La sentenza della Corte di Giustizia dell'UE relativa alla controversi c.d. Schrems II sul trasferimento dei dati al di fuori dello Spazio economico europeo obbliga le aziende a valutare l'adeguatezza dei trasferimenti. In questo webinar abbiamo presentato la metodologia sviluppata da DLA Piper di valutazione del trasferimento dei dati verso gli Stati Uniti d'America e altri paesi che non presentano un livello adeguato di tutela dei dati personali.
L'emergenza Covid-19 e i problemi privacy dei lavoratori in smart working e c...
Come valutare l'adeguatezza dei trasferimenti di dati extra SEE dopo la sentenza Schrems II
1. DLA Piper – 10 settembre 2020
Come valutare l'adeguatezza dei trasferimenti
di dati extra SEE dopo la sentenza Schrems II
2. www.dlapiper.com 2
Gli argomenti che tratteremo
1. Il caso Schrems: come la vicenda è arrivata alla
CGUE
2. La sentenza della CGUE
3. Gli impatti sui meccanismi per il trasferimento
previsti dal GDPR
4. La reazione delle istutizioni e delle autorità di
controllo
5. Implicazioni pratiche per i data exporter
6. La metodologia sviluppata da DLA Piper
7. Q&A
Giulio Coraggio
Partner
Head of Technology Sector
Giulia Zappaterra
Senior Lawyer
Cristina Criscuoli
Lawyer
Tommaso Ricci
Privacy Expert
DLA Piper Legal Tech
Focus Group Member
3. www.dlapiper.com 3
Il caso Schrems: come la vicenda è arrivata alla CGUE
• 2013 – Reclamo di Max Schrems contro Facebook sottoposto a
indagine da parte del Data Protection Commissioner irlandese > Il
reclamo viene rigettato > Schrems si rivolge alla Irish High Court
che rinvia alla CGUE
• 2015 – La CGUE dichiara invalido il “Safe Harbor” con la
sentenza Schrems I
• Maggio 2016 – secondo reclamo di Schrems relativo all’uso delle
SCCs da parte di Facebook, il DPC rimette la questione alla High
Court
• Luglio 2016 – La Commissione UE adotta la decisione di
adeguatezza relativa al Privacy Shield
• Maggio 2018 – La High Court rinvia il caso alla CGEU, incluse 11
questioni pregiudiziali, tra cui la validità del Privacy Shield
4. www.dlapiper.com 4
La sentenza Schrems II: cosa ha deciso la CGUE
EU-U.S. Privacy Shield – dichiarato
invalido
• Gli Stati Uniti non hanno alcuna
garanzia di equivalenza della
protezione rispetto all'UE:
• Accesso ai dati personali da parte
delle autorità e organismi di
sorveglianza americane
• L’Ombudsperson non fornisce le
garanzie adeguate
Standard Contractual Clauses
adottate dalla Commissione (SCCs) –
valide, ma…
• Spetta all'esportatore e all'importatore
di dati valutare se il livello di protezione
richiesto dal diritto dell'UE sia rispettato
nel paese terzo in questione al fine di
determinare se le garanzie fornite dalle
SCC possano essere rispettate nella
pratica
• CGUE richiama il test di adeguatezza
di cui all'Art.45(2) del GDPR (applicato
dalla Commissione Europea)
Requisiti per l'intervento dell'autorità
di controllo
• La CGUE vede un ruolo attivo per le
autorità di controllo nel monitoraggio
della conformità
• Se non sono state eseguite le
opportune valutazioni e possibilmente
in modo proattivo
5. www.dlapiper.com 5
Gli impatti sugli altri meccanismi per il trasferimento previsti dal GDPR
Impatto potenziale sulle BCRs
• La sentenza identifica le BCR come
una garanzia adeguata
• Alcuni fornitori di servizi utilizzano
già questo meccanismo per fornire la
loro soluzione cloud (BCR per i
responsbili esterni)
• Tuttavia, le BCR non possono
essere una soluzione a breve
termine, in quanto possono essere
utilizzate solo per i trasferimenti
intragruppo ed il processo per
l'adozione è piuttosto lungo
È possible fare affidamento sulle
deroghe previste dall’art. 49?
• Esistono diverse deroghe:
consenso, esecuzione del contratto,
conclusione ed esecuzione di un
contratto nell'interesse della persona
interessata, interesse pubblico,
esercizio o difesa di un diritto legale,
tutela dell'interesse vitale della
persona interessata, registro
destinato a fornire informazioni al
pubblico
• Alcune sono anche menzionate dalla
sentenza come applicabile per
situazioni specifiche, tuttavia ci sono
condizioni piuttosto restrittive per la
loro applicazione
Codici di condotta e certificazioni
• Previsti dall’ Art. 46-2 (e) ed (f) del
GDPR
• Potrebbero essere una soluzione in
futuro, ma per ora non esistono
codici di condotta o meccanismi di
certificazione formalmente approvati
6. www.dlapiper.com 6
La reazione delle istituzioni e delle autorità di controllo
La sentenza ha suscitato reazioni
immediate da parte delle varie
Autorità di controllo europee, che
hanno pubblicato dichiarazioni o
fornito indicazioni
Probabilità di applicazione per i
trasferimenti in corso o tolleranza
momentanea?
Rischio di contenzioso e reclami, incluse
class actions
Possibili impatti sulle SCCs e prossimi
passi
7. www.dlapiper.com 7
Identificare i trasferimenti impattati identificare tutti i trasferimenti di dati
extra-SEE, il paese di destinazione e la base giuridica alternativa per il
trasferimento in base al Capo V del GDPR
Privacy Shield
• Cessare di fare riferimento al Privacy Shield quale meccanismo
per il trasferimento
• Adottare meccanismi alternativi (es. SCCs)
• Considerare la possibilità di archiviare/accedere ai dati
personali all'interno dell'UE
Implementare modifiche della governance
• Aggiornare il registro dei trattamenti, le informative, ecc..
• Adottare meccanismi di trasferimento differenti / misure di
garanzia supplementari
• Prevedere un meccanismo di valutazione dell’adeguatezza nel
ciclo del procurement
SCCs & altri meccanismi per il trasferimento di cui al Capo V
• verificare caso per caso se le leggi applicabili nel paese di
destinazione garantiscono una protezione adeguata
• Seguire i principi dell’ Art 45(2) per l’ assessment
• Tenere conto dei rischi specifici per il trasferimento dei dati
• coordinarsi con i data importer (ad esempio i fornitori di servizi
cloud) per la loro valutazione
• valutare se ulteriori contromisure possono contribuire a mitigare i
rischi
• documentare la decisione finale (procedere/rifiutare)
• Controllare le line guida e le indicazioni da parte delle DPA e dell’EDPB
Implicazioni pratiche per i data exporter