Il Regolamento UE/679/2016 (GDPR) –  attraverso il Capo V – impone condizioni ai trasferimenti di dati personali al di fuori dell’Unione Europea al fine di garantire un adeguato livello di protezione dei dati personali dei cittadini europei, ovvero “assicurare che il livello di protezione delle persone fisiche garantito dal presente regolamento non sia pregiudicato” (art.44). Il trasferimento può avvenire sulla base di una decisione di adeguatezza della Commissione europea oppure, in mancanza della decisione di adeguatezza, attraverso il ricorso agli strumenti previsti dal Regolamento, quali le clausole contrattuali standard (SCC) o le Binding Corporate Rules (BCR) che consentono al Titolare del trattamento (o al Responsabile del trattamento) di stabilire contrattualmente le modalità e le misure tecnico-organizzative di gestione e di protezione dei dati in linea con gli standard europei, prevedendo altresì i rimedi che l’interessato può far valere per la tutela dei suoi diritti e i mezzi di ricorso giurisdizionali nei casi di violazione.

In relazione al tema del trasferimento dei dati all’estero la Sentenza della Corte di Giustizia Europea (nel caso C-311/18) ha avuto un effetto dirompente sulla materia, non solo in relazione al flusso dei dati tra Unione Europea e Stati Uniti ma, più in generale, nell’ambito dei trasferimenti dei dati; la decisione della Corte ha infatti stabilito un nuovo approccio alla materia e una serie di considerazioni valevoli per tutti i trasferimenti di dati Extra-UE, che hanno dato luogo ai successivi interventi quali la Raccomandazione 01/2020 dell’EDPB e le nuove Clausole Contrattuali Standard della Commissione Europea, che aggiornano le precedenti approvate con la Decisione 2010/87/EU.

In estrema sintesi, possiamo identificare le seguenti “fasi”, che saranno brevemente analizzate qui di seguito.

Le Sentenze della Corte di Giustizia Europea

La Corte di Giustizia Europea (CGUE) con la sentenza del 16 luglio 2020 (nota come “Schrems II”) ha stabilito l’illegittimità dell’equivalenza attribuita dalla Commissione Europea all’ordinamento statunitense attraverso la Decisione di adeguatezza denominata “Privacy Shield” (decisione di adeguatezza della Commissione Europea per il trasferimento dati UE-USA) del 2020 – decisione di adeguatezza che fa seguito al precedente accordo denominato “Safe Harbor”, del 2015, anch’esso invalidato dalla CGUE attraverso la Sentenza “Schrems I”.

La Corte nel dichiarare l’illegittimità del Privacy Shield ha argomentato affermando che il livello di protezione garantito nel territorio dell’Unione Europea deve “accompagnare” i dati ovunque vengano trasferiti, posto che il loro trasferimento non deve determinare la diminuzione o cancellazione della protezione assicurata nell’Unione, livello di protezione che al di fuori dello spazio europeo non deve essere identico ma sostanzialmente equivalente a quello applicato nell’UE.

La Sentenza segnala quindi che in assenza di una decisione di adeguatezza i Titolari che hanno necessità di gestire tali trattamenti dovranno avvalersi di altri strumenti, richiamando in particolare alle Clausole Contrattuali Standard (SCC) approvate con Decisione 2010/87/EU; in relazione alle Clausole, la Corte ritiene che l’utilizzo di tale strumento non determini a priori la legittimità del trasferimento essendo necessaria una valutazione concreta e circostanziata del contesto territoriale di destinazione dei dati, di fatto minando il funzionamento di tale strumento. L’affermazione della Corte ha dunque aperto il campo al concetto di “garanzia ulteriore” che il titolare (importatore o esportatore) deve garantire quando il trasferimento non è basato su una decisione di adeguatezza. In altre parole, la Corte prevede la possibilità di regolare contrattualmente, attraverso le SCC, il trasferimento dei dati extra-UE, tuttavia la legittimità del trasferimento è tale solo se il titolare è in grado di assicurare un livello di protezione equivalente a  quello stabilito nel GDPR, adottando specifiche garanzie adeguate allo stato di destinazione dei dati, assumendosene quindi la responsabilità.

