L'invalidazione del Privacy Shield da parte della Corte di Giustizia UE nell'ambito della causa soprannominata "Schrems II" ha creato enormi difficoltà a migliaia di enti e imprese che scambiano dati con partner negli Stati Uniti. Il Privacy Shield era un accordo UE-USA che istituiva una serie di vincoli e protezioni a quei dati di cittadini e imprese europee che vengono trasferiti in server negli USA. Per la Corte di Giustizia, "semplicemente", tale accordo non offre sufficienti garanzie e, inoltre, i programmi di sorveglianza americani vanno oltre i limiti previsti dalla normativa europea su privacy e dati. Insomma, il Privacy Shield non rispetta il GDPR e la sorveglianza massiva di Stato invade lo spazio privato del cittadino.

Da quel momento si è immediatamente creato un vuoto normativo che non ha comportato l'interruzione della condivisione dei dati, dato che restano comunque in vigore alcuni meccanismi legali che le aziende possono utilizzare per continuare a trasferire i dati. Per le grandi aziende tech come Google o Facebook la decisione non cambia molto, poichè già dopo l'abolizione del Safe Harbor si sono dotate di server europei: la situazione era problematica principalmente per aziende più piccole, per le quali la decisione potrebbe obbligare ad una riorganizzazone tecnica.

L'EDPB ci mette una pezza
Ci sono voluti ben 4 mesi, ma alla fine, la scorsa settimana l'European Data Protection Board ha pubblicato le Raccomandazioni 01/2020: scopo di questo documento è quello di aiutare coloro che devono trasferire dati in stati terzi ad individuare misure adeguate e supplementari a protezione dei dati, ma anche fornire utili indicazioni per valutare i paesi terzi stessi. Il Comunicato stampa con cui l'EDPB ha accompagnato la pubblicazione di queso documento, ne spiega chiaramente le finalità:

"Queste raccomandazioni cercano di supportare titolari e incaricati del trattamento che agiscono in qualità di esportatori di dati, nel loro dovere di individuare e attuare misure supplementari appropriate dove sia necessario garantire un livello di protezione equivalente (al GDPR n.d.r) ai dati che trasferiscono in paesi terzi. In tal modo l'EDPB cerca una applicazuione coerente del GDPR e della sentenza della Corte in tutto lo Spazio Economico Europeo".

Sei sono i passaggi chiave indicati dal documento, accompagnati anche da esempui concreti e pratici occorsi realmente ad alcune aziende o enti.

1. Trattamenti in corso e luogo di trasferimento dati
Dato che l'UE considera la protezione dei dati personali come un diritto fondamentale di ogni individuo, l'EDPB ribadisce che esportatori ed importatori di dati devono organizzarsi per far si che i dati trasferiti godano di un livello di protezione equivalente a quello previsto dal GDPR. Ciò significa che è necessario procedere prima di tutto a elencare e mappare tutti i trasferimenti dati verso terzi, per poi limitare i trasferimenti a quei paesi terzi che garantiscano adeguate e pertinenti misure di protezione. L'EDPB puntualizza qui l'importanza del rispetto del principio di minimizzazione.

2. Identificazione degli strumenti di trasferimento
Tutti trasferimenti verso paesi terzi che hanno già ricevuto una certificazione di adeguatezza, non richiedono ulteriori misure di sicurezza. Al contrario, nel caso in cui manchi una decisione di adeguatezza e il trasferimento dati sia continuativo, diviene vincolante l'uso di uno degli strumenti previsti dall'art.46 GDPR.

3. Valutare l'efficacia del tool scelto per trasferire i dati
I titolari del trattamento devono verificare, e ne saranno quindi responsabili, se vi siano alcuni previsioni nella legislazione o nella prassi del paese terzo che possano confliggere col GDPR o influire negativamente sui livelli di protezione del dato, impattando negativamente le garanzie appropriate dello strumento di trasferiento scelto tra quelli indicati dall'art46.

4. Implementare misure ulteriori per colmare il gap tra GDPR e legislazione del paese terzo
Scegliere uno degli strumenti proposti dall'art 46 potrebbe non essere sufficiente: nel caso in cui la valutazione sopra indicata riscontri lacune, l'EDPB, si rende necessario individuare e implementare misure supplementari caso per caso: ciò si rende necessario in quei casi in cui le misure aggiuntive servono a colmare lacune del paese terzo, riportando la protezione dei dati ad un livello equivalente a quanto previsto dal GDPR. Per rendere meno vago il concetto, l'EDPB ha fornito, negli allegati alle proprie Raccomandazioni, alcuni esempi concreti.

5. Step procedurali per in caso di individuazione di efficaci misure supplementari
Nel caso in cui vengano individuate misure supplementari efficaci, il titolare del trattamento deve adottare le misure richieste su tutti i fronti nei quali si rendono necessarie: legale, tecnico e organizzativo. E' possibile richiedere, ma in alcuni casi si rende addirittura necessario, il coinvolgimento dell'autorità garante competente.

6. Rivalutare tutto a intervalli regaolari: gli audit
L'ultimo passo elencato dall'EDPB, che consegue ed è direttamente conseguente al princpio di Accountabilty, è quello di rivalutare tramite audit periodoci il livello di protezione garantito ai dati trasferiti verso paesi terzi. L'audit deve tenere anche di conto eventuali sviluppi o cambiamenti che potrebbero avere impatto negativo sul livello di protezione fornito dallo strumento di trasferimento scelto e utilizzati ai sensi dell'art.64 GDPR: