Il 4 marzo 2022, l’European Data Protection Board (Comitato Europeo per la protezione dei dati – EDPB) ha annunciato di aver adottato le linee guida 04/2021 sui codici di condotta come strumenti per i trasferimenti di dati ai sensi del Regolamento UE 2016/679 (GDPR), a completamento ed integrazione di quanto già prescritto dalle precedenti linee guida 01/2019.
Il provvedimento in parola fornisce chiarimenti sull’impiego dei codici di condotta di cui all’articolo 40, paragrafo 3, 46, paragrafo 2, lettera e), del GDPR, con un focus sugli attori coinvolti nella redazione, sul contenuto dei principi essenziali e dei diritti ed obblighi in capo a titolari e responsabili del trattamento, oltre che sulle garanzie da adottare per il trasferimento dei dati e sulle tappe salienti del processo di adozione di tali strumenti normativi.
Trasferimento dati extra UE, cosa sta succedendo dopo Schrems II
Il contesto
Una delle precipue finalità del Regolamento (UE) 2016/6791 (di seguito anche “GDPR” o “Regolamento”) è quella di garantire un livello coerente di protezione dei dati in tutto il territorio dell’Unione Europea e di prevenire disparità che possano ostacolare la libera circolazione dei dati personali nel mercato interno.
Il GDPR statuisce, come ormai noto, il principio di “accountability” (responsabilizzazione), alla stregua del quale il titolare del trattamento ha l’onere di conformarsi ai dettami del Regolamento, documentando tutto quanto venga effettuato in osservanza delle regole contenute all’interno dello stesso.
Le disposizioni degli articoli 40 e 41 – che incoraggiano “l’elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del presente regolamento, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese” – costituiscono un metodo pratico per acquisire maggiori livelli di coerenza nella tutela dei diritti in materia di protezione dei dati. Da un lato, contribuiscono a colmare gli eventuali divari di armonizzazione esistenti tra gli Stati membri in tema di tutela dei dati personali; dall’altro consentono ad aziende ed organismi di varia natura, operanti in settori specifici, di analizzare le attività comuni di trattamento dei dati e di concordare regole ad hoc in un’ottica di data protection.
Lo scopo delle linee guida 4/2021
Le predette “Guidelines on Codes of Conduct as a tool for transfers” – il cui testo ufficiale è stato divulgato lo scorso 4 marzo – ad integrazione delle precedenti linee guida EDPB 1/2019 introdotte il 12 febbraio 2019 – rinvengono la propria origine nell’esigenza del mercato di ricercare soluzioni che salvaguardino le aziende, le associazioni e, più in generale, gli operatori del mercato, dai rischi di un trasferimento dati extra-UE, specie a seguito del “terremoto” causato dalla famigerata sentenza “Schrems II”.
L’obiettivo è quello di definire l’alveo applicativo dell’articolo 40, paragrafo 3, del GDPR concernente i codici di condotta come garanzia adeguata per i trasferimenti di dati personali verso paesi terzi in conformità con l’articolo 46 paragrafo 2 lettera e) del Regolamento.
Nondimeno, non si tratta unicamente della chiarificazione del contesto normativo di riferimento dei codici di condotta. Le linee guida in esame, difatti, mostrano l’ambizioso fine di assurgere a guida pratica, includendo una checklist contenente gli elementi imprescindibili per la redazione dei codici di condotta per il trasferimento di dati, oltre al loro processo di adozione e agli attori coinvolti.
Non solo: dovrebbero, inoltre, fungere da chiaro riferimento per tutte le autorità di controllo dei singoli stati membri e per il “Board”, oltre che da strumento che coadiuvi la Commissione Europea nella valutazione dei codici, in modo da snellire e velocizzare la procedura di ammissione.
I codici di condotta come strumento per i trasferimenti
A mente dell’art. 46 del GDPR, in mancanza di una decisione di adeguatezza, “il titolare del trattamento o il responsabile del trattamento può trasferire dati personali verso un paese terzo o un’organizzazione internazionale solo se ha fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi”. A tal fine, il GDPR diversifica le garanzie appropriate che possono essere utilizzate dalle organizzazioni ai sensi dell’articolo 46 per inquadrare i trasferimenti verso paesi terzi, introducendo tra l’altro i codici di condotta come nuovo meccanismo di trasferimento.
A questo proposito, una volta approvato dall’autorità di controllo competente ed avendo ottenuto il benestare della Commissione per quel che concerne la sua validità generale all’interno dell’Unione, un codice di condotta può essere utilizzato da responsabili del trattamento o incaricati del trattamento che rinvengano la propria sede in paesi terzi, al fine di fornire garanzie adeguate per il trasferimento dei dati in territorio extra-UE.
Pertanto, “detti titolari del trattamento o responsabili del trattamento assumono l’impegno vincolante e azionabile, mediante strumenti contrattuali o di altro tipo giuridicamente vincolanti, di applicare le stesse adeguate garanzie anche per quanto riguarda i diritti degli interessati”.
