L’EDPB ha adottato, lo scorso 14 marzo, un toolbox concernente l’articolo 50, par. 1, lett. a) del GDPR in materia di cooperazione internazionale con le autorità di controllo competenti di Paesi Terzi per la protezione dei dati personali.
Con questo toolbox, l’EDPB ha inteso rendere importanti indicazioni sul tema, sempre più annoso, del trasferimento transfrontaliero di dati personali al di fuori dell’Unione Europea, e delle necessarie garanzie che devono essere apprestate, al fine di ridurre i rischi a cui sono naturalmente esposti i dati che sono oggetto di tali operazioni.
Dark pattern, così le aziende ingannano gli utenti: le nuove linee guida EDPB
Toolbox, il contesto
Il toolbox (letteralmente “cassetta degli attrezzi” che, nel caso di specie, costituisce una bozza di accordo con alcuni allegati annessi e che, da ora in avanti sarà indicato come “Toolbox”) pubblicato dall’EDPB il 22 marzo, si inserisce nell’alveo applicativo dell’articolo 50 del GDPR sulla “Cooperazione internazionale per la protezione dei dati personali”, a mente del quale: “In relazione ai paesi terzi e alle organizzazioni internazionali, la Commissione e le autorità di controllo adottano misure appropriate per: a) sviluppare meccanismi di cooperazione internazionale per facilitare l’applicazione efficace della legislazione sulla protezione dei dati personali”.
Nel contesto dello scambio di informazioni – da cui non è possibile prescindere nella prospettiva di cooperazione internazionale tra le Autorità di controllo facenti parte dello Spazio Economico Europeo (“SEE”) e le “Supervisory Authorities” (“SA”) di paesi terzi – il predetto Toolbox potrà essere utilizzato al fine di fornire garanzie adeguate per i trasferimenti di dati personali ivi operati, sia sulla base degli accordi amministrativi (di cui all’art. 46, par. 3, lettera b), del GDPR) sviluppati all’interno dell’EDPB dalle stesse SA non europee, sia in virtù degli accordi internazionali negoziati dalla Commissione europea (di cui all’art. 46, par. 2, lettera a) del GDPR).
Accordi amministrativi e internazionali
Come puntualmente osservato dall’EDPB, il toolbox fornisce garanzie adeguate per la protezione dei dati la cui formulazione deve, però, essere modulata a seconda che lo strumento sia sviluppato attraverso un accordo amministrativo o un accordo internazionale, nonché, naturalmente, in base alle specifiche circostanze dei trasferimenti che, di conseguenza, dovranno formare oggetto di apposita regolamentazione.
Nel caso di conclusione di un accordo amministrativo, predette garanzie dovranno essere previste con gli accordi di cooperazione esecutiva fra le Autorità (“enforcement cooperation agreement” – “ECA”), all’interno dei quali dovranno, peraltro, essere inserite misure adeguate a garantire diritti individuali effettivi, di riparazione e di controllo, con l’assicurazione, prestata dalla parte ricevente, circa la conformità delle stesse al diritto interno del Paese di appartenenza. Per quel che afferisce agli accordi internazionali, invece, è possibile basarsi su profili ed elementi giuridici già esistenti nel diritto nazionale di un paese terzo.
Gli obiettivi del toolbox
Il Toolbox si presenta come un fac-simile con alcune parti differenziate ed evidenziate, rispettivamente: in grigio se destinate a regolare un accordo amministrativo; in blu se volte a regolare un accordo internazionale. Ulteriore parte modificabile del Toolbox è, chiaramente, l’individuazione delle Autorità competenti (parti dell’accordo) la cui nozione viene fornita dall’EDPB e ricomprende gli organi competenti a vigilare sull’osservanza della normativa in materia di protezione dei dati personali. Esse sono indicate genericamente come [X] (Autorità competente all’interno del SEE) e [Y] (Autorità competente nel Paese Terzo).
