Le raccomandazioni dell’EDPB sui trasferimenti di dati dopo il caso Schrems II

Pubblicato il - 30/11/2020

DCP Normativa, Privacy

Il 10 novembre 2020, il Comitato europeo per la protezione dei dati (“EDPB”) ha adottato le raccomandazioni sulle misure che integrano gli strumenti di trasferimento per garantire la conformità con il livello di protezione dei dati personali dell’UE (le “Raccomandazioni sul trasferimento dei dati”), nonché le raccomandazioni sulle Garanzie Essenziali per le misure di sorveglianza (“Raccomandazioni sulle EEG”) per gestire i trasferimenti di dati dopo il caso Schrems II.

Le raccomandazioni sul trasferimento dei dati prevedono che, per garantire un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’UE, si debba procedere ad un assessment caratterizzato dalle seguenti fasi:

  1. Mappare i trasferimenti di dati verso i Paesi Terzi;
  2. Verificare lo strumento di trasferimento (artt. 45 e ss. del Regolamento n. 679 del 2016 – “GDPR”) su cui basare il trasferimento;
  3. Valutare se sono presenti nella legge o nella prassi del Paese Terzo elementi che potrebbero interferire sull’efficacia delle garanzie adeguate (art. 46 del GDPR) degli strumenti di trasferimento individuati;
  4. Identificare e adottare le misure supplementari necessarie per portare il livello di protezione dei dati trasferiti allo standard europeo;
  5. Adottare tutte le misure procedurali formali che l’adozione della misura supplementare individuata potrebbe richiedere, a seconda dello strumento di trasferimento di cui all’articolo 46 del GDPR individuato;
  6. Rivalutare a intervalli appropriati il ​​livello di protezione offerto ai dati trasferiti ai Paesi Terzi e monitorare se ci sono stati o ci saranno sviluppi che potrebbero influire su di essi.

Step 1

Come primo step è necessario mappare i trasferimenti verificando che i dati trasferiti siano adeguati, pertinenti e limitati a quanto necessario in relazione agli scopi per i quali sono trasferiti e trattati nel Paese Terzo.

Step 2 e 3

In seguito è necessario identificare lo strumento di trasferimento su cui fare affidamento. Se lo strumento di trasferimento non è una decisione di adeguatezza (art. 45 del GDPR) o una deroga specifica (art. 49 del GDPR), occorre verificare caso per caso se la legge o la prassi del Paese Terzo di destinazione pregiudica le garanzie contenute nell’articolo 46 dello strumento di trasferimento di cui al GDPR nel contesto dei trasferimenti.

Valutazione della legge e della prassi del Paese Terzo tramite le Garanzie Essenziali Europee (“EEG”)

Le Garanzie Essenziali Europee individuate dalle Raccomandazioni sulle EEG sono le seguenti:

  1. il trattamento dovrebbe essere basato su regole chiare, precise e accessibili;
  2. la dimostrazione della necessità e della proporzionalità rispetto agli obiettivi legittimi perseguiti;
  3. l’esistenza di un meccanismo di controllo indipendente e imparziale, da parte di un giudice o di un altro organo indipendente (ad es. Autorità amministrativa);
  4. rimedi efficaci a disposizione degli interessati per consentire l’effettivo esercizio dei propri diritti.

Step 4

Se il solo strumento di trasferimento di cui all’articolo 46 del GDPR non riesce a raggiungere per i dati personali trasferiti un livello di protezione sostanzialmente equivalente a quello europeo (e dunque in caso di esito negativo alla valutazione di cui allo step 3), possono colmare la lacuna misure supplementari.

Misure supplementari

L’allegato 2 delle Raccomandazioni sul trasferimento di dati contiene un elenco non esaustivo di misure supplementari che possono essere adottate quali:

  1. garanzie tecniche (es. i dati vengono inviati a un destinatario protetto esente dall’accesso del governo in virtù di un obbligo di segreto professionale che si applica all’importatore dei dati);
  2. garanzie contrattuali (es. obblighi per l’importatore di dati di mettere in atto misure tecniche specifiche o obblighi per l’importatore di dati di intraprendere azioni specifiche, come esaminare e contestare le richieste di accesso del governo);
  3. garanzie organizzative (es. politiche e procedure interne che regolano i trasferimenti di dati in particolare all’interno di Gruppi di società).

Qualora non si sia in grado di trovare o attuare misure supplementari efficaci che garantiscano che i dati personali trasferiti godano di un livello di protezione sostanzialmente equivalente, non è possibile trasferire i dati personali al Paese Terzo interessato sulla base dello strumento di trasferimento scelto. Se sono già in corso i trasferimenti, questi devono essere sospesi o interrotti.

Step 5

Un quinto step è l’adozione di tutti le misure procedurali formali che l’adozione della misura supplementare individuata può richiedere.

Step 6

Il sesto e ultimo step è quello di rivalutare ad intervalli appropriati il livello di protezione dei dati trasferiti in Paesi Terzi e monitorare se ci sono stati o ci saranno sviluppi che possono influire su di essi. Il principio di accountability richiede una vigilanza continua sul livello di protezione dei dati personali.

Si specifica, infine, che l’autorità di controllo competente ha il potere di sospendere o di porre fine ai trasferimenti di dati personali verso il Paese Terzo se non è garantita la protezione dei dati trasferiti richiesta dal diritto dell’UE (in particolare gli articoli 45 e 46 del GDPR) e dalla Carta dei diritti fondamentali.

_
A cura di:

Avv. Giacomo Cardani

Avv. Talisia Cigaina

Il presente documento ha lo scopo di fornire una prima informativa generale sulle novità normative e, pertanto, non potrà essere utilizzato o interpretato quale parere legale. Un’analisi precisa delle ricadute della normativa rispetto alla singola società potrà essere effettuata solamente su specifico incarico.