Trasferimento di dati in paesi terzi: le linee guida dell’autorità bavarese e il Data Privacy Framework UE-USA

Introduzione

Il trasferimento di dati cross-border è un tema di grande attualità che coinvolge numerosi stakeholders sia pubblici che privati. I riflettori sono al momento puntati sulla recentissima decisione di adeguatezza del Trans-Atlantic Data Privacy Framework UE-USA (“DPF”), emanata il 10 luglio 2023 dalla Commissione europea (la “Decisione”).

La Decisione è giunta alquanto inattesa, tenuto conto dei precedenti pareri dello European Data Protection Board e del Parlamento europeo che si erano essenzialmente allineati nell'esortare la Commissione europea a non adottare il nuovo accordo con gli Stati Uniti in assenza di correttivi che avrebbero richiesto una riforma sostanziale del sistema di tutela americano.

Sebbene lo scopo principale della Decisione dovrebbe essere quello di garantire maggiore certezza nei trasferimenti dei dati tra i due continenti, già a pochi giorni dalla sua emanazione si percepisce un clima di crescente incertezza, a causa, da un lato, delle vivaci critiche mosse alle novità introdotte dal nuovo accordo, che sembrerebbero non risolvere le questioni sollevate in passato e, dall'altro, del timore di una nuova possibile invalidazione della Decisione ad opera della Corte di Giustizia UE.

In questo complicato contesto, meritano attenzione le linee guida in materia di trasferimento dei dati emanate di recente dall'autorità di controllo dello stato della Bavaria, le quali offrono un valido supporto pratico e operativo nello svolgimento di attività che implicano trasferimenti di dati verso provider di Stati terzi attraverso l'uso di tecnologie sempre più sofisticate e interoperabili, spesso nascoste o comunque non riconoscibili nell'immediato dalla maggior parte degli operatori interessati.

La disciplina privacy tedesca

La Germania, quale membro dell'Unione europea, è pienamente soggetta alla disciplina in materia di tutela dei dati personali dettata dal Regolamento europeo 2016/679 (“GDPR”).

Come noto, il Regolamento europeo prevede alcune “clausole di apertura” che lasciano la possibilità ai legislatori degli Stati membri di introdurre proprie leggi nazionali al fine di attenuare o rafforzare talune disposizioni in materia di privacy. In tale contesto, il parlamento tedesco ha approvato il nuovo Bundesdatenschutzgesetz (“BDSG”), entrato in vigore il 25 maggio 2018, contestualmente al Regolamento europeo.

Il BDSG, oltre ad allineare il GDPR alla previgente normativa domestica, sfrutta lo spazio di manovra appositamente lasciato dal Regolamento europeo per creare regole nazionali di affiancamento con riguardo a talune materie speciali, quali il diritto del lavoro, ovvero a particolari categorie di dati (es. scoring and credit checks, ecc.).

A livello federale, la competenza in materia di privacy è devoluta a una specifica Data Protection Authority, la Bundesbeauftragten f ü r den Datenschutz und die Informationsfreiheit, (“BfDI”), che ha anche potere di rappresentanza nei confronti delle istituzioni europee (es. lo European Data Protection Board).

A sua volta, ciascuno dei sedici Stati federali tedeschi (Bundesl änder) dispone di una propria autorità di controllo indipendente, con giurisdizione nei confronti del settore privato e della propria amministrazione pubblica. Il coordinamento fra le varie autorità di controllo è affidato a uno specifico comitato (Datenshutzkonferenz, “DSK”), il cui funzionamento replica il “consistency mechanism” previsto dal GDPR.

Le recenti linee guida dell'autorità bavarese

L'autorità di controllo in materia di privacy della Bavaria è la Bayerische Landesbeauftragte f ü r den Datenschutz (“BayLfD”). In data 24 maggio 2023, la BayLfD ha pubblicato un articolato documento intitolato “Trasferimenti internazionali di dati” (il “Documento”) che fornisce dettagliate linee guida alle autorità pubbliche bavaresi pubbliche che utilizzano servizi di information technology.