Dopo aver ripercorso alcune definizioni del GDPR, ed aver ribadito le finalità specifiche perseguite dal documento – di cui si dirà infra – il Toolbox sancisce:
- che le parti concordano che i trasferimenti dei dati personali tra le Autorità saranno disciplinati dalle disposizioni dettate all’interno dell’accordo;
- che le stesse confermano di avere l’autorità per agire coerentemente con i termini previsti nell’accordo, nonché “di non avere motivo di ritenere” che vi siano impedimenti esistenti discendenti da disposizioni di legge;
- che sostengono di poter rispettare pienamente le garanzie fissate nell’accordo sulla base dei requisiti di legge applicabili, predisponendo garanzie adeguate per proteggere i dati personali “attraverso una combinazione di leggi, regolamenti e di proprie politiche e procedure interne”.
I principi del GDPR richiamati dal toolbox
Come poc’anzi anticipato, il documento elaborato dall’EDPB ricalca i principi e gli obblighi sanciti dal GDPR, modellandoli in base alla diversa tipologia di accordo – amministrativo o internazionale – che verrà, di volta in volta, concluso dalle parti. In prima battuta, sono richiamati integralmente i principi previsti dal Regolamento per il corretto trattamento dei dati, facendo richiamo espresso ai compiti istituzionali demandati alle Autorità di controllo ed alla necessità di condividere dati ed informazioni, con la precipua finalità di portare a compimento le attività investigative o di attribuire impulso ai procedimenti innanzi alle corti competenti.
È interessante osservare quanto previsto in relazione al principio di minimizzazione del trattamento di cui all’art. 5, par. 1, lett. c), del GDPR. Sul punto, l’EDPB statuisce che i dati personali dovranno essere conservati in una forma che non consenta l’identificazione degli interessati per un periodo più lungo di quanto necessario agli scopi per i quali i dati sono stati raccolti o per i quali sono ulteriormente trattati, o per il tempo richiesto da leggi, norme e regolamenti applicabili “a condizione che [Y] sia stato informato da [X] delle presenti norme applicabili all’interno del SEE e del periodo massimo di conservazione dei dati personali ivi stabilito, e che [X] è stata informata delle norme e dei regolamenti di legge applicabili da [Y] nonché del periodo massimo di conservazione dei dati personali ivi stabilito e il periodo massimo è ritenuto proporzionato e necessario in una società democratica, coerentemente con gli standard dell’UE”. Da ciò si evince che non soltanto sarà necessario osservare puntualmente i principi applicabili al trattamento di dati personali ma occorrerà implementare lo spirito di mutua collaborazione tra le autorità di controllo competenti.
Direttive in tema di misure di sicurezza e “data breach”
Anche per queste fattispecie, l’EDPB propone delle indicazioni, affermando che le parti debbano descrivere, in maniera specifica, quali misure di sicurezza siano adottate, in concreto, in relazione a ciascuna operazione di trasferimento transfrontaliero di dati: a tal fine, l’Allegato I del Toolbox elenca una serie di possibili misure di sicurezza tecniche e organizzative che possono essere adottate per garantire la conformità al GDPR, quali la pseudonimizzazione, la cifratura, misure che assicurino la riservatezza, integrità, disponibilità e resilienza continua dei sistemi e servizi di elaborazione.
Le parti sono, dunque, tenute a concordare che, nel caso concreto, le misure di sicurezza adottate da ciascuna di esse siano tanto conformi al GDPR quanto adeguate e proporzionate al trasferimento di dati posto in essere, oltre che alla tipologia, alla finalità e alla quantità di dati scambiati, per prevenire la distruzione, la perdita, l’alterazione, la divulgazione o l’accesso accidentali o illecito ai dati personali.
Ulteriori misure di sicurezza dovrebbero poi essere implementate laddove si renda necessario il trasferimento delle categorie particolari di dati personali di cui all’art. 9 del Regolamento. Difatti, sebbene l’EDPB vieti, come regola generale, che tali tipologie di dati possano essere oggetto di trasferimento per le finalità di cui all’accordo, al contrario ciò sarà possibile qualora il trattamento si renda necessario per la gestione dei reclami e/o per l’indagine su possibili violazioni delle norme sulla protezione dei dati e/o l’imposizione di eventuali misure correttive.
