Il regolamento europeo prevede una specifica regolamentazione per i trasferimenti di dati all'estero. 

L'intero Capo V (Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali) del regolamento si occupa, infatti, della disciplina dei flussi transfrontalieri dei dati personali, e di conseguenza anche dell'utilizzo dei servizi cloud. Tale regolamentazione è lo strumento col quale le leggi dell'Unione europea in materia di protezione dei dati personali interagiscono col resto del mondo. In tal senso dal funzionamento di questo meccanismo dipende molto del successo del GDPR. 

 

Definizione

Una vera e proprie definizione per trasferimento di dati non esiste nel GDPR nè è stata fornita dalla Corte di Giustizia europea, la quale preferisce focalizzarsi sulla protezione dei singoli cittadini piuttosto. Comunque un flusso transfrontaliero dei dati è il trasferimento di dati personali verso un destinatario soggetto a una giurisdizione straniera.

Secondo la Corte di Giustizia europea la semplice pubblicazione di dati personali su un sito Internet non può considerarsi trasferimento all'estero, in quanto tale trasferimento avverrebbe necessariamente verso tutti i paesi esteri e quindi il regime speciale stabilito per i flussi transfrontalieri finirebbe per diventare un regime generale. Per cui se un solo Stato estero non garantisse un livello di protezione adeguato, gli Stati membri dovrebbero bloccare l'immissione di tutti i dati in rete. In conclusione solo la comunicazione diretta a destinatari specifici rientra nella nozione di "flusso transfrontaliero dei dati". 
Ad esempio, quando si installa App come Facebook, WhatsApp, LinkedIn, Instagram, ecc ..., queste cercano l'elenco dei contatti presente nello smartphone per abbinare altri potenziali utenti, ciò determina in genere il trasferimento dei dati dei contatti (familiari, amici, colleghi...) senza il loro consenso. Analogamente, utilizzando servizi quali Microsoft Office, Microsoft 365 o Google Docs, scrivendo documenti, fogli di calcolo o presentazioni contenenti dati personali, i dati sono condivisi tramite i detti servizi senza consenso. Un sito web che utilizza servizi come Google Analytics, Cloudflare, Amazon AWS, Facebook, ecc ..., raccoglie e trasferisce dati personali. Molte delle aziende menzionate hanno sede negli Usa, quindi si realizza un trasferimento al di fuori della UE. 

Per i trasferimenti di dati all'estero la regolamentazione è diversa a seconda dei settori: 
- regolamento GDPR: si occupa dei trasferimenti dei privati e della autorità pubbliche; 
- direttiva Polizia: si occupa dei trasfertimento riguardanti le autorità di polizia. 

Per operare un trasferimento di dati all'estero occorre: 
1) una base legale, nel rispetto di tutte le disposizioni del GDPR; 
2) ottemperare alle disposizioni di cui al Capo V del GDPR (art. 44). 

 

Divieto di trasferimento

Mentre la circolazione dei dati all'intero dello Spazio Economico Europeo (SEE) è libera (art. 12 Convenzione 108), i trasferimenti al di fuori del SEE sono generalmente vietati, a meno che non intervengano specifiche garanzie. L'art. 44 del GDPR è chiaro nello stabilire che i trasferimenti di dati personali al di fuori del SEE sono ammessi solo in determinate circostanze. Il regolamento individua due categorie di destinatari in relazione a tale disciplina: gli altri paesi e le organizzazioni internazionali (l'ONU, l'Unesco, e cosi via). 

 

Ipotesi di trasferimento dati all'estero

In generale il trasferimento di dati personali al di fuori dello Spazio SEE è ammesso se il destinatario garantisce un livello di protezione dei dati adeguato a quello europeo. Il requisito dell'adeguatezza, piuttosto che quello dell'equivalenza, consente l'utilizzo di diverse vie per garantire la protezione dei dati. 

 

1) Decisioni di adeguatezza

Il primo caso nel quale è ammesso il trasferimento di dati all'estero si ha se il paese terzo garantisce un livello di protezione dei dati adeguato a quello europeo, laddove tale livello di protezione è definito dalla Commissione europea.Il paese terzo può chiedere alla Commissione europea di esaminare la propria legislazione, al fine di ottenere una decisione di adeguatezza (art. 45 GDPR), o per eventualmente modificare tale legislazione per giungere ad un accordo. Per valutare l'adeguatezza occorre esaminare diversi aspetti del trattamento: la natura dei dati, la finalità del trattamento, la possibilità che tali dati transitino in altri paesi prima di giungere alla destinazione, le norme di diritto anche settoriali, le misure di sicurezza osservate. In particolare il livello di protezione deve essere interpretato alla luce della Carta dei diritti fondamentali dell'UE e dell'articolo 46, paragrafo 1, del GDPR, con adeguate garanzie da parte del titolare e del responsabile del trattamento, diritti esercitabili e mezzi di ricorso effettivi per gli interessati. L'European Data Protection Board ha il compito di fornire un parere alla Commissione. 

Le decisioni di adeguatezza (decisioni di adeguatezza elencate per paese), emanate dalla Commissione europea (pagina della Commissione), sono strumenti vincolanti per i paesi dell'Unione, e in base ad esse è ammesso il trasferimento di dati verso il paese indicato. Le decisioni di adeguatezza possono essere modificate, sospese o revocate, se risulta che il paese terzo non soddisfa più i criteri necessari. 

Con riferimento agli USA, con la sentenza del 6 ottobre 2015 la Corte di Giustizia europea ha invalidato la decisione di adeguatezza relativa al trasferimento di dati (cosiddetto Safe Harbour), poi sostituito dall'agosto del 2016 dal Privacy Shield, adottato dalla Commissione europea e recepito in Italia con provvedimento dell'Autorità per la protezione dei dati personali. Ma anche il Privacy Shield è stato dichiarato invalido dalla Corte di Giustizia europea il 16 luglio 2020. Di conseguenza il trasferimento di dati con gli Usa non può più essere basato sul Privacy Shield ma dovrà esserlo su strumenti differenti (quali clausole contrattuali standard). 

 

2) Trasferimento soggetto a garanzie adeguate (clausole standard)

L'art. 46 del GDPR prevede un'ulteriore possibilità di trasferimento dei dati personali verso paesi che non garantiscono un adeguato livello di protezione. Il titolare del trattamento di un'azienda basata in Europa, infatti, può stipulare un contratto col titolare dell'azienda che si trova nel paese terzo, le cui clausole sono tali da offrire un livello di protezione adeguato per il trattamento dei dati. In particolare, si richiede un soddisfacente livello di sicurezza e la tutela dei diritti degli interessati, con meccanismi di ricorso effettivi. 

Non occorre una specifica autorizzazione dell'autorità di controllo nazionale per le seguenti ipotesi: 
a) uno strumento giuridicamente vincolante e avente efficacia esecutiva tra autorità pubbliche o organismi pubblici; 
b) le norme vincolanti d’impresa in conformità dell’articolo 47; 
c) le clausole tipo di protezione dei dati adottate dalla Commissione secondo la procedura d’esame di cui all’articolo 93, paragrafo 2; 
d) le clausole tipo di protezione dei dati adottate da un’autorità di controllo e approvate dalla Commissione secondo la procedura d’esame di cui all’articolo 93, paragrafo 2; 
e) un codice di condotta approvato a norma dell’articolo 40, unitamente all’impegno vincolante ed esecutivo da parte del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati; o
f) un meccanismo di certificazione approvato a norma dell’articolo 42, unitamente all’impegno vincolante ed esigibile da parte del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati. 

Occorre, invece, l'autorizzazione dell'autorità di controllo nelle seguenti ipotesi:
a) clausole contrattuali tra il titolare del trattamento o il responsabile del trattamento e il titolare del trattamento, il responsabile del trattamento o il destinatario dei dati personali nel paese terzo o nell’organizzazione internazionale; o 
b) disposizioni da inserire in accordi amministrativi tra autorità pubbliche o organismi pubblici che comprendono diritti effettivi e azionabili per gli interessati. 

La Commissione europea, ma anche le autorità di controllo nazionali, possono adottare clausole tipo (clausole contrattuali standard o standard contractual clauses o SCCs, valide ai sensi dell'art. 46. L'esportatore dei dati deve incorporare tali clausole contrattuali in un contratto utilizzato per il trasferimento, così garantendo che i dati saranno trattati conformemente ai principi stabiliti nel regolamento europeo anche nel Paese terzo di destinazione. Anche queste decisioni della Commissione sono vincolanti per gli Stati dell'Unione. 
Ovviamente i titolari del trattamento possono predisporre clausole contrattuali ad hoc da sottoporre alle autorità di vigilanza. Elementi essenziali saranno, comunque, la possibilità per gli interessati di esercitare i propri diritti, e l'assoggettamento del destinatario all'autorità di vigilanza nazionale. 

