In questa presentazione abbiamo analizzato l'impatto delle nuove clausole contrattuali standard (SCCs) sui trasferimenti dei dati al di fuori dello SEE, delle raccomandazioni del EDPB sui trasferimenti dei dati e di come eseguire un transfer impact assessment alla luce della sentenza Schrems II grazie ai professionisti esperti di privacy dello studio legale DLA Piper
3. www.dlapiper.com
• Introduzione – Perché le nuove SCCs?
• Tempistiche & roadmap
• Le nuove SCCs – applicazione, struttura e contenuto
• Considerazioni alla luce della Sentenza Schrems II - Le Linee
guida relative alle misure supplementari per i trasferimenti
internazionali di dati personali dell’EDPB
• Come eseguire un Transfer Impact Assessment (TIA)?
• Q&A
3
Agenda Legal 500
Data Protection and
Data Privacy
Band 1 - DLA Piper
Leading Individual – Giulio Coraggio
Rising Star – Giulia Zappaterra
Legal 500
TMT
Band 1 - DLA Piper
Leading Individual – Giulio Coraggio
Rising Star – Giulia Zappaterra
Legalcommunity
IP & TMT
Awards 2021
Avvocato dell’anno Privacy -
Giulio Coraggio
Legalcommunity
IP & TMT
Awards 2021
Studio dell’anno Information
Technology - DLA Piper
4. www.dlapiper.com
• Una storia infinita – dalle clausole C2C del 2001 e C2P del
2002 fino alle nuove SCCs
• La necessità di nuove SCCs:
Il GDPR
Il caso Schrems II
Le raccomandazioni relative alle misure supplementari per i
trasferimenti internazionali di dati personali dell’EDPB
4
Introduzione – Perché le nuove SCCs?
5. www.dlapiper.com 5
Date da ricordare
• Entrata in vigore delle nuove SCCs → 27 giugno 2021
• Nuovi contratti → fino al 27 settembre 2021 si possono usare
sia le vecchie che le nuove SCCs, dopo sono le nuove
• Contratti in essere→ aggiornare i contratti in essere con le
nuove SCCs entro il 27 dicembre 2022
6. www.dlapiper.com 6
Gestione dei trasferimenti di dati: quando e come
applicare le nuove SCCs
Il trasferimento è
regolato dal GDPR o dal
regime di data
protection del Regno
Unito?
Continuare ad utilizzare
le SCCs previgenti fino
all’adozione di nuove
SCCs per il Regno
Unito da parte dell’ICO
UK
Il trasferimento è
nuovo o già in
corso?
UE
Quando si
concluderà il
trasferimento?
In corso
Utilizzare le SCCs
previgenti. Adottare le
nuove SCCs al rinnovo del
contratto o prima del
rinnovo per conformarsi
alla sentenza Schrems II.
Adottare le nuove SCCs
non più tardi del 27 dic
2022
Quando avrà
inzio il
trasferimento?
Nuovo Adottare le nuove
SCCs O continuare ad
utilizzare le SCCs
previgenti per i
trasferimenti destinati a
concludersi entro il 27
dic 2022.
Adottare le nuove
SCCs
Prima del 27 dic 2022
Dopo il 27 dic 2022
Prima del 27 set
2021
Dopo il 27 set 2021
8. www.dlapiper.com
Ambito di applicazione e struttura
• Misure di sicurezza adeguate per i
trasferimenti di dati personali da un
Titolare/Responsabile soggetto al
GDPR a un Titolare/(sub)
Responsabile non soggetto al
GDPR
Scopo e Ambito di applicazione
• M1: C-2-C
• M2: C-2-P
• M3: P-2-P
• M4: P-2-C
Approccio modulare
• Clausole Generali
• Misure di sicurezza variegate in
base al modulo selezionato
• Integrazione del wording
introdotto dagli articoli 28.3 / 28.4
• Clausola di “docking” per
agevolare l’adesione di terze
parti
• Testo e allegati
Contenuto
9. www.dlapiper.com
Guida all’adozione della documentazione
Rif. Tema Decisione / contenuto da includere Note
Allegato I Selezione del modulo Decidere quale dei quattro moduli applicare 1 – Titolare a Titolare / 2 – Titolare a Responsabile
3 – Processor to Processor / 4 – Processor to Controller
Allegato I.A Dettagli delle parti Inserire nome / indirizzo / firme di esportatore e
importatore
È prevista maggiore flessibilità per l’adesione di parti terze al contratto
alla luce della clausula di adesione successiva (Clausola 7)
Allegato I.B Descrizione del
trasferimento
Inserire una descrizione delle categorie di
interessati; dati personali; frequenza; natura e
finalità del trattamento
Allegato I.C Autorità di controllo
competente
Indicare l’autorità di controllo dell’esportatore
Allegato II Misure di sicurezza
tecniche/organizzative
Inserire descrizione delle misure di sicurezza e dei
relativi controlli volti a garantire la protezione dei dati
Deve essere inclusa una descrizione complessiva dei controlli adottati in
ragione del trattamento e per i Moduli 2 / 3 dovrebbe indicare in che
misura il responsabile fornirà assistenza all'esportatore
Allegato III Elenco dei sub-
responsabili autorizzati
Inserire un elenco dei sub-responsabili autorizzati Previsione opzionale e rilevante solo se sono stati selezionati i Moduli 2 o
3 e se è stata applicata l'opzione 1 nella clausola 9(a).
