Dopo la nota sentenza della Corte di giustizia Schrems II, la Commissione europea è stata tenuta a rivedere le Clausole Contrattuali Standard (SCC) al fine di indurre il titolare del trattamento a prestare maggiore attenzione nel trasferimento al di fuori dell’Unione Europea.
Data Protection Impact Assessment (DPIA) e Tranfer Impact Assessment (TIA)
La valutazione dell’impatto sul trasferimento dei dati personali (TIA) è, rispetto alla DPIA ex art. 35 GDPR, un’ulteriore valutazione del rischio, un’analisi indipendente del livello di sicurezza del rispettivo paese terzo verso il quale i dati devono essere trasferiti.
La valutazione d’impatto sulla protezione dei dati (DPIA) è una elaborata procedura condotta dal titolare del trattamento al fine di identificare, analizzare e determinare le possibili conseguenze in relazione ad un trattamento di dati personali. L’art. 35 statuisce che, quando un tipo di trattamento, quando prevede l’uso di nuove tecnologie (considerati la natura, l’oggetto, il contesto e le finalità del trattamento) può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento, prima di procedere a detto trattamento, deve effettuare una DPIA.
Se la DPIA è una procedura “interna” all’organizzazione, la TIA invece sposta tale tipo di valutazione sui fornitori, che devono essere identificati e localizzati geograficamente al fine di individuare la corretta base giuridica da utilizzare per il trasferimento dei dati personali.
Questa analisi distingue tra due ruoli: l’esportatore e l’importatore di dati. L’esportatore di dati è il titolare o il responsabile del trattamento, ai sensi dell’art. 4 (7) del GDPR, che trasferisce dati personali al paese terzo (es. servizi in cloud ospitati fuori dall’UE); l’importatore di dati è il titolare o responsabile che fornisce servizi ai titolari o responsabili nell’UE.
Il modello
Il GDPR e la sentenza Schrems II non identificano i fattori specifici che un’organizzazione deve considerare per predisporre una valutazione d’impatto sui trasferimenti. Tuttavia, possiamo ritrovare nelle nuove SCC, alla Clausola 14, delle precise indicazioni da tenere in debito conto per creare un modello di TIA:
- le circostanze del trasferimento (lunghezza della catena di fornitura, numero di attori coinvolti, canali di trasmissione usati; trasferimenti successivi previsti; finalità del trattamento; categorie e formato di dati personali trasferiti; luogo di conservazione dei dati);
- l’esistenza di leggi e prassi del paese terzo (comprese quelle che impongono la comunicazione di dati alle autorità pubbliche o che le autorizzano ad accedere ai dati) pertinenti alla luce delle circostanze specifiche del trasferimento, e le limitazioni e le garanzie applicabili;
- qualunque garanzia contrattuale, tecnica o organizzativa pertinente predisposta per integrare le garanzie delle SCC, comprese le misure applicate durante la trasmissione e il trattamento dei dati personali nel paese di destinazione.
Inoltre, ai sensi della clausola 14 lett. d), le parti sono soggette all’obbligo di documentare il processo di valutazione d’impatto del trasferimento e di metterla a disposizione dell’autorità di controllo competente su richiesta.
Conclusioni
Senza orientamenti e modelli ufficiali, non è possibile avere una procedura standard per la preparazione di una TIA. L’unica cosa certa finora è che, unitamente alle Clausole Contrattuali Standard, sarebbe opportuno effettuare anche tale tipo di valutazione. Il tema del trasferimento dei dati continuerà ad essere determinante per l’Unione Europea: lo scorso 19 novembre, infatti, l’EDPB ha adottato una bozza di Linee Guida (5/2021) sull’interazione tra l’applicazione dell’articolo 3 e le disposizioni sui trasferimenti internazionali delineate nel Capo V del GDPR, arrivando a definire “trasferimento” anche la divulgazione mediante trasmissione o la semplice messa a disposizione di dati personali, dall’esportatore all’importatore.