L’European Data Protection Board (EDPB) ha pubblicato una serie di FAQ (frequently asked question) volte a chiarire la sua posizione su alcuni punti emersi dalla Sentenza Schrems II, sentenza della Corte di Giustizia Europea dello scorso 16 luglio 2020 che ha invalidato il Privacy Shield.
Il documento pubblicato dall’EDPB – in linea ovviamente con le massime espresse dalla Sentenza Shrems II – delinea i prossimi adempimenti che le imprese europee dovranno porre in essere per trasferire dati personali negli Stati Uniti ovvero anche in caso di mero accesso da parte di operatori americani a dati personali presenti nel territorio dell’UE. Non solo, le interpretazioni espresse dall’EDPB sono da applicare nei confronti di ogni trasferimento di dati personali in paesi terzi ritenuti non adeguati dalla Commissione Europea.
Innanzitutto, l’EDPB conferma come tutti i trasferimenti di dati personali attraverso il sistema di adeguatezza del Privacy Shield siano da considerarsi, con effetto immediato, invalidi; ciò comporta l’obbligo per ogni esportatore europeo di trovare una diversa modalità per assicurare la liceità del suddetto trasferimento. Come si vedrà nel proseguo, qualora non sia possibile trovare un meccanismo alternativo e valido per il trasferimento, le imprese europeo dovranno fermare ogni tipo di trasferimento di dati personali verso gli USA. Non è previsto alcun grace period e pertanto le aziende dovranno conformarsi immediatamente a tale impostazione.
Relativamente alle Standard Contractual Clauses (SCC), che si ricorda non sono state invalidate dalla sentenza della Corte, l’EDPB conferma che il loro utilizzo per il trasferimento di dati verso gli USA necessita comunque di un’analisi approfondita che tenga conto della tipologia dell’importatore dei dati verso cui si ha intenzione di effettuare il trasferimento. La ragione sottesa a tale onere è insita nel fatto che la Corte di Giustizia Europea ha espressamente dichiarato come il corpus normativo americano (FISA 702 e EO 12333) è incompatibile con il livello di adeguatezza previsto dalla normativa europea. Sinteticamente, gli atti normativi poc’anzi citati sono stati potenzialmente lesivi dei diritti dei cittadini europei in quanto legittimano controlli massimi ed invasivi da parte delle Agenzie federali USA nei confronti delle informazioni detenute da tutte le società oltreoceano operanti nei servizi di comunicazione elettronica. In tali casi, le uniche possibilità per gli operatori europei per trasferire i dati negli USA potrebbero essere esclusivamente le deroghe previste dall’art. 49 del GDPR.
L’EDPB ha quindi statuito che spetta all’esportatore europeo l’effettuazione e la successiva documentazione di opportune valutazioni sulla possibilità o meno di trasferire i dati personali sulla base delle SCC, tenendo conto delle circostanze dei trasferimenti e, se del caso, di eventuali misure di garanzia supplementari da implementare alle SCC. Le valutazioni del titolare con sede in UE dovrebbero essere relative al livello di adeguatezza del paese terzo e, ovviamente, ciò non potrà essere posto in essere per le società che sono soggette alle normative FISA 702 e EO12333.
L’EDPB fornisce anche chiarimenti su come deve comportarsi il titolare con sede in UE qualora il trasferimento dei dati personali, a seguito dell’assessment svolto nei confronti dell’importatore, risulti non fornire garanzie adeguate. In linea di principio, il titolare sarà tenuto a non porre in essere alcun trasferimento. Ciononostante, se l’esportatore volesse comunque trasferire i dati, dovrà effettuare una notifica all’Autorità Competente. In tal caso è importante sottolineare come la suddetta notifica non dovrebbe intendersi in una richiesta di autorizzazione all’Autorità Competente, bensì dovrebbe essere interpretata in una mera comunicazione, alla stregua dell’art. 49, par. 1, ultimo cpv.
Le FAQ dall’EDPB conferma altresì che i principi qui enunciati siano da applicare non solo per i trasferimenti di dati personali negli USA ma in qualsiasi paese terzo ritenuto non adeguato, e in cui si renderà necessario pertanto porre in essere valutazioni aggiuntive sulla normativa presente nel paese importatore, sia con l’utilizzo delle SCC che delle BCR.
L’EDPB ha comunque dichiarato che predisporrà nel prossimo futuro una lista di misure supplementari che potranno venire in aiuto alle società europee che vorranno adottare gli strumenti delle SCC e delle BCR per trasferire dati in paesi terzi non adeguati. Tali misure dovrebbero ricomprendere elementi di natura legale, di natura tecnica e di natura organizzativa, permettendo così che gli strumenti previsti dal GDPR siano effettivamente tutelanti per i dati personali di cittadini europei e che non costituiscano un mero formalismo posto in essere da esportatore e importatore.
Per completezza si riporta che, allo stato attuale, uno strumento di ausilio al fine di valutare l’adeguatezza delle società importatrici americane è stato fornito dal NOYB, associazione no-profit istituita da Maxiliam Schrems, ovvero colui che ha avviato i vari procedimenti che hanno poi portato all’annullamento del Safe Harbour e il Privacy Shield. Tale strumento, che non è ovviamente considerarsi vincolante e non ha alcuna valenza ufficiale, potrebbe costituire unicamente un esempio di best practice da prendere in considerazione nel silenzio delle istituzioni (qui di seguito si riporta il link https://noyb.eu/files/CJEU/EU-US_form_v3_nc.pdf ). Lo strumento citato consiste in un questionario che la società importatrice può compilare e dal quale dovrebbe risultare una evidenza (o meno) dello stato di adeguatezza offerto dal paese in cui si trova l’importatore. Quest’ultimo potrebbe essere considerato un supporto, anche in termini del rispetto del principio di accountability, per le imprese nell’immediato svolgere una valutazione di adeguatezza al fine di confermare l’affidamento al sistema delle SCC.