Il possesso e il trattamento di dati personali è da anni centro di accesi dibattiti. Abusi come quello condotto da Cambridge Analytica hanno portato all’attenzione del grande pubblico i rischi collegati a una cattiva gestione di tali dati.
Nell’ultimo periodo, i legislatori hanno riconosciuto la necessità di aggiornare gli strumenti di controllo sui dati che le aziende acquisiscono dagli utenti. Tra questi, il più noto è di certo il GDPR, il regolamento generale per la protezione dei dati dell’Unione Europea. Gran parte dei server con più traffico, tuttavia, non si trovano nei territori dell’UE. Proprio per tale motivo, tale regolamento fornisce anche indicazione per l’esportazione dei dati, ma non sempre ciò è sufficiente, come ha affermato pochi mesi fa la Corte di giustizia dell’Unione europea.
La sentenza della Corte europea
Pronunciata a luglio, la sentenza Schrems II ha invalidato (per la seconda volta) il Privacy Shield: gli accordi tra Unione europea e Stati Uniti che garantivano uno “scudo” per le imprese occupate nel trasferimento di dati personali da un continente all’altro.
La sentenza ha chiarito che si può ancora far affidamento sulle Standard Contractual Clauses (SCC), indicazioni generiche per il trasferimento di dati fuori dall’Unione, ma è necessario inoltre valutare la sicurezza garantita ai dati nel Paese terzo. Questa deve infatti offrire un livello di tutela paragonabile a quello offerto dal GDPR. Poco si è mosso inizialmente, per paura di dover multare i provider che si basano su server negli Stati Uniti, ma recentemente sono arrivate indicazioni più precise.
Le indicazioni dei garanti europei
Il trattamento dei dati a livello europeo viene guidato dallo European Data Protection Board (EDPB), il comitato che riunisce i garanti per il trattamento dei dati dei vari Paesi dell’Unione. Generalmente le decisioni prese in questo organo vengono poi pubblicate come linee guida; in questo caso, invece, si parla di raccomandazioni. Pur essendo entrambi strumenti non vincolanti, le raccomandazioni si collocano a un livello superiore rispetto alle linee guida.
L’EDPB ha diffuso due documenti: il primo, più generale, illustra la strategia da mettere in atto quando si trasmettono dati personali fuori dai confini UE. Il secondo documento, invece, è più specifico e indica le garanzie che il Paese di destinazione deve avere per poter esser ritenuto adeguato alle norme del GDPR.
La raccomandazione dell’EDPB: valutazione
Il percorso per esportare dati, secondo quanto consigliato dal comitato, dovrebbe essere composto da ben sei fasi. Nella prima, l’esportatore deve comprendere quali dati sta trasferendo e se ciò sia in linea con lo scopo per cui tali dati vengono raccolti. Tale fase sarà ridondante per chiunque sia adeguato al GDPR, ma un momento utile per verificare di nuovo l’adeguatezza della mole di dati raccolti, cercando di ridurli allo stretto necessario.
Il secondo step richiede all’esportatore di verificare se è già presente un accordo della Commissione con il Paese terzo. Se così non fosse, o se il Paese venisse fosse stato dalla lista come avvenuto nel caso degli USA, l’esportatore deve trovare uno strumento legale per il trasferimento, come indicato nel GDPR. Va precisato, tuttavia, che trasferimenti simili devono rappresentare delle eccezioni, non possono prevedere flussi costanti di dati.
La terza fase chiama in causa l’altra raccomandazione pubblicata dal comitato: l’esportatore dovrà infatti utilizzarla per comprendere le garanzie essenziali che il Paese terzo deve avere. Le garanzie sono fondamentalmente quattro: giustificare precisamente il trattamento dei dati se lede il diritto alla privacy; la necessità di acquisire tali dati dev’essere legittima e provata; un organo indipendente che controlli il rispetto di tali diritti; un rimedio nel caso in cui avvenisse una violazione. Tali valutazioni devono anche tener conto di aspetti quali le tutele che il Paese mette in atto per evitare, ad esempio, il rischio di intercettazioni.
La valutazione dell’EDPB: azione
Il quarto gradino prevede l’adozione di misure aggiuntive che garantiscano una tutela della privacy adeguata. Si potrebbe ad esempio trasferire solamente dati anonimi, associabili al nome dell’utente solo dall’esportatore, che non li trasmetterebbe. Un’alternativa più sicura potrebbe esser quella di criptare tutti i dati trasmessi. Anche in questo caso, è necessario tener conto poi delle imposizioni legali che sono presenti nel Paese terzo, così da ridurre al minimo il rischio di conflitti per l’importatore di dati.
Il penultimo passaggio prevede il ricorso a procedure formali, quali la richiesta di una consultazione al Garante. Tale fase serve a codificare il processo, formalizzando quanto avvenuto nei passaggi precedenti e informando le autorità competenti.
L’ultimo passaggio, ovviamente, è la vigilanza. L’esportatore deve costantemente aggiornarsi riguardo le misure tecniche messe in atto per impedire delle violazioni. Allo stesso tempo, deve valutare costantemente ogni variazione del quadro legislativo del Paese verso cui esporta.
A cura di
Federico Villa
FONTI:
CREDITS: