Prossimi passi per le aziende dell'UE & FAQ

20 July 2020

Siamo consapevoli del fatto che molti titolari del trattamento siano sopraffatti dalla recente sentenza della Corte di giustizia dell´Unione Europea sul trasferimento di dati UE-USA e dall´assenza di un “periodo di grazia”. Per agevolare tale compito abbiamo riassunto le risposte agli interrogativi più comuni.

Forniamo anche due questionari tipo che potete sottoporre all´attenzione dei partner statunitense o europei, qualora abbiano legami con gli Stati Uniti. Ricordiamo che un'azione rapida può essere un fattore rilevante nel caso in cui un'autorità di protezione dei dati prenda in considerazione l'imposizione di multe per la mancata osservanza della sentenza.

Nei prossimi giorni aggiorneremo questa pagina e pubblicheremo specifiche FAQ e testi modello per gli utenti ("soggetti interessati"). Nel frattempo, ogni commento da parte vostra è benvenuto.

 

Richieste tipo ai fornitori statunitensi o ai fornitori con legami negli Stati Uniti

È possibile utilizzare queste richieste in relazione ai più comuni flussi di dati UE-USA che possono essere coinvolti dalla decisione della CGUE:

Aggiungeremo presto altre richieste per altre situazioni.

 

FAQ per le aziende UE

  • Quali sono le conseguenze quando non intervengo?

La CGUE ha sottolineato che i titolari del trattamento e (se questi rimangono inerti) le autorità di protezione dei dati hanno il dovere di agire per sospendere o vietare i trasferimenti di dati (paragrafo 134 della sentenza) quando non dispongono di uno strumento giuridico valido per un trasferimento. Ne deriva che in questo caso non vi è alcuna possibilità di un "periodo di grazia".

Ai sensi del GDPR è prevista una sanzione di 20 milioni di euro o del 4% del fatturato globale se si continua a trasferire dati senza uno strumento giuridico valido (articolo 83, paragrafo 5, lettera c), GDPR). In tali casi, le ONG, i consigli dei lavoratori o i singoli interessati possono presentare reclami o avviare azioni legali, anche per danni morali.

È probabile che un'autorità di protezione dei dati non infligga ammende a un responsabile del trattamento se questi è in grado di dimostrare di aver adottato tempestivamente tutte le misure per conformarsi alla sentenza della Corte. Questa pagina intende aiutare i controller a dimostrare tali misure.

  • Esaminate se avete bisogno di trasferire dati all'estero da un punto di vista commerciale!

In molti casi, i fornitori esterni non UE/SEE sono stati scelti con poca considerazione delle ramificazioni. Pertanto, in molti casi è possibile passare a un fornitore UE/SEE (o a un fornitore di un paese "adeguato" come la Svizzera) e quindi evitare del tutto i problemi legati al trasferimento dei dati.

Anche se inizialmente l'utilizzo di un fornitore UE/SEE può sembrare più costoso, il tempo impiegato per rendere legale un trasferimento non UE/SEE può costarvi più di quello che risparmiate con un'offerta più vantaggiosa dall'estero.

  • Se utilizzate ancora le SCC per i trasferimenti verso qualsiasi fornitore non UE/SEE, cosa dovete fare?

Il titolare e il relativo fornitore devono effettuare un'analisi "caso per caso" (paragrafo 134 della sentenza), per verificare se ci siano leggi nazionali, cui questo fornitore è soggetto, che violino il GDPR e la Carta dei diritti fondamentali.

In generale, le leggi che consentono l'accesso ai dati da parte delle forze dell'ordine in casi individuali e previa approvazione di un giudice saranno conformi al diritto dell'UE. Le forme di accesso meno democratiche e di ampia portata ("sorveglianza di massa") o l'accesso senza controllo giurisdizionale saranno viceversa in contrasto con il diritto dell'UE.

  • Se utilizzo in modo specifico le SCC per i trasferimenti a un fornitore statunitense, cosa devo fare?

