Documento senza titolo
Trasferimenti di dati verso Paesi terzi: tra GDPR, Raccomandazioni EDPB e sostanziale equivalenza della tutela


01/12/2020

Le raccomandazioni in sintesi. L’European Data Protection Board (EDPB), ente che raggruppa le autorità garanti nazionali europee, ha recentemente pubblicato due raccomandazioni relative al trasferimento di dati verso Paesi terzi. Esse contengono, in estrema sintesi, misure integrative di protezione dei dati e garanzie essenziali per le misure di sorveglianza [1], ed offrono lo spunto per esaminare i requisiti previsti dalla normativa europea di riferimento.

Le Raccomandazioni, oltretutto, risultano di particolare interesse in quanto riflettono, nell’approccio euro-unitario al trasferimento dei dati, le determinazioni della “Schrems II” [2], una nota e recente sentenza della Corte di Giustizia UE che ha visto in qualità di parte Facebook Ireland e ha avuto ad oggetto, tra l’altro, il “Privacy Shield”, ossia la decisione di adeguatezza della Commissione europea sui trasferimenti di dati verso gli USA. [3]



Le due Raccomandazioni intendono assicurare che il trasferimento dei dati verso Paesi extra UE non allenti le maglie della protezione prevista dal GDPR e che i dati personali godano, dunque, di una protezione sostanzialmente equivalente a quella di cui godrebbero nello Spazio Economico europeo. Basandosi anche su alcuni principi cardine del sistema europeo - quali la responsabilizzazione del titolare, la privacy by design e by default - l’EDPB costruisce dunque una sorta di percorso guidato, finalizzato ad agevolare la conformità delle operazioni di trasferimento dei dati verso Paesi terzi.

Come detto, il punto di partenza è rappresentato dalla sentenza “Schrems II”, che lo scorso luglio ha confermato la validità delle clausole contrattuali tipo, ha invalidato il Privacy Shield ed ha stabilito che, ai fini del trasferimento dei dati, il livello di tutela nel Paese terzo debba essere essenzialmente equivalente a quello garantito nello Spazio Economico europeo.



I requisiti del trasferimento dati: il GDPR. Prima di esaminare più a fondo le raccomandazioni del Garante europeo, appare dunque opportuno ricordare i principali requisiti del trasferimento dati verso un Paese terzo e le principali osservazioni della Corte europea.

Per quanto riguarda i requisiti, già nei Considerando il GDPR accompagna al favor per la libera circolazione (anche extra europea) dei dati, motore dell’economia digitale, la necessità di un elevato livello di protezione. Piuttosto che rappresentare due segni opposti, queste due istanze finiscono per integrarsi in un unico disegno più ampio, finiscono per essere l’una il presupposto dell’altra: nel sistema disegnato dal GDPR, cioè, non v’è traccia di una circolazione dei dati avulsa da una protezione adeguata, e tale protezione trova a sua volta un nuovo (e più ampio) orizzonte nell’abilitare una maggiore circolazione dei dati (a livello europeo non solo), potenziando la fiducia dei cittadini nell’economia digitale. Come a dire che quest’ultima non possa sviluppare il proprio pieno potenziale senza la circolazione dei dati, e che la circolazione dei dati non possa massimizzarsi senza adeguate garanzie per gli utenti cui quei dati si riferiscono. [4]

Per quanto qui interessa, il trasferimento dei dati è disciplinato soprattutto dagli articoli 45 e 46 del GDPR, che riguardano rispettivamente le decisioni di adeguatezza della Commissione europea e le garanzie adeguate che devono accompagnare i trasferimenti, nei casi in cui non vi sia una decisione di adeguatezza.

In particolare, l’art. 45 prevede che il trasferimento di dati personali verso un paese terzo sia ammesso in presenza di una decisione di adeguatezza della Commissione europea, basata su fattori quali lo stato di diritto esistente nel Paese terzo, il rispetto delle libertà fondamentali, la legislazione generale e settoriale, l’esistenza e il funzionamento di un’autorità di controllo indipendente, le misure di sicurezza.

Nei casi in cui, invece, nei confronti di un paese terzo manchi una decisione di adeguatezza, il trasferimento può avvenire solo se il titolare o il responsabile forniscano garanzie adeguate e se gli interessati dispongano di diritti azionabili e di mezzi di ricorso effettivi. Tra le “garanzie adeguate”, come specificato dall’art. 46, rientrano appunto anche le norme vincolanti d’impresa, le clausole tipo di protezione e i codici di condotta.

I requisiti del trasferimento dati: cosa afferma la sentenza Schrems II? Dato il valore particolare attribuito dal GDPR alle decisioni di adeguatezza della Commissione europea, assumono grande rilevanza le conclusioni cui è giunta, sul punto, la Corte di Giustizia europea.

Nell’ambito della nota controversia Schrems II, la Corte si è espressa prima sulle clausole tipo di protezione contenute nell’allegato della decisione 2010/87 [5], e poi sul già citato Privacy Shield.

Conformemente a quanto previsto dal Considerando 104 del GDPR, il livello di protezione adeguato richiesto ai Paesi terzi non si sostanzia per la Corte in una protezione identica a quella garantita nell’Unione europea, ma deve essere inteso “nel senso che esige che tale paese assicuri effettivamente, in considerazione della sua legislazione nazionale o dei suoi impegni internazionali, un livello di protezione delle libertà e dei diritti fondamentali sostanzialmente equivalente a quello garantito all’interno dell’Unione in forza di tale regolamento, letto alla luce della Carta.

Il Privacy Shield è risultato carente proprio sotto il profilo della ‘sostanziale equivalenza’ del livello di protezione. In particolare, esso sembra operare un bilanciamento di interessi che fa prevalere le esigenze di sicurezza nazionale e di interesse pubblico statunitense sui diritti fondamentali dei cittadini europei cui si riferiscono i dati trasferiti verso gli USA. Il Privacy Shield, in altre parole, sembra poter interferire con alcuni diritti fondamentali dei cittadini, in particolare per quanto riguarda la protezione della vita privata e familiare, la protezione dei dati personali e il diritto a un ricorso effettivo e a un giudice imparziale. La decisione di adeguatezza in questione non risulta dunque conforme a quanto previsto dall’art. 45 del GDPR, nel senso che non rispecchia i requisiti sui quali deve fondarsi una decisione di adeguatezza.

La Corte conferma invece la validità delle clausole di protezione contenute nella decisione 2010/87: quest’ultima, infatti, contiene meccanismi efficaci che, da un lato, garantiscono il rispetto del livello di protezione richiesto dall’UE, dall’altro comportano la sospensione o il divieto del trasferimento basato su clausole contrattuali tipo, se tali clausole risultano violate o impossibili da rispettare in concreto.

Le Raccomandazioni dell’EDPB: valutazione step by step. Inserendosi nel contesto finora delineato, le recenti Raccomandazioni del Garante europeo mirano in un certo senso a ‘procedimentalizzare’ le valutazioni che il titolare del trattamento (o, in generale, chiunque esporta dati al di fuori dell’UE) deve compiere per assicurarsi che il trasferimento dei dati non influisca negativamente sul livello di protezione accordato dalla disciplina europea.

In particolare, il percorso delineato dall’EDPB fornisce gli strumenti necessari a individuare e ad attuare, con un approccio case-by-case, misure supplementari adeguate, se queste dovessero risultare necessarie per garantire la sostanziale equivalenza, nel paese terzo, della tutela dei dati trasferiti. Il che, come intuibile, è coerente con l’impostazione normativa del GDPR, che fin dal primo momento ha inteso incentivare la circolazione dei dati assicurandone al contempo la massima tutela; tutela che diventa, in questo modo, anche uno strumento di promozione della fiducia nel sistema da parte degli utenti.

La prima delle due Raccomandazioni contiene dunque una “sequenza logica” delle valutazioni che chi esporta dati deve compiere, al fine di stabilire se sia tenuto a mettere in atto misure supplementari (e se sì, quali) nel trasferimento di dati.

Anche qui, dunque, un approccio coerente con il principio di responsabilizzazione del titolare: è il soggetto che esporta i dati che ha l’onere di applicare misure ulteriori, in base a parametri quali il caso concreto, la normativa del Paese terzo e lo strumento di trasferimento scelto, documentando accuratamente il processo valutativo.

Parte di questo procedimento può essere senza dubbio individuato, come conferma anche la sentenza Schrems II, nell’utilizzo di clausole contrattuali tipo. Ma, e questo è il punto focale, tali clausole (e gli altri strumenti previsti dall’art. 46 del GDPR) non devono dispiegare un’efficacia astratta, formale, ma sostanziale.

Infatti il titolare, o in ogni caso il soggetto che esporta i dati, deve verificare caso per caso se la legislazione del Paese terzo garantisca un livello di protezione dei dati sostanzialmente equivalente a quello vigente nello Spazio economico europeo, con l’ulteriore possibilità di potenziare l’efficacia delle clausole contrattuali mediante misure protettive supplementari, indicate proprio nella Raccomandazione EDPB.

Volendo sintetizzare le raccomandazioni del Garante europeo, è possibile affermare che il primo passo per verificare l’adeguatezza di un trasferimento dei dati sia mappare i trasferimenti, cioè avere contezza di quali Paesi terzi siano interessati dal trasferimento. Accanto a ciò, in accordo al principio di minimizzazione dei dati (art. 5, par. 1, lett. c), occorrerà verificare che i dati trasferiti siano adeguati, pertinenti e limitati a quanto necessario per le finalità del trasferimento e del trattamento nel Paese terzo.

