ISSN 2784-9635

Dal Privacy Shield al nuovo Codice di Condotta transnazionale sul Cloud: approvato il 20 maggio l’EU Cloud Code of Conduct dall’European Data Protection Board

Avv. Cecilia Battistoni - 01/06/2021

Il 16 luglio 2020, la Corte di Giustizia Europea, con la nota sentenza “Shrems II” (C-311/18), ha dichiarato invalido il cosiddetto “Privacy Shield”, ovvero l’accordo tra l’Europa e gli Stati Uniti in materia di trasferimento e protezione dei dati personali. La sentenza ha annullato la decisione della Commissione Europea n. 1250/2016, che riteneva tale regime di regolamentazione adeguato e conforme alla normativa europea; infatti, alla luce del Regolamento Europeo 679/2016 (il GDPR), la legge statunitense è stata considerata inidonea a prestare, nel concreto, le stesse garanzie previste dal GDPR sulla protezione dei dati personali.

Pertanto, numerose aziende negli USA che trattavano anche dati provenienti da paesi dell’UE, come i colossi della digital economy Google e Amazon, si sono ritrovate senza una valida copertura giuridica in quanto anche le clausole contrattuali standard previste dalla normativa USA, in assenza del Privacy Shield, sono state ritenute inadeguate dalla Corte di Giustizia. Ciò significa che, ad esempio, l’azienda europea che decide di avvalersi di un sistema informatico avente dei server anche negli Stati Uniti dovrebbe essere consapevole che, fatte salve le eccezioni previste dal GDPR in materia di trasferimento dei dati personali all’estero[1], il trattamento dei dati che “circolano” in tali server avviene in maniera non conforme alla normativa europea in materia di privacy.

Infatti, nonostante l’art. 46 del GDPR preveda la possibilità di trasferimento dei dati personali verso paesi che non garantiscono un adeguato livello di protezione mediante la stipula di un contratto le cui clausole offrono un’idonea garanzia di sicurezza e di tutela, le leggi degli USA alle quali sono soggetti i fornitori di servizi di comunicazione elettronica sono state individuate quali inadeguate (es. la legge “FISA 702”[2]). Un’azienda europea che vuole avvalersi di tali providers, ad esempio per servizi di salvataggio dei dati in cloud, dovrà quindi verificare se, nel concreto, il fornitore estero prevede la possibilità di limitare la circolazione dei dati all’Europa (come avviene con il servizio “Business” del cloud di Google) o se il fornitore garantisca l’adeguatezza della protezione dei dati dichiarando di essere responsabile nei confronti degli interessati e facendosi espressamente carico dell’eventuale trattamento illecito dei dati.

L’invalidazione del Privacy Shield ha portato alla luce il problema dei servizi di cloud offerti dai più noti fornitori, dal momento che numerose aziende e singoli utenti se ne avvalgono; a questo proposito, l’European Data Protection Board, nella seduta plenaria del 20 maggio 2021, ha approvato e dato il nulla osta per l’applicazione dell’“EU Cloud Code of Conduct”, primo codice di condotta avente carattere transnazionale ai sensi dell’art. 40 del GDPR[3]. Tale Codice, redatto dall’Autorità belga per la privacy e promosso da grandi catene, quali Microsoft, Oracle, SAP, IBM, ha applicazione volontaria negli Stati membri e stabilisce delle linee guida in termini di sicurezza e protezione dei dati, la cui adozione garantisce uno standard di adeguatezza al GDPR nel trattamento dei dati personali operato dai cloud providers quali responsabili del trattamento, per orientare i titolari nella scelta di servizi o piattaforme forniti da providers che rispettano tale Codice.

In particolare, l’EU Cloud CoC stabilisce i requisiti che i providers aderenti allo stesso devono rispettare per essere conformi al GDPR, come l’utilizzo di un idoneo sistema di crittografia, l’adozione di un solido sistema di sicurezza per la protezione dei dati e la previsione di una governance che stabilisca le modalità di esecuzione delle “best practices” del Codice e le modalità di controllo interno nella loro applicazione. Inoltre, qualora non sia già presente un Data Protection Officer, è previsto l’obbligo per il fornitore di nominare un “point of contact” per la privacy.

