi cloud allocati, almeno dal punto di vista giuridico, fuori da quei territori dove vige il GDPR. La sentenza Schrems II oggi obbliga chi “esporta” informazioni a farlo in maniera motivata. Questo perchè la distanza tra gli scenari normativi europei e quelli statunitensi è rilevante.

Questa è l’occasione per saperne di più anche in virtù delle nuove clausole contrattuali standard (NCCS) in vigore dal 4 giugno 2021.

A seguito della Sentenza Schrems II e degli ultimi provvedimenti della Commissione Europea, è ancora possibile trasferire in modo lecito i dati fuori dal territorio UE?

Il tema è spinoso ma, rispetto ad un anno fa, quando è stata emanata la Sentenza Schrems II, esistono strumenti a disposizione per poter effettuare un trasferimento di dati personali fuori dal SEE. Ci sono cautele da adottare ed adempimenti da svolgere, ma nella sostanza, con un approccio critico e documentato, è possibile effettuare i trasferimenti. Ho avuto modo di affrontare il tema con alcuni colleghi nel gruppo di studio dell’Associazione Nazionale per la Protezione dei Dati e abbiamo reso una relazione a riguardo.

A seguito della decisione della Corte di Giustizia dell’Unione Europea (“CGUE”) nella causa C-311/18 del 16 luglio 2020, le operazioni di trasferimento dei dati verso destinatari in Paesi extra SEE sembravano destinate a rimanere vietate. Per questi non era ancora stata adottata dalla Commissione UE una decisione di adeguatezza.  Tutto ciò perchè parte delle misure previste dal GDPR a garanzia del trasferimento risultavano impraticabili. Mi riferisco, in particolare, al “Privacy Shield” (per i trasferimenti verso destinatari in USA) e alle clausole contrattuali standard (“SCC”) approvate dalla Commissione Europea.

Perchè non sarebbe più possibile la conservazione dei dati all'estero?

Il problema nasceva dal fatto che la sentenza ha dichiarato che i requisiti previsti dal GDPR in materia di garanzie adeguate, diritti opponibili e mezzi di ricorso effettivi, devono essere interpretati nel senso che gli interessati, i cui dati personali sono trasferiti verso un paese terzo mediante uso delle SCC, devono godere di un livello di protezione equivalente a quello garantito all’interno dell’UE dal GDPR. Tale livello di protezione deve prendere in considerazione sia quanto stipulato contrattualmente tra l’esportatore dei dati europeo e il destinatario del trasferimento stabilito nel paese terzo, sia gli elementi del sistema giuridico di tale paese in contrasto con i principi di diritto applicati nell’UE e in particolare della Carta dei Diritti Fondamentali dell’Unione Europea. Il riferimento agli eventuali accessi da parte delle pubbliche Autorità di paesi terzi, come riscontrato per gli USA, costituisce il binario da seguire per l’interpretazione della pronuncia.

Sempre la CGUE, tracciando la strategia per le misure da adottare, ha stabilito che spetti all’esportatore dei dati “procedere ad una valutazione dell’adeguatezza del livello di protezione garantito dai paesi terzi verso i quali potrebbero essere trasferiti dati personali”. Inoltre, ha precisato che è compito del titolare o del responsabile del trattamento “provvedere a compensare la carenza di protezione dei dati in un paese terzo con adeguate garanzie a tutela dell’interessato” con la possibilità di aggiungere altre clausole o garanzie.

E’ all’esportatore di dati che spetta analizzare se il loro trasferimento al di fuori dell’Europa garantisce protezione. D’altro canto, i grossi player USA hanno semplicemente omesso di menzionare il Privacy Shield nelle loro Privacy Policy. La complessità dei trattamenti e gli interessi in gioco rendono difficile pensare che questi possano, al momento, adeguarsi alla visione del legislatore europeo.

Si può comprendere facilmente quanto la sentenza abbia portato scompiglio tra gli operatori, soprattutto tra le realtà aziendali di piccole dimensioni con ridotto budget da impiegare per svolgere le indagini e gli approfondimenti richiesti. Tra i primi effetti della sentenza, i grossi player USA che raccolgono dati in UE hanno semplicemente eliminato la menzione nelle privacy policy del Privacy Shield. Inoltre, hanno adottato tout court le SCC esistenti spergiurando di non fornire i dati a pubbliche Autorità, senza però avere alcuno strumento per opporvisi.