Clausola
9(a)
Gestione dei sub-
responsabili
Decidere se l’esportatore concederà un’autorizzazione
specifica o generale al ricorso a sub-responsabili del
trattamento. Separatamente, specificare il periodo utile
concesso all’esportatore per opporsi alle modifiche
dell’elenco prima del ricorso al o ai sub-responsabili
del trattamento.
Riguarda solo i moduli 2 o 3. Ove sia adottata un'autorizzazione specifica
(opzione 1) dovrà essere completato l'allegato III.
Clausola
17
Normativa applicabile Inserire la normative applicabile alle SCCs Deve trattarsi della normativa di uno Stato membro dell'UE, a meno che
non sia stato selezionato il modulo 4. In tutti i casi, la normativa pertinente
deve riconoscere i diritti delle terze parti.
Clausola
18
Foro competente Inserire il foro competente per la risoluzione di
eventuali controversie
Deve trattarsi di uno Stato Membro dell’UE, salvo non sia stato
selezionato il Modulo 4
UKG/105703042.1 9
10. www.dlapiper.com
Effetto ed
invariabilità delle
clausole
Terzi beneficiari Interpretazione Gerarchia
Clausola di
adesione
successiva
Legislazione e
prassi locali che
incidono sul
rispetto delle
clausole
Obblighi
dell’importatore in
caso di accesso da
parte di autorità
pubbliche
Inosservanza
delle Clausole e
risoluzione
Normativa
applicabile
Scelta del foro
competente e
della giurisdizione
10
Clausole Generali – uno sguardo complessivo
11. www.dlapiper.com 11
“Clausole Modulari” – misure di sicurezza per i dati
1. C-2-C 2. C-2-P 3. P-2-P 4. P-2-C
Istruzioni x x x
Limitazione della finalità x x x
Trasparenza x x x
Esattezza x x x
Minimizzazione dei dati x
Limitazione della conservazione x
Durata del trattamento e cancellazione/restituzione dei dati x x
Sicurezza (*congiuntamente alle MTO nell’Allegato II) x* x* x* x
Dati sensibili x x x
Trasferimenti ulteriori x x x
Trattamento sotto l’autorità dell’importatore di dati x
12. www.dlapiper.com
1. C-2-C 2. C-2-P 3. P-2-P 4. P-2-C
Documentezione e compliance x x x x
Audit (inclusi audit in loco?) x x
Uso di sub-responsabili x x
Diritti degli interessati x x x x
Ricorso x x x x
Responsabilità x x x x
Supervisione x x x
12
“Clausole Modulari” – salvaguardie ulteriori
13. www.dlapiper.com
Considerazioni alla luce della sentenza Schrems II - Le raccomandazioni
alle misure supplementari per i trasferimenti internazionali di dati
personali dell’EDPB
Giulia Zappaterra
13
UKG/105703042.1
14. www.dlapiper.com
• Le nuove SCCs sono strutturate in modo da assistere esportatori e importatori nel processo di
attuazione della sentenza Schrems II ma non risolvono tutte le criticità.
• Le nuove SCCs includono l’obbligo di condurre un Transfer Impact Assessment (TIA) alla luce di
Schrems II – la Clausola 14 impone che esportatore ed importatore garantiscano che la
valutazione d’impatto sia stata completata e documentata.
