Il rapporto del Garante Privacy italiano con il Comitato europeo per la protezione dati (European Data Protection Board – EDPB), conosciuto anche come ex Gruppo di lavoro Articolo 29 (WP29). Questo l’oggetto dell’intervista da parte degli esperti privacy e data protection del Comitato Direttivo di ASSO DPO il presidente Matteo Colombo e Nadia Arnaboldi a Luigi Montuori, Head of Service for EU and International Matters del Garante per la protezione dei dati personali.
L’intervista giunge in occasione della giornata europea della protezione dei dati 2021 (Data Privacy Day) di domani 28 gennaio.
In qualità di Head of Service for EU and International Matters del Garante per la protezione dei dati personali, Luigi Montuori ha analizzato piani e progetti dell’Edpb per favorire nel 2021 la coerenza nell’applicazione della normativa sulla protezione dei dati, la cooperazione tra le autorità garanti privacy europee, il monitoraggio delle tecnologie emergenti e la realizzazione di standard globali in ambito privacy e data protection. Effettuata inoltre una overview sulle nuove e future linee guida del Comitato europeo per la Protezione dei Dati (EDPB) in corso di realizzazione e verranno sviluppati temi come la Brexit e il trasferimento dei dati extra UE alla luce della sentenza Schrems II.
Come si configura l’attività internazionale del Garante Privacy italiano?
L’attività internazionale del Garante è sempre stata curata in modo approfondito, “fin dai tempi di Rodotà, che fu presidente del Gruppo Articolo 29”, ha detto Luigi Montuori, che ha poi ricordato il ruolo di presidente del Granate europeo ricoperto da Giovanni Buttarelli.
Ora con il GDPR questo ruolo dell’Italia è ancor più centrale all’interno dell’EDPB, il comitato europeo per la protezione dati, dove il nostro paese “partecipa attivamente a tutti i tavoli di lavoro”, ha detto Montuori.
L’Italia è un peso massimo in Europa, insieme a Germania e Francia, dopo l’uscita del Regno Unito dal consesso. La nostra autorità conta circa 130 dipendenti, nella parte dei servizi internazionali lavorano direttamente 7-8 persone.
Invalidazione Privacy Shield e Brexit. Quali conseguenze per le aziende?
Due temi caldi sul fronte internazionale sono appunto la sentenza della Corte di Giustizia europea che ha invalidato il Privacy Shield (sentenza Schrems 2), la normativa che regolava il trasferimento dati fra Usa e Ue, e la Brexit, operativa dal primo gennaio di quest’anno.
“La Corte di Giustizia Ue ha ritenuto la legislazione Usa sulla privacy inadeguata a proteggere i dati dei cittadini che risiedono in Europa”, ha ricordato Montuori. La decisione impatta sull’attività dei responsabili del trattamento, dei Garanti nazionali, del Dipartimento di Stato Usa, della Commissione Ue. Usa e Ue dovranno siglare un nuovo trattato, si spera in tempi stretti, visto che un terzo dei flussi commerciali globali si svolge sull’asse Ue-Usa.
Nel frattempo, esportatori e importatori di dati negli Usa non possono più usare l’adeguatezza della vecchia normativa. Le clausole contrattuali standard restano invece valide, purché l’esportatore verifichi l’adeguatezza del trasferimento. “E’ necessario fare un piano di conformità al regolamento e rivederlo ciclicamente – ha detto Montuori – bisogna verificare qual è lo strumento utilizzato e vedere se garantisce l’adeguatezza. Si possono aggiungere strumenti come la anonimizzazione, la pseudonimizzazione o la cifratura dei dati se necessario”.
Non vale soltanto per gli Usa
L’invalidazione del Privacy Shield non riguarda soltanto il trasferimento da e verso gli Usa, ma tutte le destinazioni extra Ue (ad esempio l’India). L’ideale, secondo il Garante, è trattare il dato in Europa, la CNIL ad esempio sconsiglia l’uso di piattaforme non europee. Basta pensare all’attenzione suscitata dal caso WhatsApp-Facebook, che rischia una sanzione fino a 50 milioni di euro per l’aggiornamento della nuova informativa privacy, per capire la sensibilità verso il tema delle piattaforme da parte del Garante Ue.
“L’ideale sarebbe che il trattamento e il flusso di dati all’estero fosse il minore possibile, per il bene delle persone di cui si trattano i dati – aggiunge Montuori – si pensi ad esempio al caso dei dati di 100mila cittadini italiani che vengono trasferiti all’estero, siano essi provenienti da università, enti pubblici o sanitari. Questi dati vanno assolutamente tutelati”.
Brexit effettiva dal primo gennaio 2021
Dal primo gennaio del 2021 il Regno Unito è diventato a tutti gli effetti un paese extra europeo e non partecipa più alle riunioni dell’EDPBS. Fino al 30 giungo resta possibile trasferire dati verso il Regno Unito, ma poi da 30 giugno sarà necessario per le aziende designare un responsabile legale, un rappresentante per i trasferimenti in Uk. “Tutte le imprese con sede legale in Uk non sono più all’interno dell’Ue – dice Montuori – quindi, o cambiano sede legale verso la Ue, scegliendo come autorità capofila di riferimento quella dello stato ue dove trasferiscono al sede. Oppure, se la sede legale resta in Uk, dovranno nominare un rappresentante legale”.
Linee guida del Garante su Privacy Shield e Brexit
Per andare incontro alle aziende, il Garante Privacy italiano ha stilato una serie di linee guida che rispecchiano la posizione dell’EDPB, tempestivamente tradotte nella nostra lingua. Di seguito il link alle Faq sulla sentenza Schrems 2 e sulla Brexit.
- Privacy Shield – Pubblicate le FAQ dell’EDPB sulla sentenza Schrems II. Disponibile la traduzione in Italiano a cura del Garante
- Comitato europeo per la protezione dei dati (EDPB) – 41a sessione plenaria: Il Comitato adotta raccomandazioni sulle misure supplementari per i trasferimenti di dati, a seguito della sentenza Schrems II
- Brexit: il punto sulle conseguenze per la protezione dei dati