Dall’altro lato, gli esportatori ci hanno creduto o hanno fatto finta di crederci, pur di poter usufruire dei servizi in uno stato di incertezza assoluta. Ovviamente questa situazione non ha riguardato solo le aziende italiane. In alcuni casi le Autorità di Controllo non hanno perso tempo a vietare tali condotte, come nel caso di MailChimp, provider di servizi per il marketing.

Quali sono le novità e i cambiamenti più recenti riguardanti la conservazione dei dati all'estero?

Il 10 novembre l’EDPB (European Data Protection Board) ha pubblicato e posto in pubblica consultazione le “Recommendations 01/2020 on measures that supplement transfer tools to make surecompliance with the EU level of protection of privatedata”. Queste contengono le prime linee guida per individuare un metodo e gli strumenti a disposizione per effettuare i trasferimenti in compliance con la normativa. Inoltre, la Commissione Europea ha approvato, con decisione del 4 giugno 2021, un nuovo set di clausole contrattuali standard, le nuove “SCC”, da utilizzarsi a garanzia del trasferimento ex art. 46 GDPR.

Quindi, da una parte l’EDPB ha chiarito cosa deve intendersi per trasferimento, quali misure sarebbero necessarie per eliminare o contenere il rischio di trasferimenti illeciti e, dall’altra, la Commissione ha fornito uno strumento di immediata applicazione.

Come possono essere utilizzati questi nuovi strumenti dagli “esportatori” di dati?

Le raccomandazioni e le nuove SCC permettono di tracciare un breve percorso per supportare chi volesse trasferire dati personali fuori dal SEE in sicurezza.

Innanzitutto, è necessario partire dal censimento dei trasferimenti, diretti e indiretti, attuati dal responsabile o sub-responsabile. Quali trattamenti comportano un trasferimento di dati extra SEE? Il board coglie l’occasione per chiarire che anche la semplice possibilità di accesso, magari per motivi di manutenzione, ad un’infrastruttura in cloud, costituisce un trasferimento e soggiace al divieto di trasferimento extra SEE. Viene fatta eccezione quando il fornitore non offre sufficienti garanzie contrattuali rispetto al fatto che i dati non sono oggetto di trattamento nel Paese Terzo o che il trasferimento avviene nel rispetto della normativa.

Una volta individuati i trattamenti, ove il trattamento non sia meramente occasionale, sarà quindi necessario verificare l’esistenza di una decisione di adeguatezza emanata dalla Commissione (l’elenco è pubblico e presente sul sito della Commissione e del nostro Garante) rispetto al paese destinatario dei dati. Nel caso di mancanza, bisogna individuare lo strumento giuridico idoneo tra quelli previsti dall’art. 46 GDPR dopo averne valutato l’impatto svolgendo una valutazione unplanned (“DTIA” – Data Transfer Impact Assessment). In questo contesto si inseriscono le nuove SCC applicabili in accordo con il soggetto importatore dei dati. Per l’adozione di questi, tuttavia, occorrerà prima assumere informazioni e valutare, caso per caso, l’assetto complessivo dell’ordinamento giuridico del paese importatore. Non è sufficiente solo il quadro normativo, ma anche il relativo rischio associato con particolare attenzione alla possibilità di accesso alle informazioni da parte delle Autorità pubbliche. Quanto all’adozione delle SCC, è la stessa Commissione a spiegare che le clausole contrattuali standard combinano clausole generali con un approccio modulare per rispondere ai diversi scenari di trasferimento e alla complessità delle moderne catene di trattamento. Si presentano in moduli tra cui il titolare è chiamato a scegliere in base all’applicabilità alla propria situazione e al ruolo assunto nell’ambito del trasferimento. La loro applicazione tuttavia non è semplice come si potrebbe ipotizzare perché la scelta dei moduli richiede valutazioni fattuali e giuridiche piuttosto complesse.

