Nel corso della quarantunesima sessione plenaria tenutasi il 10.11, il Comitato europeo per la protezione dei dati (European Data Protection Board, c.d. EDPB) ha emanato delle raccomandazioni contenenti alcune misure da adottare per il trasferimento dei dati al di fuori dell’Unione Europea e, in particolare in USA, nel rispetto del GDPR.

Tali raccomandazioni – consultabili qui in lingua inglese e sottoposte a consultazione pubblica sino alla fine del mese – assumono grande rilevanza, soprattutto a seguito della ormai nota sentenza “Schrems II” con cui quest’estate la Corte di Giustizia Europea ha invalidato la decisione di adeguatezza del “Privacy Shield” adottata dalla Commissione europea e relativa al trasferimento dei dati tra la stessa Unione e gli USA.

Andiamo, quindi, a vedere insieme le indicazioni più rilevanti.

MAPPARE IL FLUSSO DEI DATI

È l’attività principale che ciascun titolare deve sempre tenere in considerazione rispetto a ogni trattamento di dati realizzato. Il titolare deve, infatti, essere in grado di stabilire se i dati trattati vengono o meno trasferiti al di fuori dell’Unione europea, al fine di assicurare a tutti i dati lo stesso livello di protezione garantito dal GDPR in caso di non trasferimento.

IDENTIFICARE LO STRUMENTO CHE LEGITTIMA IL TRASFERIMENTO DEI DATI

Mappato il flusso dei dati, il titolare deve individuare – tra gli strumenti elencati agli articoli 45 e seguenti del GDPR – quello più adeguato a garantire la liceità del trasferimento al di fuori dell’Unione Europea.

VALUTARE LA LEGGE o LA PRASSI DEL PAESE TERZO IN CUI VENGONO TRASFERITI I DATI

Non basta identificare lo strumento per legittimare il trasferimento dei dati al di fuori dell’Unione Europea. Prima di procedere in tal senso, il titolare deve valutare il quadro normativo presente nel Paese terzo, ponendo particolare attenzione alla disciplina dell’accesso ai dati da parte dell’autorità pubblica per fini di sorveglianza. Ciò, unicamente per verificare che il predetto accesso:

  1. non configuri un’ingerenza giustificata nei diritti alla vita privata e alla privacy degli interessati;
  2. non sia in contrasto con gli impegni assunti mediante lo strumento di trasferimento scelto.

Su tale aspetto l’EDPB è venuto in aiuto dei titolari, fornendo loro un’ulteriore raccomandazione – consultabile qui sempre in lingua inglese – contenente le garanzie ritenute essenziali e riconosciute dalla stessa Unione Europea rispetto alle misure di sorveglianza.

IDENTIFICARE E ADOTTARE ULTERIORI MISURE

Qualora all’esito della predetta valutazione dovesse emergere che lo strumento utilizzato per il trasferimento non è sufficientemente sicuro alla luce del quadro normativo adottato dal Paese terzo, il titolare dovrà identificare e adottare ulteriori misure per garantire ai dati, oggetto del trasferimento, un livello di protezione pari a quanto previsto dallo standard europeo. A tale proposito, l’allegato 2) della raccomandazione prevede un’elencazione non esaustiva di misure supplementari con alcune condizioni necessarie per la loro efficacia.

MONITORARE IL LIVELLO DI PROTEZIONE

Il titolare dovrà, infine, monitorare periodicamente che il livello di protezione garantito ai dati oggetto del trasferimento resti sempre il medesimo e che non si siano verificate condizioni in grado di inficiarlo. Il tutto, ovviamente, nell’ottica del rispetto del principio di accountability, principio cardine del GDPR a cui il titolare deve sempre guardare.

Non resta, quindi, che attendere la pubblicazione definitiva delle raccomandazioni.