La circolazione dei dati personali all’esterno dello Spazio Economico Europeo implica una serie di rischi che, in quanto tali, necessitano di un’approfondita valutazione e mitigazione con specifiche misure. Vediamo qual è lo stato dell’arte, con un focus sulla situazione degli Stati Uniti
L’evoluzione tecnologica e la globalizzazione hanno rivoluzionato l’economia e le relazioni sociali, comportando una crescita di sfide per la protezione dei dati personali. Infatti, lo sviluppo e l’utilizzo degli strumenti tecnologici a livello globale hanno favorito l’aumento della circolazione dei dati personali sia all’interno dello Spazio Economico Europeo che anche al suo esterno.
Se, però, la circolazione dei dati personali all’interno dello Spazio Economico Europeo è libera, quella realizzata esternamente al già menzionato perimetro implica una serie di rischi che, in quanto tali, necessitano di un’approfondita valutazione e mitigazione con specifiche misure. Tuttavia, per scegliere accuratamente le misure da adottare, occorre senza ombra di dubbio conoscere la disciplina attualmente in vigore oltre che le prescrizioni adottate dall’European Data Protection Board (“EDPB”).
Andiamo, quindi, a vedere insieme qual è lo stato dell’arte in tema di trasferimento di dati personali extra UE, focalizzandoci anche sulla situazione degli Stati Uniti.
Il trasferimento dei dati extra UE viene disciplinato al Capitolo V del Regolamento UE n. 2016/679 (“GDPR”). Nello specifico, la normativa europea prevede che il trasferimento dei dati personali verso i paesi non appartenenti allo Spazio Economico Europeo – ovvero i paesi appartenenti all’Unione Europea a cui si aggiungono Liechtenstein, Islanda e Norvegia – è consentito se:
la Commissione Europea ha emesso una decisione di adeguatezza nei confronti del paese in cui verrà effettuato il trasferimento, mediante la quale viene riconosciuta l’esistenza di un livello di protezione “essenzialmente equivalente” a quello assicurato all’interno dell’Unione Europea;
sono presenti garanzie adeguate ed a condizione che gli interessati dispongano di diritti esecutivi e mezzi di ricorso efficaci. Tra le garanzie adeguate rientrano:
le clausole tipo adottate dalla Commissione europea (Standard Contractual Clauses – SCC) nella versione del novembre 2022, consistenti in un accordo di natura contrattuale tra l’esportatore e l’importatore di dati;
le norme vincolanti d’impresa (Binding Corporate Rules – BCR), nel caso di un gruppo di imprese o di gruppi di società che esercitino un’attività economica congiunta;
i codici di condotta e meccanismi di certificazione.
Al di fuori dei casi sopra citati, il trasferimento può poi avere luogo in presenza di una delle deroghe disciplinate all’art. 49 del GDPR (ad esempio, qualora l’interessato abbia espresso il proprio consenso al trasferimento e a seguito di specifica informazione circa i rischi connessi allo stesso). Tuttavia, l’utilizzo di tali deroghe deve essere molto limitato ed eccezionale.
Dalla teoria alla pratica: come attuare un trasferimento di dati extra UE
In assenza di decisione di adeguatezza rispetto al paese terzo in cui si intende effettuare il trasferimento, il Titolare del trattamento può adottare una delle misure di garanzia di cui al precedente paragrafo. Prima però di procedere con il trasferimento, il Titolare deve assicurarsi che il livello di protezione del paese terzo sia effettivamente equivalente a quello europeo e, ove così non fosse, deve implementare le cd. misure supplementari di cui alla Raccomandazione 01/2020 dell’EDPB.
In che modo? Realizzando un vero e proprio assesment (cd. transfer impact assesment), che consenta di valutare lo strumento di trasferimento scelto dal Titolare alla luce del quadro giuridico e dell’applicazione pratica della legge nel paese terzo di destinazione.
Nel concreto, quindi, il Titolare dovrà:
mappare il flusso dei dati e, nello specifico, tracciare tutti quei processi che comportino un trattamento di dati personali soffermandosi, in particolare, sui possibili trasferimenti al di fuori dell’Unione Europea ed individuandone la destinazione e il rispetto dei principi privacy;
individuare lo strumento che legittimi il trasferimento di dati, tra quelli previsti al precedente paragrafo;
valutare la legge o la prassi del paese terzo in cui vengono trasferiti i dati, ponendo particolare attenzione alla disciplina dell’accesso ai dati da parte dell’autorità pubblica per fini di sorveglianza;
identificare e adottare le cd. misure supplementari, ogniqualvolta lo strumento individuato per il trasferimento non sia sufficientemente sicuroalla luce del quadro normativo adottato dal paese terzo. Tali misure possono avere carattere contrattuale (ad esempio, prevendendo contrattualmente l’obbligo di attuare misure tecniche specifiche affinché il trasferimento abbia oppure specifici obblighi di trasparenza), tecnico (ad esempio, la cifratura e la pseudonimizzazione, ma a determinate condizioni) o organizzativo (ad esempio, mediante l’adozione di adeguate politiche interne con una chiara attribuzione di responsabilità per il trasferimento dei dati, l’adozione di politiche in materia di sicurezza e riservatezza dei dati basate sulla certificazione UE o su codici di condotta o su standard internazionali);
monitorare periodicamente il livello di protezione garantito ai dati oggetto del trasferimento, così da garantire che questo resti sempre il medesimo e che non si siano verificate condizioni in grado di inficiarlo. Il tutto, ovviamente, nell’ottica del rispetto del principio di accountability, principio cardine del GDPR a cui il titolare deve sempre guardare.