 

3) Norme vincolanti di impresa (binding corporate rules)

L'art. 47 prevede uno specifico strumento per il trasferimento dei dati personali tra società facenti parti dello stesso gruppo d'impresa, laddove una di queste si trovi al di fuori dell'Unione europea. Le binding corporate rules (BCR) (pagina web del sito del Garante sulle BCR) si concretizzano in un documento contenente una serie di clausole (rules) che fissano i principi vincolanti (binding) per tutte le società appartenenti allo stesso gruppo (corporate). 

Il trasferimento è consentito solo tra aziende che abbiano uno specifico legame societario. Anche in questo caso le clausole devono essere sottoposte alle autorità di controllo, ma è possibile elaborare clausole sulla base di quelle già esistenti e sulle quali già si siano pronunciati i garanti, in modo da avere sufficiente certezza che siano accolte. 

 

Deroghe all'adeguatezza

L'art. 49 del GDPR prevede delle specifiche deroghe alla regola generale dell'adeguatezza, da utilizzare nel caso di impossibilità di applicazione degli strumenti per il trasferimento, che permettono il trasferimento di dati all'estero in presenza di determinate condizioni. Al contempo l’articolo 44 impone l’applicazione di tutte le condizioni di cui al Capo V al fine di assicurare che il livello di protezione delle persone fisiche garantito dal GDPR non sia pregiudicato. Le deroghe sono eccezioni al principio generale secondo cui i dati personali possono essere trasferiti verso paesi terzi soltanto in presenza di adeguate garanzie nel paese terzo, oppure qualora siano state addotte garanzie adeguate e l’interessato goda di diritti effettivi e azionabili, affinché possa continuare a beneficiare dei diritti fondamentali e delle garanzie. Per questo le deroghe vanno interpretate in maniera restrittiva. 

Le condizioni previste sono: 
a) l’interessato abbia esplicitamente acconsentito al trasferimento proposto, dopo essere stato informato dei possibili rischi di siffatti trasferimenti per l’interessato, dovuti alla mancanza di una decisione di adeguatezza e di garanzie adeguate (chiaramente devono sussistere tutti i requisiti del consenso, compreso la specificità);  
b) il trasferimento sia occasionalenecessario all’esecuzione di un contratto concluso tra l’interessato e il titolare del trattamento ovvero all’esecuzione di misure precontrattuali adottate su istanza dell’interessato; 
c) il trasferimento sia occasionalenecessario per la conclusione o l’esecuzione di un contratto stipulato tra il titolare del trattamento e un’altra persona fisica o giuridica a favore dell’interessato; 
d) il trasferimento sia necessario per importanti motivi di interesse pubblico, ma deve trattarsi di un interesse pubblico riconosciuto dal diritto dello Stato membro del titolare o dal diritto dell’Ue, e non l’interesse pubblico dello Stato terzo ricevente; 
e) il trasferimento sia occasionalenecessario per accertare, esercitare o difendere un diritto in sede giudiziaria, nell'ambito di un procedimento attuale; 
f) il trasferimento sia necessario per tutelare gli interessi vitali dell’interessato o di altre persone, qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso
g) il trasferimento sia effettuato a partire da un registro che, a norma del diritto dell’Unione o degli Stati membri, mira a fornire informazioni al pubblico e può esser consultato tanto dal pubblico in generale quanto da chiunque sia in grado di dimostrare un legittimo interesse, solo a condizione che sussistano i requisiti per la consultazione previsti dal diritto dell’Unione o degli Stati membri (il trasferimento non può riguardare la totalità dei dati personali o intere categorie di dati personali contenute nel registro). 
L’articolo 49, paragrafo 1, comma 2, introduce una nuova deroga, consentendo il trasferimento di dati personali qualora sia non ripetitivo, riguardi un numero limitato di interessati, e sia necessario per il perseguimento degli interessi legittimi cogenti (quindi non rientrano tutti gli interessi legittimi) dell’esportatore dei dati. Tale deroga è da prevista dalla normativa quale extrema ratio ed è applicabile soltanto "se non è possibile basare il trasferimento su una disposizione dell’articolo 45 o 46, comprese le disposizioni sulle norme vincolanti d’impresa, e nessuna delle deroghe in specifiche situazioni è applicabile". Il titolare deve informare l'autorità di controllo e comunicare i legittimi interessi cogenti agli interessati. 

