Trasferimenti dati extra UE: precauzioni necessarie per evitare sanzioni dal Garante

Con la presente newsletter approfondiamo il tema del trasferimento di dati personali verso paesi terzi, oggetto delle recentissime linee guida dell’European Data Protection Board (EDPB), formalmente adottate in data 18 novembre 2021, tema tornato di estrema attualità dopo la sanzione irrogata dal Garante ad una nota università italiana con l’ordinanza di ingiunzione n. 317 del 16 settembre 2021.

Ambito di applicazione delle linee guida EDPB e definizione di trasferimento

Anzitutto, le linee guida pubblicate dall’EDPB precisano che le previsioni di cui al Capo V del GDPR in materia di trasferimenti non si applicano genericamente a tutti i trasferimenti effettuati verso paesi extra UE, bensì verso i paesi al di fuori dello Spazio Economico Europeo che non offrono un livello di tutela adeguato agli standard del GDPR. A tal proposito, è opportuno ricordare che il livello di protezione offerto dagli USA, dopo lo smantellamento del Privacy Shield operato dalla Corte di Giustizia UE con la sentenza “Schrems II” del 16 luglio 2020, non è più considerato adeguato.

Poiché, nel GDPR, non esiste una definizione chiara di “trasferimento” le suddette linee guida offrono tre criteri cumulativi, di seguito elencati, in presenza dei quali si ha un trasferimento di dati verso paesi terzi:

i. l’esportatore, cioè il titolare del trattamento o il responsabile che esporta i dati per conto del primo, è soggetto al GDPR per quel dato trattamento, circostanza sempre verificata nel caso di aziende italiane;

ii. l’esportatore rende questi dati personali disponibili ad un altro titolare o responsabile (importatore). In relazione a questo secondo criterio, è necessario porre attenzione all’ambito dei trasferimenti infragruppo, poiché le linee guida precisano che la condivisione di dati tra società appartenenti allo stesso gruppo, qualora queste ultime possano essere considerate come titolari o responsabili autonomi, potrebbe costituire un trasferimento;

iii. l’importatore è in un paese terzo, indipendentemente dal fatto che questo importatore sia o meno soggetto al GDPR. Con riguardo a tale previsione, si osserva che, anche se ci si sta affidando ad un fornitore europeo, occorre verificare che tale fornitore non si avvalga a sua volta di un sub-fornitore extra-UE.

Verifica del grado di tutela del trasferimento

Una volta stabilito che si è in presenza di un trasferimento di dati verso paesi terzi, bisogna dunque verificare il livello di protezione garantito da tale paese: l’art. 45 GDPR, infatti, consente il trasferimento verso paesi terzi il cui livello di protezione è stato considerato “adeguato” da parte della Commissione Europea; il primo passaggio consiste, quindi, nel controllare se il paese in questione rientra tra quelli considerati adeguati dalla Commissione.

In caso negativo, occorre verificare ulteriormente se in relazione allo specifico trattamento trovi applicazione una delle deroghe tassativamente previste dall’art. 49 GDPR, tra cui citiamo le due più rilevanti per il settore privato:

a. l’interessato ha esplicitamente acconsentito, in modo diretto e informato, al trasferimento proposto, dopo essere stato informato dei possibili rischi;

b. il trasferimento è necessario all’esecuzione di un contratto concluso tra l’interessato e il titolare del trattamento. Sebbene possa sembrare che questa deroga raccolga un ampio numero di situazioni, in realtà non è così; infatti, in ottemperanza alle linee guida 2/2018 del EDPB, ogniqualvolta si pensa di rientrare in questa eccezione bisogna verificare in concreto che il trasferimento sia necessario per il raggiungimento della finalità principale del trattamento e che si tratti di un trasferimento occasionale. A titolo esemplificativo, tale deroga non è applicabile qualora un gruppo societario abbia centralizzato per finalità aziendali la gestione delle risorse umane e i pagamenti per tutto il personale in un paese terzo, poiché non vi è alcun nesso diretto ed oggettivo tra l’esecuzione del contratto di lavoro e il trasferimento dei dati.

