Comunicato stampa EDPB su raccomandazioni a seguito della sentenza Schrems II

Il Comitato europeo per la protezione dei dati nella 41a sessione plenaria adotta raccomandazioni sulle misure supplementari per i trasferimenti di dati a seguito della sentenza Schrems II

Bruxelles, 11 novembre 2020 – Durante la sua 41a sessione plenaria, il Comitato europeo per la protezione dei dati ha adottato raccomandazioni sulle misure che integrano gli strumenti di trasferimento dei dati per garantire il rispetto del livello UE di protezione dei dati personali, nonché raccomandazioni sulle cosiddette “garanzie essenziali europee” in rapporto alle misure di sorveglianza.
Entrambi i documenti sono stati adottati successivamente alla sentenza “Schrems II” della CGUE. A seguito della sentenza del 16 luglio scorso, i titolari del trattamento che utilizzino clausole contrattuali tipo sono tenuti a verificare, caso per caso e, ove opportuno, in collaborazione con il destinatario dei dati nel paese terzo, se la legislazione del paese terzo garantisca un livello di protezione dei dati personali trasferiti sostanzialmente equivalente a quello vigente nello Spazio economico europeo (SEE). La CGUE ha consentito agli esportatori di aggiungere misure supplementari alle clausole contrattuali tipo per garantire l’effettivo rispetto di tale livello di protezione qualora le garanzie contenute nelle clausole contrattuali tipo non siano sufficienti.
Le raccomandazioni intendono assistere i titolari e responsabili del trattamento che siano esportatori di dati nell’individuazione e nell’attuazione di adeguate misure supplementari, ove queste siano necessarie per garantire ai dati trasferiti verso paesi terzi un livello di protezione sostanzialmente equivalente. In tal modo, il comitato mira a un’applicazione coerente del RGPD e della sentenza della Corte in tutto il SEE.
Andrea Jelinek, la presidente del comitato europeo per la protezione dei dati, ha dichiarato: “Il comitato è pienamente consapevole dell’impatto della sentenza Schrems II su migliaia di imprese dell’UE e dell’importante responsabilità che tale sentenza attribuisce agli esportatori di dati. Il comitato si augura che le raccomandazioni possano aiutare gli esportatori di dati a individuare e attuare misure supplementari efficaci laddove siano necessarie. Il nostro obiettivo è consentire trasferimenti leciti di dati personali verso paesi terzi, garantendo nel contempo che ai dati trasferiti sia assicurato un livello di protezione sostanzialmente equivalente a quello vigente all’interno del SEE.”
Le raccomandazioni offrono una sequenza logica delle attività di analisi che gli esportatori di dati devono compiere per stabilire se siano tenuti a mettere in atto misure supplementari al fine di trasferire i dati al di fuori del SEE conformemente al diritto dell’UE, e per aiutarli a individuare le misure più efficaci. Per assistere gli esportatori di dati, le raccomandazioni contengono anche un elenco non esaustivo di esempi di misure supplementari nonché alcune delle condizioni necessarie per rendere efficaci le singole misure.
Tuttavia, spetta in ultima analisi agli esportatori effettuare la valutazione in concreto alla luce dello specifico trasferimento, del diritto del paese terzo e dello strumento di trasferimento utilizzato. Gli esportatori di dati devono procedere con la dovuta diligenza e documentare accuratamente il processo valutativo, in quanto saranno chiamati a rispondere delle decisioni assunte su tale base, in linea con il principio di responsabilizzazione previsto dal RGPD. Inoltre, gli esportatori di dati dovrebbero essere consapevoli del fatto che non in tutti i casi potrebbe essere possibile mettere in atto misure supplementari sufficienti.
Le raccomandazioni sulle misure supplementari saranno sottoposte a consultazione pubblica. Saranno applicabili immediatamente dopo la loro pubblicazione.
Il comitato ha adottato anche una serie di raccomandazioni sulle garanzie essenziali europee relativamente alle misure di sorveglianza. Le raccomandazioni sulle garanzie essenziali europee sono complementari alle raccomandazioni sulle misure supplementari. Le raccomandazioni sulle garanzie essenziali europee forniscono agli esportatori di dati elementi utili a stabilire se il quadro giuridico che disciplina in paesi terzi l’accesso delle autorità pubbliche ai dati per fini di sorveglianza configuri un’ingerenza giustificata nei diritti alla vita privata e alla protezione dei dati personali, e quindi non sia in contrasto con gli impegni assunti dall’esportatore e dall’importatore attraverso lo strumento di trasferimento utilizzato fra quelli di cui all’articolo 46 del RGPD.
La presidente del comitato aggiunge: “Le implicazioni della sentenza Schrems II interessano tutti i trasferimenti verso paesi terzi. Pertanto, non vi sono soluzioni rapide né una soluzione valida per tutti i trasferimenti, in quanto ciò significherebbe ignorare la grande eterogeneità dei contesti in cui operano gli esportatori di dati. Questi ultimi dovranno valutare i rispettivi trattamenti e trasferimenti di dati e adottare misure efficaci tenendo conto dell’ordinamento giuridico dei paesi terzi verso i quali trasferiscono o intendono trasferire i dati stessi.”
Le autorità di protezione dei dati del SEE continueranno a coordinare le loro azioni in seno al comitato per garantire l’applicazione coerente del diritto dell’UE in materia di protezione dei dati.