A seguito della sentenza emanata dalla Corte Europea in data 16 luglio 2020, il Privacy Shield è stato dichiarato illegittimo. Le aziende si sono così trovate a non poter trasferire i dati lecitamente verso gli USA salvo il consenso espresso dell’interessato o laddove fossero in grado di dimostrare l’impossibilità delle Autorità Governative statunitensi di accedere ai dati di cittadini europei in chiaro. Ciò ha creato ovviamente molta destabilizzazione nelle aziende e nei rapporti BtoB tra l’Europa e non solo gli USA, in quanto la sentenza ha stabilito – peraltro confermando in modo accurato quanto già indicato nel General Data Protetction Regulation – che non sono legittimi i trasferimenti verso Paesi che non garantiscano i diritti agli interessati come previsti appunto nel testo europeo. A seguito di tale sentenza, si è avviata una ricerca “spasmodica” di soluzioni finalizzate alla conservazione dei rapporti e dei servizi in essere con gli USA a fronte di garanzie effettive. In questa ottica si muove la Raccomandazione 1/2020 adottata dal Comitato europeo per la protezione dei dati (EDPB) lo scorso 10 novembre e aperta a consultazione pubblica. Essa ha fornito chiarimenti in merito alla procedura di valutazione del trasferimento richiesta a seguito della sentenza Schrems II, suggerendo precisi step da porre in essere, ed ha altresì individuato possibili misure supplementari (tecniche, contrattuali ed organizzative) agli strumenti ex art. 46 GDPR (ad es. clausole contrattuali standard) da adottare al fine di poter garantire una protezione sostanziale ai dati oggetto di trasferimento.  Ovviamente il primo step imprescindibile è la mappatura dei flussi verso gli USA: funzionali a tale analisi sono indubbiamente sia il Registro dei trattamenti di cui all’art. 30 GDPR, che le opportune valutazioni preliminari svolte al fine di adempiere agli obblighi di informazioni nei confronti degli interessati. È necessario prendere in considerazione tutta la filiera di trattamento dei dati, valutando ai fini della mappatura anche eventuali trasferimenti successivi posti in essere da responsabili e/o da sub-responsabili del trattamento. Sul fronte invece delle misure tecniche supplementari, alcune meritano particolare attenzione alla luce dell’onere gravante in capo all’Esportatore (quindi al Titolare europeo dei dati) che, potendole attuare, “salverebbe” il trasferimento verso gli USA da rischi di illegittimità.

La Raccomandazione richiama in primis la cifratura dei dati. Nel dettaglio è previsto come i dati personali debbano essere  trattati con una crittografia avanzata (strong encryption) prima della trasmissione; l’algoritmo di cifratura e la sua parametrizzazione (ad esempio, lunghezza della chiave, modalità di funzionamento, se applicabile) debbono essere  “conformi allo stato dell’arte”, potendosi così considerare resistenti alla criptoanalisi eventualmente eseguibile  dalle autorità pubbliche del paese di trasferimento, tenendo conto delle risorse e delle tecniche (ad es. potenza di calcolo per attacchi di forza bruta) a loro disposizione. Le chiavi ovviamente devono essere conservate esclusivamente sotto il controllo dell’Esportatore di dati, o di altri soggetti incaricati di questo compito che risiedono nello S.E.E. o in un paese terzo o presso un’organizzazione internazionale per la quale la Commissione ha stabilito in conformità con l’articolo 45 GDPR che sia garantito un livello di protezione adeguato.

Altra misura è la pseudonimizzazione: laddove le informazioni aggiuntive necessarie per risalire a persone fisiche identificabili siano in esclusivo possesso del Titolare ed eventuali autorità pubbliche del paese terzo non abbiano informazioni tali da consentire detta identificazione, ovviamente viene preservata la riservatezza degli interessati.

In caso di trattamenti di dati in chiaro, tenuto conto dell’attuale stato dell’arte, la cifratura dei dati in transito e dei dati inattivi non costituiscono una adeguata misura supplementare quando il trattamento di dati personali non crittografati sia tecnicamente necessario per la fornitura del servizio da parte del responsabile del trattamento, e se la normativa dello stato terzo non garantisce equivalente livello di protezione. Tale circostanza può trovare applicazione ad es. in relazione ai servizi cloud o ai trattamenti infragruppo.

Orbene, laddove dalla valutazione di casi specifici emerga che il livello di protezione dei dati personali trasferiti non è sostanzialmente equivalente a quello garantito all’interno dello S.E.E., sarebbe  necessario non iniziare, sospendere o interrompere il trasferimento e, laddove i dati fossero già trasferiti, procedere con la restituzione e/o la cancellazione dei dati nel paese terzo non adeguato; qualora si intendesse comunque procedere o continuare il trasferimento, sarebbe necessario informare l’autorità di controllo competente, che sospenderà o vieterà i trasferimenti di dati nei casi in cui ritenga che un livello di protezione sostanzialmente equivalente non possa essere assicurato, potendo altresì imporre qualsiasi altra misura correttiva (ad es. sanzioni pecuniarie).

Allo stato attuale attendiamo che si chiudano le consultazioni. Certamente una osservazione si rende necessaria: pur essendo totalmente incontestabile la sentenza emessa, non si può pensare che le aziende europee “interrompano” immediatamente dei flussi di dati con gli USA in considerazione della molteplicità di rapporti. Quindi, sia sotto il profilo temporale che tecnologico, si dovranno comunque trovare soluzioni idonee e consentire ai Titolari di gestire il rischio effettivo proponendo soluzioni che siano attuabili con tempi opportuni.