Si precisa che, come emerge dal dato testuale e dal costante orientamento dell’EDPB, quelle previste all’art. 49 sono deroghe e, pertanto, devono essere interpretate in modo restrittivo e il ricorso ad esse è possibile solo in casi eccezionali.

Nel caso in cui il paese non abbia un adeguato livello di protezione e non sia possibile applicare le deroghe dell’art. 49, spetta al titolare del trattamento adottare le dovute precauzioni al fine di tutelare gli interessati dal trasferimento: l’art. 46 GDPR fornisce degli strumenti da usare in questi casi, tra cui si trovano le Standard Contractual Clauses (SCCs), redatte dalla Commissione. Tuttavia, come ribadito nelle Raccomandazioni 1/2020 del Garante Europeo, definitivamente approvate il 18 giugno 2021, non basta ricorrere agli strumenti predisposti dall’art. 46: l’effettiva idoneità di ciascuna misura a garantire un adeguato livello di tutela deve essere verificata in concreto, caso per caso, dal titolare del trattamento, ai sensi del principio di responsabilizzazione ex art. 25 GDPR. È compito di quest’ultimo anche adottare, se necessario ed in accordo con l’importatore, delle misure di sicurezza aggiuntive.

Le sanzioni del Garante e le misure per evitarle

Queste norme comportamentali non sono meramente teoriche: anche il Garante italiano ha infatti iniziato a sanzionare chi non rispetta tale disciplina. Recentemente, una nota università, ha ricevuto una sanzione di €200.000,00 per aver trasferito dati personali, nell’ambito dello svolgimento degli esami a distanza, verso gli Stati Uniti d’America, senza aver comprovato che il trasferimento in questione fosse posto in essere nell’effettivo rispetto delle condizioni di cui al Capo V del GDPR. La sanzione è stata comminata nonostante: i) il trasferimento fosse stato eseguito sul presupposto che il fornitore, sul proprio sito, garantiva il rispetto della normativa UE (ma l’università non ha effettuato un’indagine abbastanza approfondita per accertarsi che fosse effettivamente così); ii) con il fornitore statunitense fosse stato stipulato un contratto che ricalcava le condizioni standard fornite dalla Commissione Europea ed in cui si faceva riferimento all’impegno del fornitore ad adottare misure di sicurezza (tuttavia, questo era un impegno generico e non era stata allegata al contratto la precisa elencazione delle misure specifiche adottate).

In conclusione, sebbene sia oggettivamente complicato per le aziende italiane dialogare su questo tema con fornitori statunitensi, a maggior ragione se appartenenti alla categoria delle c.d. “Big Tech”, poiché questi fornitori tendono a presentare modelli di contratto non modificabili e spesso e volentieri dichiarano in modo fuorviante di adottare misure adeguate, la scarsa probabilità che si arrivi in tempi brevi ad un nuovo e auspicabile accordo diplomatico tra UE e USA sul tema, nonché il fatto che anche il Garante italiano abbia iniziato ad applicare sanzioni come quella appena citata, è necessario agire premurandosi di non contraddire le indicazioni dell’EDPB.

A livello pratico, qualora si vogliano trasmettere determinati dati personali a un responsabile esterno per il trattamento degli stessi, ad esempio ai fini dell’invio di newsletter tramite mailing list o dell’utilizzo di gestionali in cloud, sarebbe preferibile optare per un operatore europeo, ma, anche in questo caso, è necessario controllare che tale operatore non si appoggi a sua volta ad altri fornitori extra-UE o che non faccia parte di un gruppo non avente sede nel territorio comunitario. Qualora sia coinvolto un responsabile o un sub-responsabile proveniente da un paese con un livello di tutela inadeguato, è opportuno seguire le indicazioni contenute nelle Raccomandazioni 1/2020 dell’EDPB, controllando in particolare che nel contratto stipulato con il fornitore che esegue il trasferimento siano menzionate le specifiche misure di sicurezza adottate, e documentare i controlli eseguiti, in prospettiva di un potenziale controllo del Garante.