Laddove poi una parte apporti delle modifiche alle misure di sicurezza, tali da pregiudicare il livello di protezione dei dati personali offerto mediante l’accordo, l’EDPB dispone che quest’ultima sia tenuta a notificare all’altra la modifica, mantenendo aggiornate le informazioni contenute nell’Allegato I (che comprendono, come pare opportuno ricordare, le misure di sicurezza tecniche ed organizzative adottabili). In tal caso, la notifica dovrà essere effettuata almeno due mesi prima dall’effettiva entrata in vigore della sostituzione. Peraltro, nel caso in cui una delle parti venga a conoscenza di una violazione dei dati personali interessati dal trasferimento, avrà l’obbligo di informare l’altra senza indebito ritardo e, ove possibile, entro 24 ore, dovendo anche, quanto prima possibile, “utilizzare mezzi ragionevoli e appropriati per porre rimedio alla violazione dei dati personali e ridurre al minimo i potenziali effetti avversi”.
Il concetto di trasferimento secondario di dati personali
Assumono significativa rilevanza le clausole dell’accordo relative alla condivisione ed al trasferimento di dati personali secondario, ossia effettuato dall’Autorità ricevente (quindi dall’Autorità [Y]) a terze parti. La condivisione dei dati personali (“onward sharing” secondo la definizione fornita dalla clausola I, lett. e) ricorre quando l’Autorità [Y] condivide successivamente i dati personali con una terza parte all’interno del proprio Paese Terzo, coerentemente con l’accordo di cooperazione esecutiva. Qui l’EDPB chiarisce che la condivisione dei dati sarà lecita solo se subordinata alla preventiva autorizzazione scritta, e alla sottoscrizione, da parte del terzo, di un impegno a rispettare gli stessi principi di protezione dei dati e le stesse garanzie previste nell’accordo di cooperazione.
Mentre i dati potranno essere condivisi con terzi senza previa autorizzazione scritta e garanzie adeguate solo in casi eccezionali, ove necessario, ad esempio, per adempiere agli obblighi di legge applicabili a una delle parti o nell’ambito di procedimenti giudiziari, nei limiti in cui tale condivisione è finalizzata al perseguimento di importanti motivi di interesse pubblico, come riconosciuto nel Paese Terzo, nello Stato Membro o nell’Unione europea, o se la condivisione è imprescindibile per l’istituzione, l’esercizio o la difesa di rivendicazioni legali. In tali fattispecie, la parte che procede alla condivisione dei dati dovrà informare periodicamente le altre dell’accordo sulla natura dei dati personali di cui trattasi e sui soggetti “destinatari”, a patto che rendere tali informazioni non rischi di compromettere un’indagine in corso.
Il medesimo ragionamento può essere traslato in relazione al trasferimento successivo di dati verso terze parti collocate all’interno di Paesi Terzi (“onward transfer” secondo la definizione fornita dalla clausola I, lett. g): anche in questo caso, infatti, dovrà essere richiesta la preventiva autorizzazione scritta, e dovrà garantirsi che il trasferimento non provochi una contrazione dei diritti previsti dal GDPR.
Conclusioni
Lo strumento potrà determinare un considerevole impatto nel contesto della cooperazione internazionale, atteggiandosi come fonte agevolmente fruibile dalle Autorità, modellabile in base alle varie esigenze, con l’obiettivo di ridurre in termini ragguardevoli gli ostacoli che, purtroppo, spesso si frappongono tra gli Stati Membri e i Paesi Terzi nel percorso di cooperazione. Non bisogna, infatti, dimenticare che la promozione, di fatto concreta, dei principi contenuti nel GDPR integra il filo conduttore della tutela dei dati personali nel territorio europeo e transfrontaliero.