14
Considerazioni alla luce della Sentenza Schrems II
UKG/105703042.1
15. www.dlapiper.com
• Le parti dovrebbero garantire che, al momento dell’accettazione delle SCCs, non hanno motivo
di ritenere che la legislazione e le prassi applicabili all’importatore non sono in linea con tali
requisiti.
• Minimizzazione dei dati: Quando risponde a una richiesta di comunicazione, l’importatore
accetta di fornire la quantità minima di informazioni consentite, sulla base di un’interpretazione
ragionevole della richiesta.
• Se a norma della legislazione del Paese di destinazione, l’importatore riceve una richiesta
giuridicamente vincolante, da parte di un’Autorità pubblica, di comunicare i dati personali
trasferiti in conformità con le SCCs, l’importatore dovrebbe informarne l’esportatore e
l’interessato, ove possibile. Se dopo un riesame della legittimità della richiesta – a norma della
legislazione del paese di destinazione – l’importatore conclude che sussistono fondati motivi per
ritenerla illegittima, dovrebbe contestarla, se del caso anche esaurendo le possibilità di ricorso
disponibili.
15
Persistenza dell’obbligo di eseguire i «Transfer impact
assessments»
UKG/105703042.1
16. www.dlapiper.com
• Quali elementi considerare?
La TIA deve tenere conto di numerosi elementi che possono incidere sul trasferimento inclusa (e.g.
I trasferimenti ulteriori, le categorie di destinatari, le categorie e la natura di dati, il settore
economico di appartenenza, il luogo di conservazione dei dati, le finalità del trattamento).
• Come valutare l’impatto della legislazione e delle prassi del Paese di destinazione?
Possono essere presi in considerazione diversi elementi per valutare l’impatto della legislazione e
delle prassi sul rispetto delle SCCs (e.g. informazioni affidabili sull’applicazione pratica della
legislazione, l’esistenza o l’assenza di richieste di accesso ai dati nello stesso settore e, in
condizioni rigorose, l’esperienza pratica documentata dell’esportatore e/o dell’importatore).
16
Le Raccomandazioni relative alle misure supplementari
per i trasferimenti internazionali di dati personali
dell’EDPB
17. www.dlapiper.com
Un processo basato su 6 step per aiutare nella valutazione delle leggi del Paese terzo ed identificare le
misure supplementari
La valutazione secondo le raccomandazioni dell’EDPB
17
Step 1: Conosci i tuoi trasferimenti
• Dove vanno i dati?
• E’ il trasferimento adeguato, rilevante e limitato a quanto
necessario?
Step 2: Verifica il sistema di trasferimento
• Decisione di adeguatezza?
• Strumenti di trasferimento ex Articolo 46?
• Eccezioni ex Articolo 49?
Step 3: Valuta le leggi e pratiche del Paese terzo
• Valuta le modalità di accesso da parte delle autorità pubblica
• Considera l’esperienza concocreta del data importer se ai sensi della
normativa locale può essere comunicata
• Considera il provvedimento dell’EDPB sulle Garanzie Essenziali
Step 4: Identifica e adotta le misure supplemenri se la
normativa del Paese terzo può impedire l’efficacia delle
misure di cui all’Articolo 46
• Gli esempi sollevati dall’EDPB non sono esaustivi (Annex 2)
Step 5 : Adotta le soluzioni necessarie per dare
attuazione alle misure supplementari
Step 6: Rivaluta regolarmente il livello di protezione
garantito su dati trasferiti
18. www.dlapiper.com 18
Esempi di misure tecniche supplementary considerate efficati dall’EDPB in certi scenari
La valutazione secondo le raccomandazioni dell’EDPB
Algoritmo di crittografia nel contesto
della conservazione dei dati per il backup e
altri scopi senza necessità di accedere ai
dati in chiaro
• Chiavi conservate sotto il controllo
dell'esportatore di dati situato in un
"paese sicuro".
Trasferimento di dati pseudonimizzati,
ad esempio a scopo di ricerca
• Le informazioni aggiuntive che
permettono la reidentificazione sono
tenute esclusivamente dall'esportatore
di dati e conservate separatamente in
un "paese sicuro".
Crittografia dei dati in semplice transito in
paesi terzi
• La decrittazione è possibile solo al di
fuori del paese terzo
• Le chiavi sono gestite in modo affidabile
dall'esportatore in un "paese sicuro".