Tale logica opera naturalmente, non solo in relazione ai trasferimenti UE-USA ma in tutti i casi in cui il trasferimento dei dati non è basato su una decisione di adeguatezza della Commissione, bensì sugli altri strumenti previsti dal Regolamento 679/2016.

Le raccomandazioni dell’EDPB

Nel mese di giugno 2021, l’European Data Protection Board ha emanato le “Raccomandazioni 01/2020 sulle misure che integrano gli strumenti di trasferimento per garantire un livello di protezione dei dati personali adeguato all’UE”[1] fornendo una serie di indicazioni concrete e sistematiche per supportare le attività di trasferimento dei dati extra-UE, in linea con le indicazioni della Corte di Giustizia Europea.

Le Raccomandazioni indicano ai soggetti coinvolti nel trasferimento una serie di attività da svolgere, fase per fase, per gestire le attività di trattamento e di trasferimento in maniera conforme, sei verifiche e misure integrative da adottare per garantire una tutela dei dati conforme agli standard europei, lasciando in ogni caso al titolare la responsabilità della valutazione nel concreto:

  1. Mappatura dei trasferimenti extra-UE. Il primo adempimento raccomandato è la mappatura dei trasferimenti che deve tenere conto della adeguatezza delle misure e dei processi adottati rispetto alle finalità perseguite.
  2. Identificazione della base. Il secondo livello concerne la verifica della sussistenza della dichiarazione di adeguatezza della Commissione rispetto al Pase destinatario e la durata della decisione; in caso di mancanza della decisione il titolare dovrà verificare la possibilità di basare il trasferimento sugli altri strumenti individuati dall’articolo 46 del GDPR, precisando che l’eventuale ricorso alle deroghe di cui all’articolo 49 dovrà essere limitato a specifiche situazioni, di cui dovrà dare dimostrazione.
  3. Verifica dell’adeguatezza dello strumento utilizzato. Il terzo livello concerne la verifica dell’adeguatezza dello strumento utilizzato (o che si vuole utilizzare) nell’ordinamento del Paese di destinazione; in particolare, il titolare dovrà valutare – mediante specifiche valutazioni di impatto (DPIA / DTIA) – la sussistenza di eventuali leggi o prassi che possono interferire o comunque impattare negativamente con le misure stabilite nel contratto e che quindi potrebbero limitare la protezione dei dati; nel caso in cui lo strumento risulti carente o comunque si dovessero valutare possibili criticità si dovrà valutare l’adozione di ulteriori misure.
  4. Definizione di misure supplementari. Il quarto livello di verifica interviene nel caso in cui sia necessario adottare ulteriori misure, e prevede l’accertamento dell’efficacia di misure supplementari, specifiche per il paese di destinazione. Qualora anche alla luce delle ulteriori misure dovessero emergere carenze il titolare dovrà astenersi o sospendere il trasferimento.
  5. Applicazione delle misure supplementari. Attraverso il quinto livello di controllo il titolare applicherà le misure supplementari ed eventuali formalità da adottare prima di procedere al trasferimento.
  6. Verifica periodica. Infine, il sesto livello raccomanda di procedere all’accertamento periodico della permanenza delle condizioni.

Le Clausole Contrattuali Standard

Lo scorso giugno 2021, anche sulla scia della sentenza della Corte di Giustizia, la Commissione Europea ha approvato le nuove Clausole Contrattuali Standard[2]; le nuove clausole riprendono il concetto di “garanzia ulteriore” introdotto dalla Corte di Giustizia e affermato dall’EDPB nella Raccomandazione 01/2020, introducendo una serie di ulteriori previsioni per rendere tale strumento più rispondente alle mutate esigenze, in un contesto evolutivo sempre più dinamico e complesso fortemente impattato dal digitale e dall’innovazione tecnologica.

