Dopo la sentenza della Corte Europea (di seguito CJEU) numero C-311/18 Schrems II, che ha abolito il Privacy Shield quale strumento legale per il trasferimento dei dati personali tra EU e USA, lo European Data Protection Board (di seguito EDPB) doveva in qualche modo calarla nel contesto pratico. Dopo alcuni mesi di attesa è arrivata una raccomandazione del 10 novembre che spiega la linea scelta dall’Europa, ed è la linea del rigore.
Linea non morbida
L’EDPB ha accolto in pieno la sentenza della CJEU optando per la linea dura. Vale a dire che si è scelto un approccio rigorista all’interno del quale il trasferimento dei dati personali, alla luce del Capo V del GDPR, è concesso se e solo se ci sono i presupposti legali per attuarlo.
Se la sentenza della Corte poteva indurre a pensare che decaduto il Privacy Shield semplicemente avremmo potuto adottare le Standard Contractual Clauses (di seguito SCC). La raccomandazione oggetto di questo breve articolo, invece, parla molto chiaro e fa chiaramente intuire che se all’atto di un controllo delle sue autorità nazionali l’importatore fosse “obbligato” a fornire accesso ai dati, allora le SCC avrebbero lo stesso valore del defunto Privacy Shield e cioè nessuno.
Annex 2
Pertanto, afferma la raccomandazione, in quei casi il trasferimento deve essere sospeso o non iniziato. In tal senso l’Annex 2 reca un case use molto preciso quando parla di Transfer to cloud services providers or other processors which require access to data in the clear e non a caso questo esempio viene posto sotto il titolo “Scenario in cui non può essere presa nessuna misura efficace”.
FISA Section 702
Il motivo per cui queste affermazioni risultano cruciali è dovuto a quel breve, ma cruciale, elenco di tipologie di soggetti sottoposti alla scure delle normative interne americane. In particolare la FISA Sezione 702 si concentra su telecommunication carrier, provider of electronic communication service, provider of a remote computing service e and other communication provider. Tutti costoro, anche se dicessero ai cittadini europei di trattare i dati sulla base delle SCC, non sarebbero comunque a norma in quanto potenzialmente le autorità americane potrebbero violare legittimamente i loro server rendendo di fatto le SCC poco più che una buona intenzione.
Impossibilità di misure efficaci
Motivo per cui l’appendice della raccomandazione elenca una serie cospicua di casi per i quali rafforzare le misure di sicurezza è di fatto impossibile, perché il Responsabile/Importatore dovrebbe gestire i dati in chiaro. Ma rientrando in quelle categorie di cui sopra sarebbe esposto a controlli che violerebbero la riservatezza dei dati personali dei cittadini dell’Unione Europea.
Download
La raccomandazione, che nel suo corpo principale fornisce un metodo di valutazione, è scaricabile dal sito dell’EDBP.