Tenuto conto della rilevante presenza in tale settore di provider statunitensi, tra cui le principali “Big Tech”, il Documento – che è stato pubblicato prima dell'emanazione della Decisione - si focalizza in particolare sulle cautele da adottare nei trasferimenti di dati verso gli USA, alla luce dello scenario delineatosi dopo le note sentenze C-362/14 del 6 ottobre 2015 e C-311/18 del 16 luglio 2020 (sentenze “Schrems I” e “Schrems II”). Tali sentenze hanno evidenziato come talune disposizioni della normativa interna degli Stati Uniti, aventi finalità di sicurezza nazionale, non soddisfino i requisiti di adeguatezza richiesti dal Regolamento, in quanto prevedono programmi di sorveglianza che legittimano l'accesso da parte delle pubbliche autorità statunitensi ai dati personali trasferiti dall'UE verso gli USA e non conferiscono agli interessati idonei diritti azionabili in sede giudiziaria nei confronti delle autorità statunitensi. 

La BayLfD rammenta alle autorità bavaresi la necessità di operare in conformità alla normativa e raccomanda di evitare trasferimenti di dati in caso di dubbi, restando inteso che i titolari e i responsabili non potranno esternalizzare il trasferimento dei dati a soggetti terzi al fine di eludere i propri obblighi e responsabilità nei confronti degli interessati ex art. 28 GDPR.

In particolare, gli stessi dovranno valutare responsabilmente i data transfers alla luce inter alia degli artt. 24 e 32 GDPR, documentando le ragioni delle proprie scelte e verificando che:

• la tecnologia e le misure informatiche siano le più adatte per le categorie di dati coinvolte nel trattamento oggetto di trasferimento; e
• siano individuati gli opportuni rimedi, in caso di compromissione della riservatezza, dell'integrità e della disponibilità dei dati.

In base al principio di accountability sia il titolare che il responsabile (es. il fornitore cloud) sono tenuti all'identificazione delle misure tecniche e organizzative in grado di garantire i diritti degli interessati e, comunque, costituisce ormai prassi consolidata effettuare il transfer impact assessment. Chiaramente, qualora un trattamento coinvolga numerosi responsabili e sub-responsabili ciascun titolare e responsabile resta responsabile della supervisione del proprio delegato.

Il Documento - anche con l'utilizzo di esempi e schemi grafici - delinea una dettagliata check-list delle verifiche e degli adempimenti in capo ai titolari e ai responsabili, che possono essere sintetizzati nei seguenti passaggi:

1. valutare se il trattamento implica e/o necessita di un trasferimento di dati in un paese terzo, extra-SEE;
2. verificare l'esistenza di una decisione di adeguatezza da parte della Commissione europea ex art. 45 GDPR; e
3. in assenza di una decisione di adeguatezza, l'identificazione di una o più garanzie adeguate ex art. 46 GDPR, ovvero l'applicabilità di una delle deroghe specifiche previste in casi eccezionali ex art. 49 GDPR.

a) Trasferimento in paese extra-SEE

In primis, i titolari devono valutare se il proprio trattamento di dati implichi esclusivamente un trasferimento tra Stati appartenenti allo Spazio Economico Europeo (i.e., Stati membri, Islanda, Lichtenstein e Norvegia, “SEE”), ovvero anche un trasferimento verso un paese terzo, e se tale trasferimento sia adeguato, pertinente e limitato a quanto necessario in relazione alle finalità perseguite ex art. 5 GDPR.

Si raccomandano delle analisi caso per caso per determinare se un trasferimento coinvolga un paese terzo, verificando il luogo in cui è stabilito il destinatario dei dati, dove è stabilita la casa madre del destinatario e il luogo in cui i dati verranno trattati.

Il Documento suggerisce alle autorità pubbliche bavaresi di analizzare tutti i contratti in essere e da stipulare con i fornitori di servizi informatici per individuare i dati potenzialmente oggetto di trasferimento in paesi terzi, prestando particolare attenzione ad alcuni strumenti tecnologici che quasi sempre implicano un trasferimento di dati e.g., posta elettronica, strumenti per teleconferenze, servizi di cloud computing, ecc.

Spesso, infatti, a causa della virtualizzazione degli strumenti tecnologici e della difficoltà nell'individuare l'ubicazione del server o di altri sistemi informatici, può risultare complicato identificare l'effettiva localizzazione dell'importatore per capire se il fornitore si trovi in un paese terzo. In proposito, il Documento suggerisce che i trattamenti siano inquadrati come trasferimento di dati in un paese terzo in tutti i casi in cui non si possa escludere con certezza che il responsabile acceda ai dati memorizzati o ad altri sistemi informatici anche attraverso un accesso remoto.

In proposito, il Documento segnala alcuni casi in cui, anche quando i sistemi informatici di cloud provider e il relativo trattamento dei dati siano localizzati nell'Unione Europea, si può configurare un trasferimento verso paesi terzi ex art. 44 GDPR (es. per effetto dell'extraterritorialità della normativa americana, che consente alle autorità di ottenere i dati degli utenti cloud dai provider statunitensi, ancorché gli stessi operino da filiali europee e con server ivi situati).

b) Decisione di adeguatezza ex art. 45 GDPR

Ai sensi dell'art. 45 GDPR, il trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale è ammesso se la Commissione ha deciso che il paese terzo, un territorio o più settori specifici del paese terzo garantiscono un livello di protezione adeguato.

Nel valutare l'adeguatezza del livello di protezione, la Commissione europea prende in considerazione numerosi elementi quali lo stato di diritto, la legislazione generale e settoriale (anche in materia di sicurezza pubblica, difesa, sicurezza nazionale, diritto penale e accesso delle autorità pubbliche ai dati personali), le norme in materia di protezione dei dati e gli impegni internazionali assunti dal paese terzo o dall'organizzazione internazionale.

Sul sito web della Commissione europea è possibile verificare se il paese destinatario sia coperto da una decisione di adeguatezza e, successivamente, al trasferimento, si potrà verificare periodicamente se la Commissione abbia eventualmente revocato, modificato o sospeso la stessa decisione mediante un atto esecutivo.

Vale ricordare che i trasferimenti di dati in paesi ritenuti adeguati dalla Commissione non necessitano di ulteriori strumenti giuridici per essere lecitamente attuati, e costituiscono un valido strumento da poter utilizzare in quanto equiparabili ai trasferimenti tra paesi appartenenti allo SEE.

Giova rilevare che a seguito della Decisione i trasferimenti di dati verso gli Stati Uniti potranno beneficiare dell'adeguatezza ex art. 45 GDPR, nel rispetto tuttavia delle nuove garanzie vincolanti introdotte dal DPF, che prevede in sostanza un meccanismo di certificazione con adesione volontaria ad alcuni principi fondamentali sulla protezione dei dati delineati dal Department of Commerce statunitense (es. in materia di trasferimenti successivi di dati, di temporalità della conservazione in considerazione della finalità, ecc.). Per poter partecipare al DPF gli operatori dovranno essere sottoposti alla giurisdizione della Federal Trade Commissiono del Department of Transportation e dovranno rinnovare annualmente la certificazione dichiarando di aderire ai requisiti richiesti.

c) Adeguate garanzie ex art. 46 GDPR

In assenza di una decisione di adeguatezza, il titolare del trattamento o il responsabile del trattamento può trasferire dati personali verso un paese terzo o un'organizzazione internazionale solo se ha fornito garanze adeguate attraverso dei cosiddetti transfer tools e a condizione che gli interessati dispongono di diritti azionabili e mezzi di ricorso effettivi.

Possono costituire garanzie adeguate, senza necessità di specifiche autorizzazioni da parte di un'autorità di controllo, le clausole contrattuali standard (le “SCC”), le Binding Corporate rules (le “BCR”), i codici di condotta, i meccanismi di certificazione, le clausole contrattuali ad hoc e le deroghe previste per specifiche situazioni ex art. 49 GDPR. In proposito, il Documento richiama la Raccomandazione dell'European Data Protection Board n. 01/2020 “relativa alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell'UE” del 10 novembre 2020 (“Raccomandazione EDPB del 2020”).

In questi casi, l'esportatore - per elevare ulteriormente il livello di protezione degli interessati - dovrà valutare se integrare il proprio trasferimento con delle misure supplementari che possano garantire il rispetto del Regolamento, utilizzando una combinazione di misure tecniche, contrattuali e organizzative.

Il Documento si concentra in particolare sulle misure tecniche, che risultano più efficaci rispetto alle misure contrattuali e organizzative nell'impedire alle autorità di sorveglianza di paesi terzi il controllo dei dati personali. Tale controllo può verificarsi sia quando i dati sono “in transito”, mediante accesso alle linee di comunicazione utilizzate per trasmettere i dati al paese destinatario, sia durante la “custodia” dei dati da parte del destinatario, attraverso l'accesso ed estrazione di dati d'interesse.

