Ci sono finalmente, a beneficio di tutti gli operatori del settore privacy e cybersec, indicazioni precise da parte dell’ European Data Protection Board (EDPB) in merito alle condotte da tenere a seguito della sentenza Schrems II.
Il 10 novembre, EDPB ha reso pubbliche le “Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data” (tutt’ora soggette a revisione) in cui il gruppo delle Autorità di Controllo prende posizione fornendo importanti indicazioni su come gestire l’invio di dati in territorio extra UE e, in particolare, in USA.
Raccomandazioni EDPB dopo Schrems II
Si tratta fondamentalmente di step/consigli che EDPB suggerisce di seguire per garantire la sicurezza dei dati.
Mappare i flussi di dati
Il primo passo è forse quello più scontato: mappa i flussi di dati. Consiglio quasi superfluo se si considera che la prima attività a cui ci si dedica quando si decide di adeguare un’azienda è proprio la redazione del registro dei trattamenti che, come sappiamo, altro non è se non una diapositiva istantanea di tutti i flussi.
Chi ha effettuato correttamente questo adempimento non può quindi che ritenere superfluo il primo paragrafo di queste recommendations, il quale tuttavia contiene una precisazione importante: “Keep in mind that remote access from a third country (for example in support situations) and/or storage in a cloud situated outside the EEA, is also considered to be a transfer. More specifically, if you are using an international cloud infrastructure you must assess if your data will be transferred to third countries and where, unless the cloud provider clearly states in its contract that the data will not be processed at all in third countries”.
L’importanza di tale precisazione è da rinvenire nel fatto che in questi mesi si sono registrati diversi casi in cui DPO, magari alle prime armi, hanno minimizzato il disastro normativo venutosi a creare con l’annullamento del Privacy Shield, convincendo aziende ed enti che i servizi cloud non sono sarebbero stati in alcun modo toccati da tutto ciò. Ora possiamo finalmente leggere nero su bianco che quei DPO stavano sbagliando e che chi ha da subito allertato i propri clienti ha fatto bene.
Identificare lo strumento normativo su cui si sta bansando i trasferimenti
Il secondo passo da seguire è quello di identificare lo strumento normativo su cui stai basando i trasferimenti. Anche in questo caso, chi ha fin da subito fatto bene il proprio mestiere, non dovrebbe avere difficoltà a rinvenire le indicazioni capaci di evidenziare se un trasferimento è stata fatto in forza dell’art. 46 o dell’art. 49 GDPR.
C’è qualcosa nella legge o nella prassi del paese terzo che può pregiudicare l’efficacia dello strumento scelto?
Un terzo passo è valutare se c’è qualcosa nella legge o nella prassi del paese terzo che può pregiudicare l’efficacia dello strumento scelto per l’invio di dati all’estero. Si deve naturalmente trattare di una valutazione effettiva che vada anche oltre il mero dato letterale della legge straniera (un po’ come avvenuto nel corso del giudizio Schrems II) osservando l’effettiva compatibilità dell’ordinamento straniero con quelli che sono i principi base del nostro ordinamento.
Bisogna, insomma, effettuare un vero e proprio assessment su quella che è la normativa del paese importatore. Purtroppo questo non è sempre facile ma l’EDPB ci viene in contro con un documento emanato contemporaneamente a quello in esame, dal titolo “Recommendations 02/2020 on the European Essential Guarantees for surveillance measures” molto utile per capire quelle che possono essere le garanzie essenziali (riconosciute dall’UE) che uno stato estero o deve garantire, con particolare riferimento ad eventuali diritti di sorveglianza previsti in ordinamenti stranieri (vedi ad esempio quanto previsto dall’ordinamento USA).
Le misure ulteriori post privacy shield
E’ però il quarto step quello a meritare la maggiore attenzione. Come sappiamo, difatti, la sentenza Schrems II ha annullato il Privacy Shield ed ha precisato che le Clausole Contrattuali Standard possono essere utilizzate solo in presenza di misure ulteriori, omettendo tuttavia di definire queste misure.
Quali sono quindi gli accorgimenti ulteriori che dobbiamo prendere se vogliamo inviare i dati all’estero senza incorrere in sanzioni? La risposta a questa domanda è contenuta proprio in questo quarto punto delle recommendations e nel relativo Annex 2.
In primo luogo EDPB precisa che le misure ulteriori, differente da quanto si legge nella sentenza della CJEU, non devono riguardare solo le CCS ma tutti gli strumenti di trasferimento dati ai sensi dell’art 46. Di fatto, se il passo 3 non ha dato buon esito, dovendosi il trasferimento verso paese estero ritenere non sicuro, oltre alle garanzie di cui all’art. 46 GDPR sarà necessario adottare queste misure ulteriori. Qualunque sia lo strumento scelto.
Afferma la recommendation:
“If you have put in place effective supplementary measures, which combined with your chosen Article 46 GDPR transfer tool reach a level of protection that is now essentially equivalent to the level of protection guaranteed within the EEA: your transfers may go ahead.
Where you are not able to find or implement effective supplementary measures that ensure that the transferred personal data enjoys an essentially equivalent level of protection, you must not start transferring personal data to the third country concerned on the basis of the Article 46 GDPR transfer tool you are relying on. If you are already conducting transfers, you are required to suspend or end the transfer of personal data.Pursuant to the safeguards contained in the Article 46 GDPR transfer tool you are relying on, the data that you have already transferred to that third country and the copies thereof should be returned to you or destroyed in their entirety by the importer”.
Si tratta di una presa di posizione molto importante in quanto viene statuito una volta per tutto che, se si usano in modo corretto queste misure supplementari, il trasferimento di dati avrà un livello di protezione adeguato agli standard UE.
Diventa quindi essenziale capire quali sono tali misure di sicurezza e, non a caso, il documento contiene l’Allegato 2 dedicato proprio ad indicare minuziosamente le misure da adottare a seconda del caso concreto da affrontare.
In tal senso, ad esempio, in caso di backup per data storage che non necessita di dati in chiaro per l’importatore, il documento afferma che se
- i dati personali vengono elaborati utilizzando una crittografia avanzata prima della trasmissione;
- l’algoritmo di crittografia e la sua parametrizzazione (ad esempio, lunghezza della chiave, modalità operativa, se applicabile) sono conformi allo stato dell’arte e possono essere considerati robusti contro la crittoanalisi eseguita dalle autorità pubbliche nel paese destinatario tenendo conto delle risorse e capacità tecniche (ad esempio, potenza di calcolo per attacchi di forza bruta) a loro disposizione;
- la forza della crittografia tiene conto del periodo di tempo specifico durante il quale deve essere preservata la riservatezza dei dati personali crittografati;
- l’algoritmo di crittografia è implementato in modo impeccabile da un software adeguatamente mantenuto la cui conformità alle specifiche dell’algoritmo scelto è stata verificata, ad esempio mediante certificazione;
- le chiavi sono gestite in modo affidabile (generate, amministrate, archiviate, se pertinente, collegate all’identità di un destinatario previsto e revocate);
- le chiavi sono conservate esclusivamente sotto il controllo dell’esportatore di dati o di altre entità incaricate di questo compito che risiedono nel SEE o in un paese terzo, territorio o uno o più settori specificati all’interno di un paese terzo adeguato;
Allora, al ricorrere di questi presupposti, il trasferimento può ritenersi sicuro.
Questo allegato si rivela quindi uno strumento molto utile perché, come vediamo, indica minuziosamente le operazioni da porre in essere per rendere sicuro un determinato trattamento. Il medesimo meccanismo viene utilizzato infatti anche per descrivere le misure di sicurezza da tenere, ad esempio, nel caso di trasferimento di dati pseudonimizzati; di dati “in transito” verso paese terzo; in caso di destinatario protetto da legge posizionato in un paese non sicuro; ed in altre situazioni concrete che, di fatto, costituiscono le più ricorrenti casistiche che gli europei si trovano ad affrontare.
L’Allegato 2, tuttavia, non è esattamente la panacea a tutti i mali. Sono di fatti ivi menzionate anche situazioni che, lo stesso Board dei Garanti, ritiene di non facile soluzione non potendo fornire quindi alcun suggerimento per riportare il grado di rischio ad un livello accettabile.
I problemi residui: il cloud o data processor in Paesi non sicuri
E’ il caso da esempio dell’utilizzo di servizi cloud o di data processor con sede in paesi non sicuri (vedi USA).
In questo caso l’Annex 2 afferma che:
- se un titolare del trattamento trasferisce i dati a un fornitore di servizi cloud o altro responsabile del trattamento e tale fornitore di servizi cloud (o altro responsabile) deve accedere ai dati in chiaro per eseguire il compito assegnato, e se il potere concesso alle autorità pubbliche del paese destinatario di accedere ai dati trasferiti va oltre quanto necessario e proporzionato in una società democratica,
- allora l’European Data Protection Board considerando l’attuale stato dell’arte, non è in grado di individuare una misura tecnica efficace per impedire che tale accesso violi i diritti dell’interessato. L’EDPB non esclude che un ulteriore sviluppo tecnologico possa offrire misure che raggiungano gli scopi commerciali previsti, senza richiedere l’accesso in chiaro ma, per ora, questa casistica che, peraltro è fra le più problematiche, rimane senza una vera soluzione. Questo in particolare costituisce un grosso problema in quanto, di fatto, porta ad interrompere una moltitudine di collaborazioni tra società europee e branch o intere società americane.
Pensiamo ad esempio al mondo della ricerca. Capita spesso che le ricerche vengano portate avanti da gruppi di società provenienti dalla UE e dagli USA. Il Garante, nelle sue autorizzazioni, impone che, in caso di trasferimento, i dati che accompagnano i campioni biologici vengano pseudonimizzati. Questo però può non essere sufficiente perché in alcuni casi, pur oscurando nome e cognome del paziente, è il campione biologico stesso a costituire un dato personale circostanza questa che, se letta alla luce di quanto previsto in questo Annex 2, di fatto, impedisce la collaborazione tra centri di ricerca UE ed USA.
Probabilmente se si fosse applicato alla lettera questo principio, oggi la Pfitzer, società americana, non avrebbe potuto portare avanti le proprie ricerche in associazione con il partner tedesco ed il mondo non avrebbe il vaccino per il COVID. L’EDPB dovrebbe quindi per lo meno meditare sulle diverse conseguenze che porta l’applicazione rigorosa di queste linee guida e cercare delle soluzioni praticabili al fine di non rallentare economia e, soprattutto progresso scientifico e tecnologico.
Riassumendo
In conclusione, negli ulteriori step, il documento contiene poi una serie di raccomandazioni in merito a misure tecniche e clausole aggiuntive da inserire al fine di elevare ulteriormente il grado di sicurezza dei trasferimenti transfrontalieri. Anche in questo caso si tratta di indicazioni molto utili ed analitiche che non possiamo riportare integralmente per motivi evidenti di spazio.
Ciò che però interessa evidenziare è che, tralasciando alcune eccezioni menzionate, queste linee guida forniscono soluzioni pratiche a numerose problematiche. Sono quindi un utile strumento con cui i DPO dovranno iniziare a prendere confidenza in quanto, la sua esistenza stessa, non lascia presagire alla adozione in tempi brevi di una sorta di Privacy Shield 2.
