Garanzie Essenziali Europee e trasferimento dei dati all’estero

07 maggio 2021Ultimo aggiornamento 21 settembre 2021
Tempo di lettura stimato: 6'
Sono uscite le sentenze Schrems I e Schrems II. Quindi, oggi, sappi che trasferire dei dati in America – USA - è un po’ come trasportare la droga da un paese all’altro: bisogna stare attenti. O sei autorizzato o altrimenti “ti ingabbiano” (o quasi). Bene. L’EDPB (European Data Protection Board) ha definito quali sono le garanzie essenziali europee da rispettare quando si trasferiscono dei dati personali all’estero, cioè quando si trasferiscono informazioni sui cittadini europei al di fuori dell’UE. 


Cos’è l’EDPB? 

È il Comitato europeo per la protezione dei dati. Riunisce le Autorità dei vari Stati membri dell’UE che hanno il compito di tutelare la protezione dei dati personali e la privacy: Garante italiano, Garante francese, tedesco e così via.

Cosa sono le garanzie essenziali europee?

Sono le garanzie che devono essere rispettate per essere sicuri che, nel trasferimento di dati personali all’estero, le ingerenze delle autorità pubbliche di controllo dei paesi terzi – l’FBI e gli altri – “non eccedano quanto necessario e proporzionato in una società democratica e che siano giustificabili per le norme europee”. 
In soldoni: che i dati personali di Antonio, di Peppino e di Giulia, se finiscono in un server in California, siano tutelati e che vengano protetti rispettando un livello di sicurezza in linea con quello europeo.


Questo è il quadro. Cosa bisogna fare quando si traferiscono dati all’estero?
Come essere tranquilli che il paese terzo rispetti le garanzie essenziali europee? 
Ne ho parlato in un LIVE di Raise Academy, l’Accademia formazione efficace di PrivacyLab, insieme a Christopher Schmidt, Avvocato e DPO, che ha lavorato anche per l’Autorità garante per la protezione dei dati dell'Assia.


Qui trovi solo un estratto, l’intervista LIVE completa è sulla Raise! 


Oggi, trasferire dati in USA è considerato “non sicuro”

Andrea Chiozzi: La Corte di giustizia europea è uscita con la sua sentenza: la Schrems II. Secondo me per l’80% ha deciso col buon senso, ma io ci metto un 20% di sciocchezza, perché – parere mio - è un po’ fuori dal tempo… Però per l’80% la decisione è stata assolutamente corretta: c’era da dare un freno a uno strapotere di alcuni (leggi le multinazionali americane) nel trattamento di dati personali. Questa situazione ha fatto scatenare il panico e ha fatto sì che gli USA siano diventati non sicuri. Il tema, quindi, è di grande attualità. In questo momento, qual è la tua più grande preoccupazione legata al trasferimento dei dati e alla gestione dei dati personali, quando li dobbiamo dare a qualcuno al di fuori dell’UE?

Christopher Schmidt: È diventato tutto talmente complesso che non so più come spiegarlo in modo semplice. Ci sono limiti mentali, tecnici, legali, economici e ho paura che la protezione dei dati non sia compresa, a causa della frammentazione delle fonti pubblicate dalle Autorità e della complessità della materia. Le persone cercano risposte semplici a domande difficili, ma non c'è mai una soluzione semplice.


Andrea Chiozzi: Sono assolutamente d’accordo: si è alzata l'asticella dell'attenzione e non sempre la stessa soluzione è applicabile a tutti i contesti. Ognuno deve guardare quello che fa effettivamente e scegliere la sua strada. Ora, con la sentenza Schrems II, essendo gli USA uno Stato non sicuro, secondo te, l'unica soluzione che abbiamo per poter trasferire dei dati in America è basarci sull'art. 49 o vedi uno scenario più ampio di questo?

Christopher Schmidt: Non c'è solo l'articolo 49 del GDPR. Si possono applicare anche altri metodi e usare altri strumenti. Per esempio, l’art 45 e l’art 46, che aiutano ad analizzare e mappare i propri trasferimenti. Si possono usare le Standard Security Clauses, le clausole tipo, ad esempio, e adottare se possibile un codice di condotta.


Standard Security Clauses e trasferimento di dati all’estero. Occhio che non ci sono solo gli USA…

Andrea Chiozzi: È cambiato qualcosa sulle Standard Security Clauses? Pensi siano ancora un buon punto di partenza? Per esempio, io adesso sto consigliando così: se vuoi trasferire il dato in una struttura che sta in America e ha i server in America, pensaci due volte...


