Temi

Shape 5 Live Search

logo

Il regolamento europeo prevede una specifica regolamentazione per i trasferimenti di dati all'estero. 

L'intero Capo V (Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali) del regolamento si occupa, infatti, della disciplina dei flussi transfrontalieri dei dati personali, e di conseguenza anche dell'utilizzo dei servizi cloud. Tale regolamentazione è lo strumento col quale le leggi dell'Unione europea in materia di protezione dei dati personali interagiscono col resto del mondo. In tal senso dal funzionamento di questo meccanismo dipende molto del successo del GDPR. 

Definizione

Una vera e proprie definizione per trasferimento di dati non esiste nel GDPR nè è stata fornita dalla Corte di Giustizia europea, la quale preferisce focalizzarsi sulla protezione dei singoli cittadini piuttosto. Comunque un flusso transfrontaliero dei dati è il trasferimento di dati personali verso un destinatario soggetto a una giurisdizione straniera.

Secondo la Corte di Giustizia europea la semplice pubblicazione di dati personali su un sito Internet non può considerarsi trasferimento all'estero, in quanto tale trasferimento avverrebbe necessariamente verso tutti i paesi esteri e quindi il regime speciale stabilito per i flussi transfrontalieri finirebbe per diventare un regime generale. Per cui se un solo Stato estero non garantisse un livello di protezione adeguato, gli Stati membri dovrebbero bloccare l'immissione di tutti i dati in rete. In conclusione solo la comunicazione diretta a destinatari specifici rientra nella nozione di "flusso transfrontaliero dei dati". 

Per operare un trasferimento di dati occorre innanzitutto una base legale. La regolamentazione è diversa a seconda dei settori: 
- regolamento GDPR: si occupa dei trasferimenti dei privati e della autorità pubbliche; 
- direttiva Polizia: si occupa dei trasfertimento riguardanti le autorità di polizia. 

Divieto di trasferimento

Mentre la circolazione dei dati all'intero dello Spazio Economico Europeo (SEE) è libera (art. 12 Convenzione 108), i trasferimenti al di fuori del SEE sono generalmente vietati, a meno che non intervengano specifiche garanzie. L'art. 44 del GDPR è chiaro nello stabilire che i trasferimenti di dati personali al di fuori del SEE sono ammessi solo in determinate circostanze. Il regolamento individua due categorie di destinatari in relazione a tale disciplina: gli altri paesi e le organizzazioni internazionali (l'ONU, l'Unesco, e cosi via). 

 

Ipotesi di trasferimento dati all'estero

In generale il trasferimento di dati personali al di fuori dello Spazio SEE è ammesso se il destinatario garantisce un livello di protezione dei dati adeguato a quello europeo. Il requisito dell'adeguatezza, piuttosto che quello dell'equivalenza, consente l'utilizzo di diverse vie per garantire la protezione dei dati. 

 

1) Decisioni di adeguatezza

Il primo caso nel quale è ammesso il trasferimento di dati all'estero si ha quando il paese terzo garantisce un livello di protezione dei dati adeguato a quello europeo, laddove tale livello di protezione è definito dalla Commissione europea. Il paese terzo può chiedere alla Commissione di far esaminare la propria legislazione, al fine di ottenere una decisione di adeguatezza (art. 45 GDPR), o per eventualmente modificare tale legislazione per giungere ad un accordo. Per valutare l'adeguatezza occorre esaminare diversi aspetti del trattamento: la natura dei dati, la finalità del trattamento, la possibilità che tali dati transitino in altri paesi prima di giungere alla destinazione, le norme di diritto anche settoriali, le misure di sicurezza osservate. L'European Data Protection Board ha il compito di fornire un parere alla Commissione. 

Le decisioni di adeguatezza (elenco delle decisioni di adeguatezza), emanate dalla Commissione europea (pagina della Commissione), sono strumenti vincolanti per i paesi dell'Unione, e in base ad esse è ammesso il trasferimento di dati verso il paese indicato. Le decisioni di adeguatezza possono essere modificate, sospese o revocate, se risulta che il paese terzo non soddisfa più i criteri necessari. 

privacy shield

Con la sentenza del 6 ottobre 2015, la Corte di Giustizia europea ha invalidato la decisione di adeguatezza relativa al trasferimento di dati negli Usa (cosiddetto Safe Harbour), ma da agosto 2016 è operativo il Privacy Shield, adottato dalla Commissione europea in sostituzione, recepito in Italia con provvedimento dell'Autorità per la protezione dei dati personali

Il Privacy Shield è un accordo stipulato tra Commissione Europea e il Dipartimento del Commercio degli Stati Uniti per tutelare la riservatezza dei cittadini europei in caso di trasferimento oltreoceano dei dati a scopo commerciale. L’iscrizione al Privacy Shield è volontaria e si basa sull’autocertificazione. Il rinnovo è annuale e deve essere accompagnato da una serie di documenti che attestino le finalità e le modalità con cui vengono trattati e conservati i dati. Il Privacy Shield mette a disposizione dei residenti europei un meccanismo di arbitrato al quale ricorrere per verificare eventuali violazioni degli obblighi delle società partecipanti. 