Inoltre, come previsto dall’art. 40 paragrafo 2 del GDPR – e già opportunamente precisato dalle linee guida 1/2019 – i codici di condotta possono essere abbozzati da associazioni o altri organismi che rappresentano categorie di titolari o responsabili (proprietari del codice), agglomerati settoriali, organizzazioni accademiche e gruppi di interesse e potrebbero, altresì, riguardare settori specifici che presentino un’attività di trattamento comune e condividano le stesse caratteristiche ed esigenze di trattamento.
Tali codici permetterebbero, dunque, ai responsabili del trattamento collocati nei paesi terzi, che ricevono i dati nel contesto del codice di condotta, di disciplinare i trasferimenti gestendo al meglio le necessità di trattamento del loro settore, contribuendo ad armonizzare il quadro normativo delle attività di trattamento comuni.
Inoltre, come disposto nelle linee guida, nella parte introduttiva, “un codice destinato ai trasferimenti a cui aderisce un importatore di dati in un paese terzo può essere invocato dai responsabili del trattamento/incaricati soggetti al GDPR (cioè gli esportatori di dati) per rispettare i loro obblighi in caso di trasferimenti verso paesi terzi conformemente al GDPR senza la necessità che tali responsabili del trattamento/incaricati aderiscano essi stessi a tale codice”.
Ciò significa che un codice di condotta potrebbe includere anche i trasferimenti tra titolari/responsabili che non aderiscono a tale codice e titolari/responsabili in un paese terzo che vi abbiano aderito, a condizione che l’impegno a rispettare gli obblighi previsti dal codice di condotta, anche per quanto riguarda i diritti degli interessati sia incluso in uno strumento vincolante.
In altre parole, l’importatore di dati nel paese terzo deve aderire al codice previsto per i trasferimenti, mentre gli esportatori di dati soggetti al GDPR non devono necessariamente aderire a tale codice, quindi, in estrema sintesi, i gruppi di aziende che trasferiscono i dati da entità soggette al GDPR ad altre presenti al di fuori del SEE possono anche utilizzare un codice di condotta come strumento di trasferimento se le entità al di fuori del SEE hanno aderito a tale codice destinato ai trasferimenti e hanno assunto impegni vincolanti ed esecutivi relativi al trasferimento.
Quali sono i contenuti e le garanzie minimi di un codice di condotta?
Come anticipato, il codice di condotta finalizzato ai trasferimenti è uno degli strumenti che può essere adottato dalle organizzazioni che svolgono particolari attività di trattamento dei dati per fornire garanzie adeguate per i trasferimenti di dati personali verso un paese terzo conformemente all’articolo 46 GDPR.
Più specificamente, in termini di contenuto, è opportuno tener conto dei principi essenziali, dei diritti e degli obblighi derivanti dal GDPR per i titolari/responsabili e delle garanzie che sono specifiche al contesto dei trasferimenti.
L’EDPB, sotto tale profilo, cerca di fornire un supporto pratico, individuando una checklist nella quale vengono riportati gli elementi necessari per la creazione di un codice di condotta destinato ai trasferimenti.
Secondo il “Board”, l’aspetto oggettivo di un codice di condotta non può prescindere dai seguenti requisiti:
- descrizione dei trasferimenti di dati;
- natura dei dati trasferiti;
- categorie di interessati;
- paesi di importazione/esportazione;
- descrizione dei principi di protezione dei dati da rispettare, quindi trasparenza, correttezza e liceità, limitazione delle finalità, minimizzazione dei dati, precisione, ecc;
- misure adottate per rispettare il principio di accountability;
- dimostrazione concreta e documentata di un’adeguata governance attraverso l’attività proattiva del DPO o del personale preposto al rispetto degli obblighi in materia di protezione dei dati personali;
- esistenza di un adeguato programma di formazione sulla protezione dei dati;
- previsione di un audit sul grado di maturità acquisito in relazione alla protezione dei dati, condotto da revisori interni o esterni;
- le misure adottate per rispettare il principio di trasparenza;
- il riconoscimento all’interessato dell’esercizio dei diritti di cui agli artt. 15 e ss. del Regolamento.
Per quel che afferisce al profilo delle garanzie, va osservato che il GDPR richiede, come più volte finora asserito, che i responsabili e gli incaricati del trattamento non soggetti al Regolamento che aderiscono a un codice finalizzato ai trasferimenti assumano “l’impegno vincolante ed azionabile”, tramite strumenti contrattuali o altri strumenti giuridicamente vincolanti, di applicare le garanzie appropriate previste dal codice “anche per quanto riguarda i diritti degli interessati” (art. 40, par. 3).
Da ciò, a parere dell’EDPB, deriva la necessità di assicurare che l’impegno “ad aderire a un livello specificato di protezione dei dati garantisca che il livello di protezione dei dati previsto dal GDPR non sia compromesso. Questo è un prerequisito per la loro ammissibilità a partecipare al codice di condotta come strumento di trasferimento” (punto 30 delle Linee guida in commento).
Va da sé che il contratto o lo strumento di regolamentazione dei rapporti che sia adottato debba stabilire con precisione quali garanzie vengano adottate a tutela degli impegni vincolanti ed esecutivi assunti, anche e soprattutto nell’ipotesi di violazione da parte del responsabile/incaricato.
Tali misure, come indicato dal punto 35, possono consistere in:
- riconoscimento del diritto per gli interessati i cui dati sono trasferiti in base al codice di far valere le regole del codice come terzi beneficiari;
- modalità di attribuzione della responsabilità in caso di violazioni delle norme del codice da parte di membri al di fuori del SEE, mediante la previsione di una clausola “attributiva di competenza giurisdizionale che indica che le persone interessate avranno la possibilità, in caso di violazione delle norme del codice da parte di un membro del codice al di fuori del SEE, di presentare un reclamo, invocando il loro diritto di terzo beneficiario, anche per il risarcimento, contro tale entità davanti a una SA del SEE e a un tribunale del SEE della residenza abituale della persona interessata”;
- previsione del diritto – in favore dell’esportatore – di far valere le regole del codice come terzo beneficiario contro chi abbia aderito al codice che agisca come importatore;
- l’obbligo dell’importatore di notificare all’esportatore e al potere dell’autorità di controllo cui quest’ultimo sia sottoposto le violazioni del codice rilevate dallo stato membro che vi abbia aderito oltre che l’indicazione delle misure correttive adottate dall’organismo di controllo in risposta a tale violazione.
Qual è l’iter di adozione del codice di condotta, secondo il “Board”?
Naturalmente, gli spunti di riflessione su tale profilo provengono ancora una volta dal dettato normativo del Regolamento.
Si ricordi che, a mente dell’articolo 40, paragrafi 5 e 9, ai fini dell’adozione, il codice deve essere preliminarmente approvato dall’autorità di controllo competente nel SEE e successivamente riconosciuto dalla Commissione come avente validità generale nell’Unione, mediante un atto di esecuzione, adottato secondo la procedura di esame di cui all’art. 93, paragrafo 2.
Qualora tali codici vengano impiegati dai responsabili del trattamento per inquadrare i trasferimenti da più di uno Stato membro, essi si qualificano come “codici transnazionali”, dunque, occorre seguire la procedura di approvazione correlata agli stessi, che richiede la formulazione di un parere formale da parte dell’EDPB, come stabilito dalle Linee guida 1/2019 (sezione 8 e allegato 4).
Gli scenari prospettabili sono due:
- il primo implica un progetto di redazione di “codice GDPR”, destinato ab initio ad essere utilizzato come strumento per i trasferimenti da parte di titolari/responsabili di paesi terzi.
Tale codice deve essere approvato prioritariamente dall’autorità di controllo competente secondo la procedura dei codici transazionali, ottenere il parere favorevole del “Board” e, successivamente, essere riconosciuto dalla Commissione come avente validità generale all’interno dell’UE. Completato l’iter, i responsabili del trattamento/responsabili nei paesi terzi potranno aderire al codice ed esso potrà essere utilizzato con la finalità di fornire garanzie adeguate per i trasferimenti di dati verso paesi terzi;
- il secondo implica la progettazione di un codice che sia inizialmente redatto come “codice GDPR” e, soltanto in un momento successivo, venga modificato e ampliato in vista dell’utilizzo quale strumento per i trasferimenti dei dati all’estero in conformità ai parametri del GDPR. In questo caso, l’integrazione apportata dovrà essere sottoposta al parere dell’autorità di controllo competente per l’approvazione cui seguirà l’iter ordinario di approvazione.
Conclusioni
L’adozione delle Linee guida costituisce un passo ulteriore nell’agevolazione del processo di adozione dei codici di condotta da parte delle organizzazioni, associazioni ed imprese internazionali. Si ricordi che, fino a questo momento, gli unici codici di condotta adottati riguardano i servizi cloud e, in particolare, il progetto del “Cloud Infrastructure Services Providers in Europe” (“CISPE”) e del “Cloud Select Industry Group” (“CSIG”), che erano stati sottoposti, rispettivamente, al parere delle autorità di controllo francese e belga. Ciò perché, probabilmente, la prestazione dei servizi cloud presenta impatti significativi sugli standard di protezione dei dati personali degli utenti non professionali. La loro adozione, avvenuta lo scorso anno, sembrava avere aperto la strada ad un percorso di maggiore implementazione da questo punto di vista.
Tuttavia, sono apparse fin da subito evidenti le difficolta di concretizzazione, soprattutto per quel che concerne l’adattamento del contenuto e delle misure al contesto specifico di trasferimento. Basti pensare alle contrattazioni con i fornitori statunitensi, i quali, spesso, manifestano scarsa sensibilità nei riguardi del tema della protezione dei dati, a favore dell’individuazione di remunerative soluzioni di business, che certamente, non contemplano la possibilità di aderire a codici di condotta, il cui meccanismo comporta notevoli costi. Occorre, pertanto, riflettere sull’utilità pratica delle misure normativamente adottate, per comprendere fino a che punto possano tradursi operativamente ed evitare che rimangano semplice “lettera morta”.