Il riferimento al concetto di “garanzia” implica, in particolare, la valutazione da parte del soggetto che trasferisce i dati extra-UE delle leggi e delle prassi del paese destinatario per verificare che l’assetto giurisdizionale di tale paese non influisca sul rispetto degli impegni contrattualmente assunti, e quindi, sulla tutela dei dati. Ed invero, secondo quanto previsto dalla Clausola 14 “Le parti garantiscono di non avere motivo di ritenere che la legislazione e le prassi del paese terzo di destinazione applicabili al trattamento dei dati personali da parte dell’importatore, compresi eventuali requisiti di comunicazione dei dati personali o misure che autorizzano l’accesso da parte delle autorità pubbliche, impediscono all’importatore di rispettare gli obblighi che gli incombono a norma delle presenti clausole. Ciò si basa sul presupposto che la legislazione e le prassi che rispettano l’essenza dei diritti e delle libertà fondamentali e non vanno oltre quanto necessario e proporzionato in una società democratica per salvaguardare uno degli obiettivi di cui all’articolo 23, paragrafo 1, del regolamento (UE) 2016/679 non sono in contraddizione con le presenti clausole”.

Tale garanzia di tutela deve sussistere nel momento del trasferimento dei dati e dovrà persistere durante tutto il periodo di durata del rapporto; nel caso in cui le condizioni dovessero variare – e quindi si dovessi stabilire che l’ordinamento ricevente non fornisca più garanzie sostanzialmente equivalenti all’Unione Europea – sarebbe necessario interrompere il trasferimento.

Le nuove Clausole rilevano altresì per l’approccio modulare voluto dalla Commissione “per rispondere ai diversi scenari di trasferimento e alla complessità delle moderne catene di trattamento[3]; la modularità delle Clausole dà al titolare la possibilità di utilizzare nei contratti le soluzioni – le disposizioni – più adeguate al caso concreto, tenuto conto delle specifiche esigenze che quel trasferimento esige; la modularità costituisce un aspetto particolarmente utile nei trasferimenti complessi che prevedono più attori (“catene di trattamento”).

Riassumendo, in estrema sintesi, le nuove Clausole si caratterizzano per:

  • Relazione tra i soggetti del trattamento. Le Clausole permettono di regolare la relazione tra i diversi attori del trattamento, soggetti esportatori di dati (soggetti al GDPR) e importatori (non soggetti al GDPR), introducendo quindi nuove fattispecie: titolare-titolare; titolare-responsabile; responsabile-(sub) responsabile; responsabile-titolare.
  • Contratti multilaterali. Le nuove Clausole permettono di prevedere la partecipazione di altri soggetti in qualità di data exporter o importer (previo consenso dei contraenti originari).
  • Misure tecniche e organizzative. Le Clausole impongono la definizione analitica delle misure tecniche e organizzative da applicare per garantire la protezione dei dati durante le fasi di trasferimento con specifica indicazione del ruolo delle parti in relazione a ciascuna misura.
  • Indennizzi. Le Clausole prevedono l’inserimento di indennizzi da applicare in caso di violazione degli impegni contrattualmente assunti.

Le nuove Clausole sono applicabili dal 27 settembre 2021 per i nuovi contratti, mentre per i contratti già esistenti le aziende hanno tempo fino al 27 dicembre\ 2022 per adeguarsi alle nuove disposizioni.

Solo per completezza, si segnala che vi sarebbe la volontà della Commissione Europea di elaborare un ulteriore versione di Clausole per disciplinare i trasferimenti di dati tra soggetti che rientrano nel campo di applicazione del GDPR, sulla base dei criteri oggettivi previsti dal paragrafo 2 dell’art. 3, GDPR; un punto che appare in contrasto con quanto indicato nelle premesse delle Clausole (quindi della decisione di esecuzione 2021/914) si afferma che i data exporter devono applicare le clausole solo nei casi in cui il trasferimento di dati personali non rientri nell’ambito di applicazione del GDPR. Sarà dunque importante attendere gli sviluppi della materia e verificare l’approccio dell’EDPB.