Dati trasferiti a destinatari protetti:
• Obbligo del segreto professionale
• I dati sono criptati e la chiave di
criptazione è sotto la sola custodia
dell'importatore di dati protetti
Trattamento frazionato o a più parti:
• Ogni parte del trattamento non può
essere attribuita a una persona
interessata senza informazioni
aggiuntive
• Le autorità pubbliche non sono in grado
di ricostituire i dati
19. www.dlapiper.com 19
La valutazione secondo le raccomandazioni dell’EDPB
Trasferimento a fornitori di servizi cloud o altri
processori che richiedono l'accesso ai dati in
chiaro
• Secondo l'EDPB, la crittografia del trasporto e i dati a
riposo anche presi insieme non assicurano una protezione
efficace se l'importatore di dati è in possesso della chiave di
crittografia
• Tuttavia l'EDPB non esclude la possibilità che ulteriori
sviluppi tecnologici possano consentire lo scopo previsto
senza accesso in chiaro ai dati
• In tal caso, l'importatore di dati ha bisogno di accedere ai dati in
chiaro per fornire servizi di personale per l'esportatore di dati o
comunicare con i clienti dell'esportatore di dati
• Per l'EDBP, non esiste una misura tecnica efficace per impedire che
tale accesso violi i diritti degli interessati
• La crittografia del trasporto e i dati a riposo anche presi insieme non
assicurano una protezione efficace se l'importatore di dati è in
possesso della chiave di crittografia
Accesso remoto ai dati per scopi aziendali
20. www.dlapiper.com
• Politiche interne per la governance dei
trasferimenti, in particolare all'interno di
gruppi di imprese
• Misure di trasparenza e responsabilità
• Metodi di organizzazione e misure di
minimizzazione dei dati
• Obbligo di utilizzare misure tecniche
specifiche
• Obblighi di trasparenza sull'accesso da
parte delle autorità pubbliche e garanzia
che non siano state create backdoor per
consentire tale accesso o modifiche
apportate per facilitare tale accesso
• Rafforzare i diritti di audit per verificare la
potenziale divulgazione alle autorità
pubbliche
La valutazione secondo le raccomandazioni dell’EDPB
Misure
contrattuali
Misure
organizzative
20
• Rafforzare l'obbligo dell'importatore di
dati di informare sulla sua incapacità di
rispettare i suoi impegni contrattuali
• Warrant canary
• Obbligo di intraprendere azioni
specifiche: contestare l'ordine di
un'autorità pubblica, informare l'autorità
pubblica del conflitto dell'ordine con le
disposizioni dello strumento di
trasferimento, permettere agli
interessati di esercitare i loro diritti
• Adozione di standard (per esempio norme
ISO) e best practice (per esempio ENISA)
• Revisione regolare delle politiche interne
• Impegno dell'importatore di dati a non
procedere al trasferimento successivo
21. www.dlapiper.com 21
Quale scenario dopo Brexit?
• Le nuove SCCs non si applicano al Regno Unito
• Il Regno Unito ha mantenuto le SCCs previgenti a seguito
dell’accordo di recesso UE-Regno Unito
• Il Regno Unito adotterà le sue SCCs nei prossimi mesi
• Nel frattempo, la Commissione europea ha adottato due
decisioni di adeguatezza nei confronti del Regno Unito
23. DLA Piper
Global Data Transfer Methodology
23
• Processo di valutazione in 5 fasi con matrice di scoring
proprietaria e criteri di valutazione ponderati per aiutare a
gestire un processo decisionale efficace
• Combinazione di competenze multi-giurisdizionali grazie
al team internazionale di DLA Piper
• Accesso a consulenza ad hoc su casi pratici
• Addendum con misure contrattuali e tecniche per ridurre il
rischio
24. 1
Green marketing is a practice
whereby companies seek to go
above and beyond traditional
Mappatura
del trasferimento
2
3
4
Valutazione in 5 step
5
Analisi del regime
legale edelle prassi
delle autorità
Bilanciamento del
rischio in base alle
misuredi protezione
Analisi del la gravità e
probabilità del rischiodi
danno
Calcolo del rischio
globale
26. 26
DLA Piper Data Transfer Tool
• Sviluppo e deployment con
modalità agile
• Facile implementazione,
condivisione e
customizzazione
• Autocompilazione
dell’assessment sulla legge
applicabile e la prassi
• Assistenza professionale
di DLA per gestire i casi
border line
• Aggiornamenti regolari
basati sull'interazione con
le autorità e sui feedback
dei clienti
• Legal Design per
ottimizzare la user
experience