La maggior parte dei fornitori di servizi cloud statunitensi rientra nella FISA 702 e non sarà più possibile utilizzarli. La definizione di "fornitore di servizi di comunicazione elettronica", cui si applica tale disciplina e contenuta nel 50 USC § 1881(b)(4), descrive il "fornitore di servizi di comunicazione elettronica" nel seguente modo:

  •     Providers of remote computing services,
  •     Provider of electronic communication services,
  •     Telecommunications carriers,
  •     Any other communication service provider who has access to wire or electronic communications either as such communications are transmitted or as such communications are stored, and
  •     any officer, employee, or agent of any such entity.

Se non siete sicuri, potete chiedere direttamente al vostro fornitore se lo stesso sia soggetto al FISA 702 e/o se disponga di adeguate protezioni contro la sorveglianza dei dati in transito (ai sensi della FISA 702 e/o dell´OE 12.333). Poiché ogni situazione è diversa, abbiamo preparato delle domande preliminari a titolo esemplificativo, che potete utilizzare per sapere se la vostra soluzione di elaborazione negli USA è conforme alla sentenza.

Download: Questionario per fornitore statunitense in caso di utilizzo delle SCC

  • Se utilizzo un fornitore che elabora dati nell'UE/SEE, ma è collegato a (o utilizza) un'azienda statunitense, cosa devo fare?

La FISA 702 e la EO 12.333 non hanno alcuna limitazione territoriale. Si applicano anche ai server nell'UE gestiti da un "fornitore di servizi di comunicazione elettronica" statunitense o in cui determinate operazioni sono esternalizzate a un fornitore statunitense. In presenza di queste condizioni, la sede per l'hosting è quindi irrilevante.

In alcuni casi, i fornitori possono avere adottato misure di sicurezza efficaci per limitare l´accesso da parte di entità statunitensi ("possession, custody or control"), cosicché un server UE/SEE è di fatto al di fuori della portata del governo statunitense. Un esempio potrebbe essere quello di un'ente giuridico di diritto UE vincolato dal GDPR a non fornire dati alla società madre statunitense e senza accesso fisico ai server da parte della società madre statunitense.

Poiché ogni situazione è diversa, abbiamo preparato delle domande preliminari, che potete utilizzare per valutare se la vostra soluzione di elaborazione UE è conforme alla sentenza.

Download: Questionario per fornitore di hosting in UE con un link verso gli USA

  • E la sorveglianza in transito?

Al paragrafo 183 della C-311/18, la Corte ha anche rilevato che la sorveglianza statunitense sui dati "in transito" (come avviene nel programma "Upstream" o l´intercettazione dei cavi translatlantici) viola i diritti fondamentali dell'UE.

Dal punto di vista del GDPR, la nostra posizione preliminare prevede che tali intromissioni esterne dei dati personali rientrino principalmente nell'articolo 32 GDPR (sicurezza del trattamento). L'esportatore e l'importatore di dati dovranno quindi attuare misure tecniche e organizzative adeguate per proteggere i dati trasferiti dalle intercettazioni NSA/FBI.

Dato che il governo degli Stati Uniti ha presumibilmente ampi poteri per infrangere la cifratura, si tratta principalmente di valutare per ogni trasferimento di dati se sia possibile trovare e, nel caso, quale sia, la soluzione tecnica adeguata. Il governo statunitense sostiene di utilizzare principalmente "selettori" (come indirizzi e-mail, indirizzi IP o numeri di telefono) per programmi come Upstream. Qualsiasi approccio tecnico deve quindi garantire che tali selettori siano al di sotto del livello di cifratura end-to-end. In molte forme di comunicazione diretta (come un'e-mail cifrata PGP) i "selettori" non sono a loro volta cifrati.

Potete utilizzare le domande esemplificative sopra riportate per chiedere al vostro fornitore informazioni sulle misure contro la sorveglianza in transito.

  • Esiste un elenco di provider statunitensi che rientrano in queste leggi di sorveglianza?

Non esiste un elenco completo di tutti i fornitori statunitensi che rientrano nella 702 FISA (50 USC § 1881a), poiché tutti i "fornitori di servizi di comunicazione elettronica" rientrano in questa legge. La definizione di "fornitore di servizi di comunicazione elettronica" si trova, come detto in precedenza, nel § 50 USC 1881(b)(4).

Allo stesso tempo, diverse aziende hanno pubblicato in passato i cosiddetti "rapporti di trasparenza" che elencano gli accessi conseguenti a richieste FISA. Questo ci permette di dedurre che tali aziende sono soggette al FISA.

Qui trovate alcuni esempi (molte altre aziende, infatti, pur soggette al FISA 702, semplicemente non condividono tali informazioni):

AT&T

Amazon (AWS)

Apple

Cloudflare

Dropbox

Facebook

Google

Microsoft

Verizon Media (in precedenza Oath Yahoo)

Verizon

  • Chi deve pagare i costi per l´ímplementazione tecnica della sentenza C-311/18?

Se in precedenza avete utilizzato le SCC per i vostri trasferimenti, la legge non è cambiata. Qualsiasi fornitore non appartenente all'UE/SEE aveva l'obbligo di informarvi in merito a leggi come la FISA 702 e la EO 12.333. Di conseguenza, se non lo hanno fatto, riteniamo che siano responsabili di tutti i costi derivanti dalla cancellazione dell´accordo SCC e dal ritrasferimento dei dati all'UE/SEE ai sensi della clausola II dell'allegato della Decisione 2004/915/CE o della clausola 5(b) dell'allegato della Decisione 2010/87.

La decisione sul Privacy Shield è stata una decisione errata da parte della Commissione Europea. In teoria, le richieste di risarcimento danni possono essere presentate contro l'UE ai sensi dell'articolo 340 del TFUE.

  • Posso utilizzare l'articolo 49 GDPR per tutti i trasferimenti statunitensi?

L'EDPB ha adottato la posizione secondo cui l'articolo 49 può essere utilizzato solo per "trasferimenti occasionali e non ripetitivi", il che limita l'articolo 49 a situazioni individuali in cui gli utenti hanno dato il loro esplicito consenso, o se il trasferimento è strettamente necessario per eseguire un contratto (ad es. una prenotazione alberghiera all'estero).

Contrariamente ad alcune recenti affermazioni, l'esternalizzazione delle operazioni di trattamento non è strettamente "necessaria" per fornire il contratto se il titolare potrebbe teoricamente utilizzare anche un fornitore UE/SEE o trattare i dati internamente. I titolari del trattamento devono inoltre tenere presente che gli interessati possono revocare il loro consenso in qualsiasi momento.

L'articolo 49 consente di mantenere aperte le comunicazioni "di base" con qualsiasi paese del mondo (dalla Svizzera alla Corea del Nord), ma è solo una deroga per i trasferimenti assolutamente necessari.

Link: Linee guida 2/2018 sulle deroghe di cui all'articolo 49

  • Come posso valutare se la legge del paese terzo è compatibile con i diritti fondamentali dell'UE?

Dopo la sentenza Schrems I, nel 2016 il gruppo di lavoro "Articolo 29" (ora EDPB) ha fornito indicazioni chiare su ciò che può e non può essere considerato un'ingerenza giustificabile nei diritti fondamentali in una società democratica per quanto riguarda la legislazione sulla protezione dei dati (articoli 7 e 8 della Carta). In tale documento le autorità di protezione dei dati hanno già individuato quattro garanzie essenziali che devono essere rispettate nei paesi in cui vengono inviati i dati dell'UE:

A. Il trattamento dovrebbe essere basato su regole chiare, precise e accessibili;

B. La necessità e la proporzionalità rispetto agli obiettivi legittimi perseguiti devono essere dimostrate;

C. Dovrebbe esistere un meccanismo di controllo indipendente;

D. L´individo deve poter avere accesso a rimedi efficaci in caso di violazione.

Si noterà che la CGUE ha utilizzato almeno due punti di questa guida per invalidare il Privacy Shield. Pertanto può essere utile per voi dare prima un'occhiata a questo documento di analisi.

Link: Documento di lavoro 237 del gruppo di lavoro "Articolo 29