È poi importante utilizzare gli strumenti giuridici messi a disposizione dall’ordinamento per assicurare un trasferimento di dati corretto. Innanzitutto, dunque, verificare se vi sia una decisione di adeguatezza della Commissione ai sensi dell’art. 45 del GDPR; in sua assenza, chi esporta dati potrà ricorrere, per i trasferimenti regolari e ripetitivi, agli strumenti previsti dall’art. 46 (le “garanzie adeguate”), e dunque, ad es., alle norme vincolanti d’impresa, alle clausole tipo di protezione adottate dalla Commissione, ai codici di condotta approvati, ai meccanismi di certificazione approvati. Per i trasferimenti occasionali e non ripetitivi, si potrà invece contare sulle deroghe previste dall’art. 49. [6]

Ancora, chi esporta dati dovrà effettuare un assessment della normativa del Paese terzo, cioè valutare se, nel caso concreto, le normative rilevanti e applicabili in quel Paese possano pregiudicare l’efficacia degli strumenti scelti in base all’art. 46. Tale valutazione dovrà inoltre basarsi su parametri oggettivi e dovrà essere documentata.

Soltanto nel caso in cui tale assessment abbia esito negativo, sarà necessario adottare ulteriori misure supplementari (anche combinandole tra loro), al fine di raggiungere la sostanziale equivalenza nella tutela dei dati. Inoltre, se neppure le misure supplementari assicurino l’equivalenza, bisogna evitare, sospendere o terminare il trasferimento.

Grande rilevanza dispiega anche il monitoraggio periodico dell’efficacia delle misure e del livello di protezione accordato ai dati trasferiti, senza dimenticare il monitoraggio e l’enforcement delle autorità garanti, le quali hanno anche il compito di predisporre ulteriori linee guida sul trasferimento dati, assicurando uno sviluppo armonico e la coerenza di fondo della disciplina europea.

Infine, per quanto riguarda la seconda Raccomandazione dell’EDPB, essa ricorda quali siano le garanzie essenziali europee in favore degli individui cui i dati si riferiscono, nell’ambito della sorveglianza da parte dei Paesi terzi. Tra queste, la necessità che le operazioni si basino su regole chiare, precise e accessibili, che vi sia una comprovata necessità e proporzionalità degli obiettivi perseguiti, che esista un meccanismo indipendente di supervisione e che l’ordinamento conceda agli individui rimedi effettivi.

Le suddette garanzie rappresentano il nucleo della valutazione del livello di interferenza con i diritti fondamentali alla privacy e alla protezione dei dati. Inoltre, essendo tali elementi strettamente interconnessi, la Raccomandazione suggerisce che essi siano valutati complessivamente, tenendo presente la legislazione in materia di misure di sorveglianza, il livello minimo delle garanzie per i diritti degli interessati e i rimedi previsti dal diritto nazionale del Paese terzo.

© Graziadei Studio Legale

[1] “Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data”; “Recommendations 02/2020 on the European Essential Guarantees for surveillance measures”.
[2] Schrems II, sentenza della Corte (Grande Sezione), 16 luglio 2020, C-311/18, Facebook Ireland e Schrems. Segue alla Schrems I, C-362/14, 6 ottobre 2015.
[3] Decisione (UE) 2016/1250 della Commissione del 12 luglio 2016 a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio, sull'adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy.
[4] Il Considerando 6 del GDPR, a questo proposito, afferma che “La tecnologia ha trasformato l'economia e le relazioni sociali e dovrebbe facilitare ancora di più la libera circolazione dei dati personali all'interno dell'Unione e il loro trasferimento verso paesi terzi e organizzazioni internazionali, garantendo al tempo stesso un elevato livello di protezione dei dati personali.” Al contempo, il Considerando 7 aggiunge “Tale evoluzione richiede un quadro più solido e coerente in materia di protezione dei dati nell'Unione, affiancato da efficaci misure di attuazione, data l'importanza di creare il clima di fiducia che consentirà lo sviluppo dell'economia digitale in tutto il mercato interno. È opportuno che le persone fisiche abbiano il controllo dei dati personali che le riguardano e che la certezza giuridica e operativa sia rafforzata tanto per le persone fisiche quanto per gli operatori economici e le autorità pubbliche.
[5] Decisione della Commissione del 5 febbraio 2010 relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio.
[6] Ad es. l’art. 49 afferma: “Se non è possibile basare il trasferimento su una disposizione dell'articolo 45 o 46, comprese le disposizioni sulle norme vincolanti d'impresa, e nessuna delle deroghe in specifiche situazioni a norma del primo comma del presente paragrafo è applicabile, il trasferimento verso un paese terzo o un'organizzazione internazionale sia ammesso soltanto se non è ripetitivo, riguarda un numero limitato di interessati, è necessario per il perseguimento degli interessi legittimi cogenti del titolare del trattamento, su cui non prevalgano gli interessi o i diritti e le libertà dell'interessato, e qualora il titolare e del trattamento abbia valutato tutte le circostanze relative al trasferimento e sulla base di tale valutazione abbia fornito garanzie adeguate relativamente alla protezione dei dati personali.

Disclaimer & Privacy
P.IVA 07340781009