Il caso Stati Uniti: a che punto siamo
Il trasferimento dei dati negli Stati Uniti continua a rappresentare un grande grattacapo per gli addetti ai lavori.
Nonostante l’annuncio dell’intesa di un nuovo accordo quadro sul trasferimento dei dati dall’Unione Europea agli Stati Uniti (c.d. Trans-Atlantic Data Privacy Framework) e la successiva firma dell’Executive Order da parte del Presidente Biden, il percorso per l’adozione di una nuova decisione di adeguatezza risulta ancora lungo e in salita.
Infatti, la bozza del testo emanata e pubblicata dalla Commissione Europea ha trovato lo stop della Commissione per le libertà civili (Commissione LIBE), che lo scorso febbraio non l’ha ritenuta adeguata al livello di protezione dei dati personali europeo, esprimendo così parere negativo.
Anche il Parlamento Europeo si è trovato in linea con quanto evidenziato dalla Commissione LIBE, affermando preoccupazione per l’adeguatezza delle leggi statunitensi sulla protezione dei dati personali ed esortando la Commissione Europea a non procedere con l’adozione della decisione ed a proseguire così con i negoziati.
Di contro, invece, la posizione dell’EDPB, che se da un lato ha accolto in modo favorevole alcune delle novità introdotte, dall’altro ha espresso notevoli preoccupazioni rispetto ad una serie di aspetti per cui sono stati richiesti chiarimenti alla Commissione Europea.
Accanto alle predette posizioni non può, poi, non essere considerato il contenuto del report relativo all’attività condotta dalla Task Force 101, nel quale si ribadisce tra le altre che, a seguito della sentenza Schrems II, il trasferimento dei dati personali tra UE a USA può sì fondarsi sulle clausole contrattuali standard, purché queste siano accompagnate da misure supplementari, che consentano di sopperire alle lacune del sistema giuridico statunitense.
Quale sarà l’epilogo? Dovremo necessariamente attendere i prossimi mesi per conoscere eventuali nuovi sviluppi.
Dello stesso parere anche la Commissione per la protezione dei dati irlandese che, nel ribadire come le clausole contrattuali standard non possano di per sé ritenersi uno strumento adeguato a compensare l’inadeguatezza nella protezione dei dati fornita dagli USA, ha sanzionato Meta con una sanzione record per aver illecitamente trasferito i dati oltre oceano.
Quale sarà l’epilogo? Dovremo necessariamente attendere i prossimi mesi per conoscere eventuali nuovi sviluppi, anche se il provvedimento emesso nei confronti di Meta potrebbe di fatto comportare ad un’accelerazione dei lavori.
Conclusioni
Sebbene il GDPR ne preveda una specifica disciplina, il Titolare del trattamento ha l’onere di garantire che il trasferimento dei dati non configuri un mezzo per indebolire la protezione dei dati garantita dalla predetta norma.
È, quindi, fondamentale che il Titolare effettui il trasferimento solo dopo aver preso coscienza dei flussi ed aver avviato un vero e proprio assesment circa lo strumento di trasferimento più opportuno a consentire un livello di protezione dei dati equivalente a quanto previsto dal GDPR.
Su questo sito utilizziamo cookie tecnici necessari alla navigazione e funzionali all’erogazione del servizio.
Utilizziamo i cookie anche per fornirti un’esperienza di navigazione sempre migliore, per facilitare le interazioni con le nostre funzionalità social e per consentirti di ricevere comunicazioni di marketing aderenti alle tue abitudini di navigazione e ai tuoi interessi.
Puoi esprimere il tuo consenso cliccando su ACCETTA TUTTI I COOKIE. Chiudendo questa informativa, continui senza accettare.
Potrai sempre gestire le tue preferenze accedendo al nostro COOKIE CENTER e ottenere maggiori informazioni sui cookie utilizzati, visitando la nostra COOKIE POLICY.
ACCETTA
PIÙ OPZIONI
Cookie Center
ACCETTA TUTTO
RIFIUTA TUTTO
Tramite il nostro Cookie Center, l'utente ha la possibilità di selezionare/deselezionare le singole categorie di cookie che sono utilizzate sui siti web.
Per ottenere maggiori informazioni sui cookie utilizzati, è comunque possibile visitare la nostra COOKIE POLICY.
ACCETTA TUTTO
RIFIUTA TUTTO
COOKIE TECNICI
Strettamente necessari
I cookie tecnici sono necessari al funzionamento del sito web perché abilitano funzioni per facilitare la navigazione dell’utente, che per esempio potrà accedere al proprio profilo senza dover eseguire ogni volta il login oppure potrà selezionare la lingua con cui desidera navigare il sito senza doverla impostare ogni volta.
COOKIE ANALITICI
I cookie analitici, che possono essere di prima o di terza parte, sono installati per collezionare informazioni sull’uso del sito web. In particolare, sono utili per analizzare statisticamente gli accessi o le visite al sito stesso e per consentire al titolare di migliorarne la struttura, le logiche di navigazione e i contenuti.
COOKIE DI PROFILAZIONE E SOCIAL PLUGIN
I cookie di profilazione e i social plugin, che possono essere di prima o di terza parte, servono a tracciare la navigazione dell’utente, analizzare il suo comportamento ai fini marketing e creare profili in merito ai suoi gusti, abitudini, scelte, etc. In questo modo è possibile ad esempio trasmettere messaggi pubblicitari mirati in relazione agli interessi dell’utente ed in linea con le preferenze da questi manifestate nella navigazione online.
