Key4biz

Cloud, le big tech si sono adeguate alla sentenza Schrems II?

big-tech-privacy-shield-schrems-II

Di seguito pubblichiamo una parte dell’intervista all’avvocato e DPO Valentina Apruzzi realizzata da Seeweb.

Con la sentenza Schrems II la Corte di Giustizia Europea (CGUE ) ha definitivamente riorganizzato l’assetto normativo in materia di trattamento dei dati personali. La CGUE ha sancito la centralità del GDPR definendo specifiche misure essenziali al trasferimento dei dati personali al di fuori della giurisdizione europea. Dunque sorge spontanea una domanda: trasferire i dati oltre i confini dell’UE in maniera legale è ancora possibile? 

Avvocato, a seguito della Sentenza Schrems II e degli ultimi provvedimenti della Commissione Europea, è ancora possibile trasferire in modo lecito i dati fuori dal territorio UE?

Il tema è spinoso ma, rispetto ad un anno fa, quando è stata emanata la Sentenza Schrems II, esistono strumenti a disposizione per poter effettuare un trasferimento di dati personali fuori dal SEE. Ci sono cautele da adottare e adempimenti da svolgere ma, nella sostanza, con un approccio critico e documentato, è possibile effettuare i trasferimenti. Ho avuto modo di affrontare il tema con alcuni colleghi nel gruppo di studio dell’Associazione Nazionale per la Protezione dei Dati e abbiamo reso una relazione a riguardo.

Può spiegarci meglio?

A seguito della decisione della Corte di Giustizia dell’Unione Europea (“CGUE”) nella causa C-311/18 del 16 luglio 2020, le operazioni di trasferimento dei dati verso destinatari in Paesi extra SEE per i quali non fosse stata adottata dalla Commissione UE una decisione di adeguatezza sembravano destinate a rimanere vietate poiché parte delle misure previste dal GDPR a garanzia del trasferimento risultavano impraticabili.  Mi riferisco, in particolare, al “Privacy Shield” (per i trasferimenti verso destinatari in USA) e alle clausole contrattuali standard approvate dalla Commissione Europea (“SCC”).

Il problema nasceva dal fatto che la sentenza ha dichiarato che i requisiti previsti dal GDPR in materia di garanzie adeguate, diritti opponibili e mezzi di ricorso effettivi, devono essere interpretati nel senso che gli interessati, i cui dati personali sono trasferiti verso un paese terzo mediante uso delle SCC, devono godere di un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’UE dal GDPR. Tale livello di protezione deve prendere in considerazione sia quanto stipulato contrattualmente tra l’esportatore dei dati europeo e il destinatario del trasferimento stabilito nel paese terzo, sia gli elementi del sistema giuridico di tale paese in contrasto con i principi di diritto applicati nell’UE e in particolare della Carta dei Diritti Fondamentali dell’Unione Europea. Il riferimento agli eventuali accessi da parte delle pubbliche Autorità di paesi terzi, come riscontrato per gli USA, costituisce il binario da seguire per l’interpretazione della pronuncia.

Sempre la CGUE, tracciando la strategia per le misure da adottare, ha stabilito che spetti all’esportatore dei dati “procedere ad una valutazione dell’adeguatezza del livello di protezione garantito dai paesi terzi verso i quali potrebbero essere trasferiti dati personali” e che spetti invece al titolare o al responsabile del trattamento “provvedere a compensare la carenza di protezione dei dati in un paese terzo con adeguate garanzie a tutela dell’interessato” con la possibilità di aggiungere altre clausole o garanzie.

E i grossi player USA?

Si può comprendere facilmente quanto la sentenza abbia portato scompiglio tra gli operatori, soprattutto tra le realtà aziendali di piccole dimensioni con ridotto budget da impiegare per svolgere le indagini e gli approfondimenti richiesti. Tra i primi effetti della sentenza, i grossi player USA che raccolgono dati in UE hanno semplicemente eliminato la menzione nelle privacy policy del Privacy Shield e adottato tout court le SCC esistenti spergiurando di non fornire i dati a pubbliche Autorità, senza però avere alcuno strumento per opporvisi.

Dall’altro lato, gli esportatori ci hanno creduto o hanno fatto finta di crederci, pur di poter usufruire dei servizi in uno stato di incertezza assoluta. Ovviamente questa situazione non ha riguardato solo le aziende italiane e in alcuni casi le Autorità di Controllo non hanno perso tempo a vietare tali condotte, come nel caso di MailChimp, provider di servizi per il marketing.

Quali sono le novità e i cambiamenti più recenti sul tema?

Il 10 novembre l’EDPB (European Data Protection Board) ha pubblicato e posto in pubblica consultazione le “Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data”, che contengono le prime linee guida per individuare un metodo e gli strumenti a disposizione per effettuare i trasferimenti in compliance con la normativa. Inoltre, la Commissione Europea ha approvato, con decisione del 4 giugno 2021, un nuovo set di clausole contrattuali standard, le nuove “SCC”, da utilizzarsi a garanzia del trasferimento ex art. 46 GDPR.

Quindi, da una parte l’EDPB ha chiarito cosa deve intendersi per trasferimento, quali misure sarebbero necessarie per eliminare o contenere il rischio di trasferimenti illeciti e, dall’altra, la Commissione ha fornito uno strumento di immediata applicazione.

Come possono essere utilizzati questi nuovi strumenti dagli “esportatori” di dati?

Le raccomandazioni e le nuove SCC permettono di tracciare un breve percorso per supportare chi volesse trasferire dati personali fuori dal SEE in sicurezza.

Può esserci un impatto sui servizi in cloud resi extra SEE?

Certamente, poiché un fornitore di servizi in cloud può essere situato in un paese extra SEE e, conseguentemente, il trattamento sarebbe soggetto alla normativa e ai vincoli di cui abbiamo parlato. Se il paese di importazione non è considerato adeguato dalla Commissione UE, fatte salve le eccezioni previste dall’art. 49 GDPR (occasionalità, necessità, consenso), sarà indispensabile applicare una delle garanzie di adeguatezza previste dalla normativa e, volendo utilizzare le nuove SCC, integrarle con misure supplementari.

Ad esempio, lAnnex II delle Raccomandazioni EDPB, nell’elencare alcuni casi e le possibili soluzioni, fa espresso riferimento ai fornitori di servizi in cloud menzionando sia il servizio di backup che non necessita di dati in chiaro (caso 1), sia il servizio che invece processa dati in chiaro (caso 6) e sancisce che il trasferimento può ritenersi sicuro solo in presenza di un sistema di cifratura avente le seguenti caratteristiche:

Come detto, di tutto questo dovrà esserci una valutazione preventiva, un accordo espresso con il fornitore, nonché procedure e monitoraggio continuo rispetto al trattamento.

Le Big Tech U.S.A. si sono adeguate?

Non mi risulta, ma la complessità dei trattamenti e gli interessi in gioco rendono difficile pensare che possano, al momento, adeguarsi alla visione del legislatore europeo e, a detta degli esperti del settore, le conseguenze in termini di perdita di utenti si sono già manifestate.

Il mio consiglio è di rivolgersi a consulenti esperti nella selezione dei servizi che possono comportare trasferimenti di dati all’estero, svolgere le valutazioni, documentarle e tenere strettamente monitorato il trattamento. Ritengo che la normativa e la prassi subiranno ancora molte variazioni e le sanzioni sono salatissime.

Exit mobile version