Fra le principali misure tecniche si richiamano la crittografia e la pseudonimizzazione, che possono impedire alle autorità estere di identificare gli interessati, di raccogliere informazioni che li riguardano, ovvero di associare i dati trasferiti ad altri dati in loro possesso, quali ad esempio dati identificatori online forniti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati dagli interessati in altri contesti. Si forniscono, inoltre, indicazioni per rendere la cifratura più efficace, quali:

• i requisiti per una crittografia sicura, come l'algoritmo di cifratura, la sua parametrizzazione e la lunghezza della chiave;
• le modalità di gestione affidabile delle chiavi (generate, amministrate, conservate, se del caso, collegate all'identità di un destinatario e revocate); e
• la conservazione delle chiavi esclusivamente sotto il controllo dell'esportatore di dati, o di altri soggetti incaricati di tale compito che risiedono nel SEE o in un paese terzo ritenuto “adeguato”.

In proposito, si segnala l'esempio di un comune bavarese che utilizza un provider in un paese terzo per finalità di back up dei dati; con la crittografia dei dati prima della trasmissione e la chiave sotto il controllo del comune, l'adozione della misura tecnica risulta efficace, non essendo necessario accedere ai dati in forma leggibile.

Diverso è invece il caso del trasferimento dei dati a cloud providers che richiedono l'accesso ai dati in chiaro ogni volta che i dati personali cifrati siano tecnicamente necessari per la fornitura del servizio da parte del responsabile del trattamento; infatti, la cifratura del trasporto di dati e la cifratura a riposo, anche congiuntamente, non costituiscono una misura supplementare che garantisce un livello di protezione sostanzialmente equivalente se l'importatore dei dati è in possesso delle chiavi crittografiche.

Il Documento ricorda che, anche quando siano individuabili misure supplementari efficaci, occorre altresì verificare la necessità di attuare taluni passaggi procedurali formali (per esempio, in caso di misure supplementari aggiuntive che contraddicono le SCC, occorre l'autorizzazione dell'autorità di controllo), e richiama la necessità di monitorare costantemente gli sviluppi nel paese terzo a cui sono stati trasferiti i dati, che potrebbero comportare la rivalutazione del livello di protezione attraverso una nuova analisi.

Qualora, invece, non sia possibile individuare alcuna misura supplementare soddisfacente, occorre rinunciare, sospendere o cessare il trasferimento dei dati.

In conclusione

Il Documento evidenzia come i titolari, ivi incluse in particolare le pubbliche amministrazioni, siano tenuti ad elevati standard di compliance al fine di garantire trasferimenti di dati in linea con le disposizioni normative e le best practice in materia.

Spesso si ricercano le cosiddette “formule magiche” che possano in qualche modo semplificare e standardizzare i processi; tuttavia, l'impianto normativo europeo non prevede applicazioni generalizzate, bensì soluzioni specifiche da individuare caso per caso attraverso delle vere e proprie “tappe decisionali”.

Il Documento emanato dalla BayLfD ha il pregio di fornire delle articolate linee guida, accompagnate da esempi e casistiche e da una dettagliata analisi delle misure tecniche supplementari idonee a garantire il rispetto del Regolamento; pertanto, oltre che alle amministrazioni pubbliche bavaresi direttamente interessate, il Documento può fornire utili spunti anche agli operatori di altri Stati membri. 

Allo stesso tempo, il Documento mette in luce le difficoltà che incontrano tutti gli operatori del SEE che utilizzano provider di servizi tecnologici di paesi terzi, che spesso si possono trovare nella condizione di decidere se rinunciare al trasferimento dei dati, ovvero se proseguirlo nell'incertezza, esponendosi a potenziali rischi quali ingenti sanzioni e significativi danni reputazionali (come dimostra la recente decisione dell'European Data Protection Board nei confronti di Meta Platforms Ireland Limited, per i servizi Facebook, v. Binding Decision 1/2023).

Rispetto a quanto delineato nel Documento, a seguito dell'emanazione della Decisione risulteranno senz'altro facilitati i trasferimenti di dati con operatori statunitensi; resta peraltro il dubbio se, pur in presenza delle nuove garanzie vincolanti introdotte dal DPF, la tutela degli interessati nei trasferimenti di dati verso gli USA possa effettivamente definirsi “sostanzialmente equivalente” a quella garantita nello SEE. Si auspica che il nuovo accordo con gli Stati Uniti – anche con eventuali correttivi o aggiustamenti - possa risultare duraturo nel tempo e riesca a sopravvivere alle numerose critiche formulate a caldo dai più attenti commentatori, nonché al già preannunciato ricorso alla Corte di Giustizia UE.

Guida all’approfondimento

Linee Guida EDPB 02/2020 relative alle garanzie essenziali europee per le misure di sorveglianza