Dla Piper lancia un tool per valutare i trasferimenti di dati extra See
Dla Piper e in particolare il team del socio Giulio Coraggio (nella foto) ha sviluppato una metodologia e un tool di legal tech, chiamato Transfer, per valutare i trasferimenti dei dati personali fuori dallo Spazio Economico Europeo (SEE) dopo la sentenza della Corte di Giustizia denominata “Schrems II”. La decisione ha invalidato il Privacy Shield e richiesto una valutazione caso per caso qualora le aziende intendano utilizzare le clausole contrattuali standard.
Ciò espone tutte le aziende che si trovano a trasferire dati al di fuori dell’UE alle sanzioni previste dal GDPR. Ne abbiamo parlato con l’avvocato Coraggio.
In cosa consiste il tool legal tech che avete messo a punto?
Transfer è un tool che permette alle organizzazioni di valutare la conformità al GDPR del trasferimento dei dati personali al di fuori dello SEE, effettuando una valutazione completa circa l’equivalenza delle tutele offerte dal paese destinatario dei dati rispetto alla normativa sul trattamento dei dati personali europea. L’esigenza di utilizzare questo tool è sorta dopo che la Corte di Giustizia europea ha invalidato il Privacy Shield e indicato delle limitazioni al trasferimento dei dati personali al di fuori dello SEE che vanno valutate caso per caso, tenendo conto della normativa del paese terzo, delle misure tecniche e contrattuali adottate e del possibile rischio per i dati degli individui che sono trasferiti.
Cosa fa Transfer esattamente?
Transfer semplifica e automatizza questa valutazione e al momento Dla Piper è l’unico studio legale, e in generale è l’unico consulente e fornitore, a offrire un tool simile che è stato revisionato e apprezzato finora dal garante italiano, inglese, irlandese, belga e al momento è al vaglio del garante francese ed olandese.
È utilizzabile anche dai clienti italiani?
Transfer è attualmente utilizzato dai clienti di Dla Piper in tutto il mondo. Il valore aggiunto del tool risiede non solo nell’automazione della valutazione, ma anche nella possibilità di avere accesso ai moduli di analisi della normativa straniera sul trattamento dei dati personali realizzati grazie al network internazionale di Dla Piper, permettendo così alle organizzazioni di effettuare analisi dettagliate da fornire al Garante privacy in caso di contestazione.
Chi ci ha lavorato?
Dla Piper è riuscita tramite questo tool a rendere complementari le proprie conoscenze legali con le skill di legal tech del proprio team. Siamo infatti dell’idea che gli avvocati devono, e dovranno sempre più, integrare le proprie competenze legali con competenze tecniche. Transfer è il risultato di una metodologia sviluppata dal gruppo internazionale dedicato alla Data Protection di Dla Piper con il mio coinvolgimento in quanto coordinatore della pratice privacy italiana. L’attività di sviluppo del tool è stata coordinata da Tommaso Ricci del team privacy dello studio.
Facciamo un passo indietro. Perché la Sentenza Schrems II è così rilevante?
Con la sentenza emessa lo scorso 16 Luglio nella causa C-311/18 (la c.d. Sentenza Schrems II), la Corte di Giustizia europea ha dichiarato invalida la decisione di adeguatezza del “Privacy Shield” in merito al regime di trasferimento dei dati tra l’Unione europea e gli Stati Uniti. Quale effetto di questa sentenza, i trasferimenti verso gli Stati Uniti basati sul Privacy Shield non sono più ritenuti legali e le organizzazioni che intendono continuare tali trasferimenti sono tenute ad identificare un meccanismo alternativo per il trasferimento, tra quelli previsti dall’art. 46 del GDPR., tra cui ad esempio la sottoscrizione delle clausole contrattuali standard (le SCCs) con il soggetto ricevente.
Quindi?
Sebbene le SCC siano riconosciute ancora valide dalla Corte, non possono essere considerate sufficienti se non accompagnate da una analisi svolta caso per caso della normativa sul trattamento dei dati personali del paese straniero, delle circostanze del trasferimento e delle misure supplementari eventualmente messe in atto, come chiarito anche dal Comitato dei Garanti europei nelle proprie FAQ sulla sentenza Schrems II.
Che effetti produce la sentenza?
Gli effetti della sentenza Schrems II per la aziende che trasferiscono dati fuori dall’Italia sono ingenti per qualsiasi azienda perché tutte le aziende utilizzano ad esempio i software delle Big Tech americane e hanno fornitori in India, Cina o altri paesi al di fuori dello SEE. Non basta che queste aziende dichiarino di usare dei server in Europa perché il semplice accesso ai dati effettuato da un paese terzo, ad esempio a fini amministrativi, costituisce un trasferimento che richiede la valutazione sopra indicata. Inoltre, i requisiti fissati dalla Corte di Giustizia europea per i trasferimenti verso gli Stati Uniti si applica a qualsiasi paese al di fuori dello Spazio economico europeo.
Ovvero?
Spetta all’esportatore e all’importatore di dati valutare se il livello di protezione richiesto dal diritto dell’UE sia rispettato nel paese terzo in questione. Tale valutazione è particolarmente critica in quanto un esito negativo comporterebbe il rischio di dover interrompere del tutto il trasferimento, perdendo così un servizio/fornitore, e qualora il trasferimento continuasse la società potrebbe subire le sanzioni milionarie previste dal GDPR. Quindi, Per rispondere a questo problema, abbiamo predisposto – in aggiunta al tool Transfer e all’analisi della normativa dei paesi stranieri – un set di clausole contrattuali aggiuntive, con l’indicazione anche di specifiche misure tecniche, per rinforzare il livello di protezione dei dati e mitigare il rischio legato al trasferimento.