Se il trasferimento extra SEE non è basato su garanzie idonee e sufficienti per una tutela “equivalente”, occorrerà individuare e documentare le misure supplementari adottate. La tutela equivalente potrà passare attraverso l’adozione di misure tecniche (es. crittografia con riserva della chiave nella mani dell’esportatore, anonimizzazione, pseudonimizzazione, elaborazione parziale) e di altre misure contrattuali ed organizzative. Per escludere il trasferimento non è pertanto sufficiente che il fornitore-responsabile abbia i propri server all’interno del SEE. Infatti, occorrerà anche che lo stesso garantisca di non effettuare accessi ai server da un paese esterno allo SEE. In assenza di equivalenza non si potrà far altro che interrompere o non dare avvio al trasferimento ordinando la restituzione o la cancellazione dei dati all’importatore.

L’adozione di una procedura formale, da tenere costantemente monitorata e aggiornata, è certamente di grande ausilio. Permette di evitare di commettere errori o dimenticare di tenere in considerazione aspetti rilevanti e poter documentare il processo svolto internamente.

Può esserci un impatto sui servizi in cloud resi extra SEE?

Certamente, poiché un fornitore di servizi in cloud può essere situato in un paese extra SEE e, conseguentemente, il trattamento sarebbe soggetto alla normativa e ai vincoli di cui abbiamo parlato. Se il paese di importazione non è considerato adeguato dalla Commissione UE, fatte salve le eccezioni previste dall’art. 49 GDPR (occasionalità, necessità, consenso), sarà indispensabile applicare una delle garanzie di adeguatezza previste dalla normativa. Inoltre, volendo utilizzare le nuove SCC, bisognerà integrarle con misure supplementari.

Ad esempio, l’Annex II delle Raccomandazioni EDPB, nell’elencare alcuni casi e le possibili soluzioni, fa espresso riferimento ai fornitori di servizi in cloud. Infatti, menziona sia il servizio di backup che non necessita di dati in chiaro (caso 1), sia il servizio che invece processa dati in chiaro (caso 6). Quest’ultimo sancisce che il trasferimento può ritenersi sicuro solo in presenza di un sistema di cifratura avente le seguenti caratteristiche:

  • I dati personali prima di essere trasferiti vengono crittografati con tecniche avanzate.
  • L’algoritmo di crittografia e i parametri (inclusa la lunghezza della chiave) sono conformi rispetto allo stato dell’arte e possono essere considerati robusti in caso di tentativi di decrittazione eseguita dalle pubbliche Autorità nel paese importatore.
  • La robustezza della crittografia tiene conto del periodo di tempo specifico durante il quale deve essere preservata la riservatezza dei dati personali crittografati.
  • L’algoritmo di crittografia è implementato in modo impeccabile da un software correttamente mantenuto la cui conformità alle specifiche dell’algoritmo scelto è stata verificata, ad esempio mediante certificazione.
  • Le chiavi sono gestite in modo affidabile (generate, amministrate, archiviate, se pertinente, collegate all’identità di un destinatario previsto e revocate).
  • Le chiavi sono conservate esclusivamente sotto il controllo dell’esportatore di dati o di altre entità incaricate di questo compito. Queste risiedono nel SEE o in un paese terzo, inteso come territorio o uno o più settori specificati all’interno di un paese terzo ritenuto adeguato.

Come detto, di tutto questo dovrà esserci una valutazione preventiva, un accordo espresso con il fornitore, nonché procedure e monitoraggio continuo rispetto al trattamento.

Le Big Tech U.S.A. (Microsoft, Google, Facebook, Mailchimp, etc) si sono adeguate?

Non mi risulta, ma la complessità dei trattamenti e gli interessi in gioco rendono difficile pensare che possano, al momento, adeguarsi alla visione del legislatore europeo. Inoltre, a detta degli esperti del settore, le conseguenze in termini di perdita di utenti si sono già manifestate.

Il mio consiglio è di rivolgersi a consulenti esperti nella selezione dei servizi che possono comportare trasferimenti di dati all’estero, svolgere le valutazioni, documentarle e tenere strettamente monitorato il trattamento. Ritengo che la normativa e la prassi subiranno ancora molte variazioni e le sanzioni sono salatissime.

Torna in alto

Subscribe To Our Newsletter








Powered by Utixo Pulse
Icona Utixo

Modulo contatto Utixo