Conclusioni

Come indicato in precedenza, la Sentenza della Corte di Giustizia Europea ha determinato una serie di effetti e non solo relativamente alla relazione UE-USA bensì su tutta la materia del trasferimento dei dati extra-UE.

Alla luce del quadro esposto, dalla Sentenza della CGUE, alle disposizioni del GDPR, agli orientamenti forniti dall’EDPB  emerge un quadro complesso e articolato.

Le aziende che devono affrontare trattamenti che implicano il trasferimento dei dati in territori Extra-UE, in assenza di una decisione di adeguatezza, devono applicare gli strumenti previsti dal Regolamento 679/2016 ed in particolare le nuove Clausole Contrattuali Standard, tenendo conto delle indicazioni fornite (le Raccomandazioni) dell’EDPB.

Ciò comporta – tra i di versi adempimenti – l’esecuzione di complesse valutazioni di impatto DPIA / DTIA (data transfer impact assestment), eventuali consultazioni in via preventiva con l’Autorità garante competente (che potrebbe essere anche chiamata a valutare eventuali ricorsi), trasparenza e informazione agli interessati dei processi, sino all’astensione dal trasferimento nel caso in cui non sia possibile raggiungere quel livello di garanzia e di tutela richiesto dal Regolamento e ribadito dalla Corte di Giustizia, pena l’illegittimità del trasferimento e, soprattutto, l’assunzione di forti responsabilità, dovendo garantire adeguati livelli di tutela non solo durante le operazioni di trasferimento ma anche a seguito del trasferimento stesso.

Appare quindi evidente come lo svolgimento di tali operazioni e di tali processi non sia di facile soluzione, rappresentando per imprese sfide di grande impatto e responsabilità, si pensi in particolare alle PMI, con la necessità di farsi supportare da esperti del settore. Certamente le nuove Clausole permettono di regolare ambiti in precedenza non pienamente disciplinati, così come le Raccomandazioni dell’EDPB hanno fornito una metodologia e preziose indicazioni per la gestione dei processi, tuttavia tali strumenti non appaiono risolutivi a causa della complessità del contesto, rendendo alcune attività particolarmente difficoltose, come ad esempio la valutazione dell’ordinamento giuridico di destinazione. Allo stesso tempo occorre comunque dare atto del fatto che tali misure sono finalizzate a garantire maggiori tutele ai dati personali degli interessati contrastando soprattutto i flussi incontrollati di dati ai quali si è assistito negli ultimi anni, ciò a beneficio dell’intero sistema e anche delle stesse aziende che operano con responsabilità; grande impegno, grande responsabilità ma altrettanti benefici per tutto il Sistema.

In tale contesto, riemerge con forza la questione relativa al trasferimento tra Unione Europea e Stati Uniti; tenuto conto della complessità del quadro regolatorio e considerata la centralità dei rapporti tra Unione Europea e Stati Uniti – tante imprese europee si avvalgono di fornitori (o sub-fornitori) di servizi e soluzioni digitali stabiliti negli Stati Uniti, si pensi anche solo settore del cloud computing – appare più che mai evidente come un nuovo accordo (una nuova Decisione di Adeguatezza) possa rappresentare un importante aiuto per le imprese, supportandole nella gestione dei processi di trasferimento tra i due territori, sempre più strategici per l’economia digitale; il nuovo accordo permetterebbe di agevolare i processi di trattamento e di garantire in modo uniforme la tutela e il rispetto dei diritti degli interessati.

 

__________________________________________________________________________________________________________________

[1] Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data – Version 2.0 – Adopted on 18 June 2021
[2] Decisione di esecuzione (UE) 2021/914 della Commissione del 4 giugno 2021 relativa alle clausole contrattuali tipo per il trasferimento di dati personali verso paesi terzi a norma del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio
[3] Confronta Cons. 10 Decisione di esecuzione (UE) 2021/914