Tuttavia, viene specificato che l’aderenza al Codice non costituisce una condizione sufficiente per il trasferimento dei dati personali verso un paese terzo: in questo caso occorrerà comunque svolgere gli adempimenti sopra citati (come l’uso di clausole standard o l’accertamento della configurazione delle deroghe di cui all’art. 49) per essere conformi al GDPR; pertanto, nonostante l’Europa si sia mossa con riguardo al sentito problema dei servizi di cloud, per quanto riguarda gli Stati Uniti occorrerà adottare le sopra citate tutele, dal momento che i fornitori di servizi ivi stabiliti restano comunque sottoposti alle leggi statunitensi.

In ogni caso, il titolare del trattamento, che fruisce del servizio di cloud, non è esente dalla sottoscrizione di un contratto o di una nomina a responsabile del trattamento ai sensi dell’art. 28 del GDPR, nel quale devono essere previsti analiticamente gli obblighi e le facoltà delle parti relativi alla privacy; resta dunque in capo all’utente l’onere di predisporre una nomina a responsabile, non essendo sufficiente la scelta di un provider aderente al Codice per essere considerato “compliant” con il GDPR.

Per vigilare sull’adozione di tali misure dagli Stati aderenti all’EU CoC, è stato creato un organismo di controllo ad hoc e indipendente, l’organizzazione esterna “Scope Europe”, con sede in Belgio; tale organo deve verificare i requisiti dei fornitori di cloud e monitorarne il mantenimento, effettuando valutazioni annuali ed operando con trasparenza e terzietà.

L’adozione del Codice sul Cloud è, dunque, uno strumento di certificazione, con il quale i providers aderenti e i fruitori che li utilizzano (quali titolari del trattamento) potranno dimostrare di aver adottato delle misure idonee per garantire una adeguata tutela dei dati personali. È bene tenere a mente, tuttavia, che l’adozione del Codice non rende gli operatori del settore esenti dal dover mettere in atto le misure adeguate alla loro realtà aziendale per essere pienamente conformi al GDPR, non venendo meno il necessario rispetto del principio di “accountability” per chi tratta dati personali. Si tratta dunque di un sistema di regolamentazione ulteriore e settoriale, la cui adozione non costituisce un obbligo, ma una possibilità di migliorare la compliance in materia di privacy per titolari e responsabili del trattamento quanto ai servizi di cloud.

Un grande passo è stato compiuto dall’EDPB in materia di sicurezza dei sistemi di cloud negli Stati Membri; non resta che auspicare che le istituzioni comunitarie si attivino in tal senso anche con riguardo ai rapporti con gli Stati Uniti, regolando quanto prima il trasferimento dei dati personali all’estero con un nuovo “accordo scudo”, che vada a colmare la lacuna normativa lasciata dall’invalidazione del Privacy Shield.

 

Per approfondimenti e per scaricare l’European Cloud Code of Conduct si rimanda al sito ufficiale: https://eucoc.cloud/en/home/

 

[1] L’art. 49 del Reg. UE 679/2016 prevede delle deroghe alla regola generale dell’adeguatezza della normativa del paese terzo, quali l’esplicito consenso dell’interessato, dopo essere stato informato dei possibili rischi del trasferimenti dei suoi dati nel paese terzo, il carattere dell’occasionalità e non ripetitività e della necessarietà per la conclusione o l’esecuzione di un contratto, per l’esercizio del diritto di difesa e per motivi di interesse pubblico.

[2] Tale legge prevede, sostanzialmente, che le agenzie di sicurezza americane hanno un accesso privilegiato ai dati e non è previsto un effettivo rimedio ad una violazione dei dati da parte di queste.

[3] Il primo comma dell’art. 40 del Reg. UE 679/2016 prevede che gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggino l’elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del GDPR, relativamente alle specificità dei vari settori di trattamento e delle esigenze specifiche delle imprese.