Christopher Schmidt: Il primo passo è chiedersi: di quali paesi stiamo parlando? Per esempio, se si tratta del Canada, va bene. Siamo tranquilli. Per ora c'è una decisione di adeguatezza. Anche per il Regno Unito c’è, ma solo fino a fine aprile 2021, dopo non sapremo se il livello è adeguato. Le Standard Security Clauses sono importanti, ma basarci solo su queste clausole tipo non basta. Ci serve soprattutto una valutazione d'impatto del trasferimento. Quali conseguenze ci sono se i dati vengono trasferiti in un paese terzo? Può esserci un rischio? Per esempio, può esserci un rischio talmente grande - perché le misure sono incompatibili con le regole europee - che il trasferimento non è proprio possibile. E se si decide di fare il trasferimento usando misure ulteriori, va documentato.

Andrea Chiozzi: Sono d’accordo sul fatto di essere consapevoli e di dare evidenza del passaggio che si è fatto. Oggi dire “I dati devo darli a Google, per forza…Come faccio a non darglieli?” non va più bene né per le grandi strutture, né per le piccole. Non è semplice, ma l'importante è dare evidenza e sapere a chi stiamo dando i dati e fare attenzione alla scelta degli strumenti. Non basta guardare se il fornitore sul suo portale web dice "Io sono a norma GDPR” per essere sicuri che sia a norma. MailChimp, per esempio, è uno di quelli che dice di essere a norma ma, secondo me, è lontano dall’esserlo, in questo momento. E l’Autorità garante tedesca si è espressa da poco proprio su MailChimp, dichiarando illegittimo il trasferimento dei dati in USA.

Christopher Schmidt: Mostrare che stiamo facendo progressi è importante. Ma non siamo noi, le imprese e i privati, che hanno bisogno di usare, per esempio, un servizio di videoconferenza, a decidere. Al momento, dato che in Europa non ci sono servizi alternativi, dobbiamo per forza servirci di quelli realizzati da fornitori nei paesi terzi. Sono le Autorità a verificare se i paesi terzi – USA e Cina per esempio – rispettano le garanzie essenziali europee e per questo ci vorrà un po’ di tempo.


Informativa chiara, semplice e trasparente SEMPRE, anche quando comunichi che c’è un trasferimento di dati all’estero

Andrea Chiozzi: Ritieni che debbano essere cambiate anche le informative agli interessati? Nell'informativa dobbiamo dire, ovviamente, che c'è un trasferimento di dati all'estero. Ma secondo te dobbiamo inserire anche la base giuridica? Perché, in Italia, a mio parere, alcuni consulenti nell'informativa stanno iniziando ad elencare in maniera pericolosa - non dico sbagliata, ma pericolosaqual è l'articolo che ti permette di fare il trasferimento. Quando oggi potrebbe essere un articolo del Regolamento, domani un altro e così via. E dopo i titolari sono sempre costretti a cambiare le informative… Secondo te, nell’informativa, basta dire: “Guarda, trasferisco questi dati all’estero, se vuoi altre informazioni, me le chiedi”. Oppure bisogna mettere tutto nell’informativa?

Christopher Schmidt: Se dai 40 pagine all'interessato e dici "leggitela" è tutto facile... Ma io penso alla trasparenza. Penso all’interessato che si scarica un'applicazione e si deve leggere 40 pagine senza capire nulla e che finisce per chiedersi ”Cosa volete dirmi?” Bisogna semplificare le cose, senza promettere il mondo, dicendo da noi è tutto sicuro, non succederà nulla, tutto va bene... L'informativa deve essere breve, chiara, senza semplificare troppo e adattata al contesto: sulla App c’è poco spazio, sul sito web ce n’è di più, il testo va adattato al mezzo e al contesto. Poi diamo la possibilità di approfondire. Attenzione, però, che in molti casi, le misure tecniche usate per tutelare i dati sono protette. Non puoi parlare delle misure tecniche che sono state implementate. Attenzione a questi dettagli. Ed è importante aggiornarla spesso

Un settore in cui si multa tanto sono proprio le informative: attenzione a farle comprensibili, semplici e oneste. 

Quali sono i rischi per chi trasferisce dati all’esterno? 
Cerchi esempi, casi concreti di aziende, informazioni su piattaforme, tools e strumenti? 
Ascolta l’intervista completa su Raise.

Questo era solo un assaggio!
La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.

RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

Data Privacy Specialist, Magister of Law, Law Tutor

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy