Replay – Trasferimento dati extra UE – I responsabili al di fuori del territorio europeo nel mercato dei servizi transfrontalieri

Il 27 maggio si è tenuta la tavola rotonda dal titolo “Trasferimento dati extra UE – I responsabili al di fuori del territorio europeo nel mercato dei servizi transfrontalieri” durante la Cyber Security Virtual Conference 2021.

• Moderatore: Camilla Bistolfi, Data protection, Electronic Communications and Digital Ethics expert
• Silvana Michetti, Head of Data Protection Advisory – UniCredit S.p.A.
• Valentina Raineri, County Offering Manager & Solutions Engineer, certificata CIPP/E & CIPPM, OneTrust
• Cristina Vicarelli, Avvocato

Di seguito un breve estratto:

Camilla Bistolfi, Data protection, Electronic Communications and Digital Ethics expert

“Nella sentenza della Corte di Giustizia Europea, quella che ha invalidato il Privacy Shield, è stato anche sottolineato che di per sé le standard contractual clauses e le binding corporate rules – cioè quei due strumenti oltre la decisione di adeguatezza della commissione messa a disposizione dal GDPR – sono state evidenziate come non di per sé sufficienti a garantire la sicurezza del trasferimento ad esempio negli Stati Uniti.”

Silvana Michetti, Head of Data Protection Advisory – UniCredit S.p.A.

“Facendo così essenzialmente la Commissione Europea, a mio avviso, delegando e dunque basandosi sul principio dell’accountability ne ha snaturato la natura, perchè una cosa è che ciascun titolare del trattamento del dato, facendo le proprie analisi, la PIA (Privacy Impact Assessment) e la TIA, possibilmente sulla base del principio del risk based, si assume le proprie responsabilità nel delegare il trattamento di dati personali a soggetti terzi.
Altra cosa invece è delegare a ciascun titolare del trattamento del dato le analisi normative che ormai sono diventate fondamentali ai fini dell’esecuzione della TIA.
Queste valutazioni prima venivano fatte dalla Commissione Europea che rilasciava poi i provvedimenti specifici con cui dichiarava quali erano i paesi la cui normativa locale poteva essere considerata equivalente a quella comunitaria e c’erano le famose decisioni di adeguatezza della Commissione Europea.
In questo modo l’attività, questa analisi, non viene più svolta dalla Commissione Europea e dunque da un ente centrale che faceva sì che valessero e fossero uguali per tutti, cioè tutti i titolari del trattamento del dato avente sede legale all’interno dell’Unione Europea, che dovevano e potevano prendere come riferimento le decisioni di adeguatezza della Commissione Europea. Adesso questa, lasciatemi passare il termine, decisione di adeguatezza, deve essere effettuata da ciascun titolare del trattamento del dato.
Che capacità può avere in generale un’azienda di poter analizzare la normativa locale in tot Paesi stranieri? Ciò vuol dire che se c’è un subfornitore che è ubicato o che ha accesso dall’India, io devo andare ad analizzare la normativa indiana, la normativa della privacy indiana? Se, a sua volta, poi ha un altro sub-fornitore a Singapore io dovrei fare un’analisi normativa dei principi generali del GDPR della normativa di Singapore?
Ricordando la complessità anche delle catene di distribuzione del trattamento del dato che con una certa facilità possono magari anche coinvolgere 15-16-17 paesi al di fuori dell’Unione Europea.
Il GDPR deve trovare applicazione per tutti i titolari del trattamento del dato e dobbiamo pensare che ci sono dei titolari anche di piccole-medie dimensioni. Che capacità possono avere, non soltanto dal punto di vista di know-how ma anche proprio dal punto di vista economico di poter affrontare un tipo di analisi del genere?
Secondo me avendo delegato adesso questo processo di valutazione normativo sul titolare abbiamo veramente snaturato il concetto e il principio del GDPR e del principio dell’accountability, che a mio modesto parere era stato definito e aveva un’altra finalità, diversa da questa e cioè andare a sostituire l’attività che fino adesso è stata svolta dalla Commissione Europea.”

Cristina Vicarelli, Avvocato

“Togliendo quindi le BCR, che riguardano solo i grandi gruppi e vanno pensate e strutturate e hanno tutte le procedure di applicazione e di approvazione sia interne al gruppo che poi esterne dei Garanti, restano in realtà poi poche altre cose perché le decisioni di adeguatezza ce le stanno togliendo da sotto il naso, o meglio ci sono ancora per i paesi che ancora sono considerati adeguati, però sono cambiate traumaticamente per me.
Prima dicevamo: vabbè scegliamo, abbiamo la decisione di adeguatezza se ci danno anche le contractual clauses così siamo a cavallo, perché se ci viene meno l’una abbiamo l’altro. Adesso invece io non lo posso fare il doppio binario di trasferimento, perché se devo andare a prendere le standard contract clauses con la valutazione di impatto, come dice il comitato dei Garanti, mi costa più il sistema di trasferimento che il bene che volevo ottenere – parlando sempre dal punto di vista delle piccole imprese – perché abbiamo visto le difficoltà notevoli della valutazione di impatto, quindi non può essere usata come strumento sussidiario, quindi se ho una decisione di adeguatezza mi tengo quella, e se va male pazienza.”

Valentina Raineri, County Offering Manager & Solutions Engineer, certificata CIPP/E & CIPPM, OneTrust

“La creazione di programmi di privacy più maturi mira anche a creare quella fiducia coi propri dipendenti, con i clienti e con gli altri stakeholders. Sulla parte Risk Based, non si tratta solamente di soddisfare una legge, di fare un check su una checkbox, ma di diventare una organizzazione ancora più affidabile anche perché la tecnologia e anche la quantità e il tipo di dati che stiamo andando a raccogliere continua ad evolversi, devo quindi considerare un pò gli obblighi etici che si hanno nei confronti di tali parti interessate e ai loro dati.
I programmi di etica e di conformità aiutano le organizzazioni a gestire questi obblighi che sono guidati dalla conformità normativa ma puntano inoltre a una più alta fiducia, di trust, da parte dell’interessato, sia quello interno che quello esterno, e questo si lega anche molto al principio di accountability. Un obbligo quasi morale su alcune questioni è anche collegato al tipo di fornitore che si sta scegliendo, un fornitore che compia comunque delle attività in linea col framework etico della società.
Sicuramente i requisiti legali sono il punto di partenza, quindi se penso per esempio allo whistleblower che adesso in Europa comincia ad essere molto diffuso, vediamo ancora molti clienti chiederci come possono supportare programmi di un certo tipo. Sto ora parlando di una gestione più globale di quello che potrebbe essere un programma di whistleblowing per il trattamento di dati personali pensiamo anche a un programma etico su quello che riguarda il consenso del trattamento dei dati personali di alcuni interessati.
Esistono delle tecnologie, come l’Artificial Intelligence, l’Internet of Things e tutto il mondo del Machine Learning a guidare la trasformazione digitale. Siamo oltre il Cloud, stiamo passando verso l’automazione anche di queste iniziative e di questi processi.”