 

2) Trasferimento soggetto a garanzie adeguate (clausole standard)

L'art. 46 del GDPR prevede un'ulteriore possibilità di trasferimento dei dati personali verso paesi che non garantiscono un adeguato livello di protezione. Il titolare del trattamento di un'azienda basata in Europa, infatti, può stipulare un contratto col titolare dell'azienda che si trova nel paese terzo, le cui clausole sono tali da offrire un livello di protezione adeguato per il trattamento dei dati. In particolare, si richiede un soddisfacente livello di sicurezza e la tutela dei diritti degli interessati, con meccanismi di ricorso effettivi. 

Non occorre una specifica autorizzazione dell'autorità di controllo nazionale per le seguenti ipotesi: 
a) uno strumento giuridicamente vincolante e avente efficacia esecutiva tra autorità pubbliche o organismi pubblici; 
b) le norme vincolanti d’impresa in conformità dell’articolo 47; 
c) le clausole tipo di protezione dei dati adottate dalla Commissione secondo la procedura d’esame di cui all’articolo 93, paragrafo 2; 
d) le clausole tipo di protezione dei dati adottate da un’autorità di controllo e approvate dalla Commissione secondo la procedura d’esame di cui all’articolo 93, paragrafo 2; 
e) un codice di condotta approvato a norma dell’articolo 40, unitamente all’impegno vincolante ed esecutivo da parte del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati; o
f) un meccanismo di certificazione approvato a norma dell’articolo 42, unitamente all’impegno vincolante ed esigibile da parte del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati. 

Occorre, invece, l'autorizzazione dell'autorità di controllo nelle seguenti ipotesi:
a) clausole contrattuali tra il titolare del trattamento o il responsabile del trattamento e il titolare del trattamento, il responsabile del trattamento o il destinatario dei dati personali nel paese terzo o nell’organizzazione internazionale; o 
b) disposizioni da inserire in accordi amministrativi tra autorità pubbliche o organismi pubblici che comprendono diritti effettivi e azionabili per gli interessati. 

La Commissione europea, ma anche le autorità di controllo nazionali, possono adottare clausole tipo (clausole contrattuali standard o standard contractual clauses o SCCs, vedi elenco delle decisioni adottate in materia), valide ai sensi dell'art. 46. L'esportatore dei dati deve incorporare, e rispettare, tali clausole contrattuali in un contratto utilizzato per il trasferimento, così garantendo che i dati saranno trattati conformemente ai principi stabiliti nel regolamento europeo anche nel Paese terzo di destinazione. Anche queste decisioni della Commissione sono vincolanti per gli Stati dell'Unione. 
Ovviamente i titolari del trattamento possono predisporre clausole contrattuali ad hoc da sottoporre alle autorità di vigilanza. Elementi essenziali saranno, comunque, la possibilità per gli interessati di esercitare i propri diritti, e l'assoggettamento del destinatario all'autorità di vigilanza nazionale. 

 

3) Norme vincolanti di impresa (binding corporate rules)

L'art. 47 prevede uno specifico strumento per il trasferimento personali dal territorio dello Stato tra società facenti parti dello stesso gruppo d'impresa, laddove una di queste sia al di fuori dell'Unione europea. Le binding corporate rules (BCR) (pagina web del sito del Garante sulle BCR) si concretizzano in un documento contenente una serie di clausole (rules) che fissano i principi vincolanti (binding) per tutte le società appartenenti allo stesso gruppo (corporate). 

Il trasferimento è consentito solo tra aziende che abbiano uno specifico legame societario. Anche in questo caso le clausole devono essere sottoposte alle autorità di controllo, ma è possibile elaborare clausole sulla base di quelle già esistenti e sulle quali già si siano pronunciati i garanti, in modo da avere sufficiente certezza che siano accolte. 

 

Deroghe all'adeguatezza

Esistono, infine, delle specifiche deroghe alla regola generale dell'adeguatezza, che permettono il trasferimento di dati all'estero (art. 49 GDPR): 
a) l’interessato abbia esplicitamente acconsentito al trasferimento proposto, dopo essere stato informato dei possibili rischi di siffatti trasferimenti per l’interessato, dovuti alla mancanza di una decisione di adeguatezza e di garanzie adeguate; 
b) il trasferimento sia necessario all’esecuzione di un contratto concluso tra l’interessato e il titolare del trattamento ovvero all’esecuzione di misure precontrattuali adottate su istanza dell’interessato; 
c) il trasferimento sia necessario per la conclusione o l’esecuzione di un contratto stipulato tra il titolare del trattamento e un’altra persona fisica o giuridica a favore dell’interessato; 
d) il trasferimento sia necessario per importanti motivi di interesse pubblico, ma deve trattarsi di un interesse pubblico riconosciuto dal diritto dello Stato membro del titolare o dal diritto dell’Ue, e non l’interesse pubblico dello Stato terzo ricevente; 
e) il trasferimento sia necessario per accertare, esercitare o difendere un diritto in sede giudiziaria
f) il trasferimento sia necessario per tutelare gli interessi vitali dell’interessato o di altre persone, qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso; 
g) il trasferimento sia effettuato a partire da un registro che, a norma del diritto dell’Unione o degli Stati membri, mira a fornire informazioni al pubblico e può esser consultato tanto dal pubblico in generale quanto da chiunque sia in grado di dimostrare un legittimo interesse, solo a condizione che sussistano i requisiti per la consultazione previsti dal diritto dell’Unione o degli Stati membri.