Le deroghe quindi possono essere utilizzate solo per trasferimenti occasionali e non ripetitivi (vedi EPBD, Linee guida 2/2018 sulle deroghe di cui all’articolo 49 del regolamento), ad esempio, per la prenotazione di un hotel. Cioè i trasferimenti non devono ripetersi con cadenza regolare e devono avvenire in circostanze non ordinarie, ad esempio al manifestarsi di condizioni casuali o ignote e a intervalli di tempo arbitrari. Non sono utilizzabili per i trasferimenti di convenienza, cioè se un'azienda preferisce, per ragioni economiche, trasferire i dati degli europei su server negli Usa, pur potendo fare diversamente (utilizzare server in Europa). Le deroghe in caso di contratto o per motivi giudiziari (articolo 49, paragrafo 1, lettere b), c) ed e)) si applicano esclusivamente a trasferimenti “occasionali”, invece tale restrizione non sussiste qualora l’interessato abbia esplicitamente acconsentito al trasferimento”, in presenza di “importanti motivi di interesse pubblico”, in caso di tutela degli “interessi vitali” e “in presenza di un registro”, in virtù dell’articolo 49, paragrafo 1, lettere a), d), f) e g). Ovviamente il consenso deve essere esplicito, specifico e informato.
In ogni caso vanno sempre interpretate in maniera restrttiva in quanto non devono contraddire la loro natura di "deroghe". 

 

Caso pratico: trasferimento dati negli Usa

In considerazione del fatto che la maggior parte delle aziende del web sono americane, il trasferimento di dati negli Usa è il caso pratico più studiato. Con l'invalidazione del Privacy Shield da parte della Corte di Giustizia europea, il 16 luglio 2020, questo strumento non è più utilizzabile, ma occorre servirsi di strumenti differenti. Tra l'altro l'invalidazione del Safe Harbour e poi del Privacy Shield evidenzia che la Commissione europea ha commesso un errore nel realizzare due strumenti sostanzialmente simili, e di conseguenza si potrebbe aprire la strada al risarcimento dei danni (art. 340 TFUE) per le aziende costretta a trovare nuovi strumenti per il trasferimento. 

I trasferimenti necessari sono sempre possibili, come tutti i trasferimenti che si basano sulle deroghe previste dall'art. 49 del GDPR (purché siano occasionali e non ripetitivi), quindi trasferimenti basati su accordi contrattuali, oppure sul consenso dell'interessato (che deve essere esplicito, specifico e informato). Ciò che non è più ammesso è il trasferimento basato sulla convenienza (specialmente economica) dell'azienda. Ad esempio un'azienda che offre servizi cloud non potrà trasferire i dati dall'Europa negli Usa solo perché ha maggiore convenienza a tenere i dati sui server Usa piuttosto che europei. 

Eventualmente un'azienda potrà avvalersi delle clausole contrattuali standard, ma è uno strumento problematico, in quanto l'azienda dovrà garantire che i dati dell'utente non siano utilizzati, negli Usa, in contrasto con le norme europee, fornendo una garanzia adeguata. Ma il fatto che le agenzie di sicurezza americane hanno, per legge, un accesso privilegiato ai dati, e che non esiste un effettivo rimedio ad una violazione dei dati da parte di tali agenzie, rende piuttosto difficile per un'azienda americana garantire una tutela adeguata. Quindi la strada delle clausole contrattuali standard risulta piuttosto scivolosa. 

E' importante tenere presente che le leggi in questione (FISA 702 e EO 12.333) si applicano solo a determinate categorie di aziende, cioè i "fornitori di servizi di comunicazione elettronica", cioè nel dettaglio (50 U.S. Code § 1881.Definitions): 
- vettore di telecomunicazioni (telecommunication carriere); 
- fornitore di servizi di comunicazione elettronica; 
- fornitore di servizi di elaborazione remota; 
- qualsiasi altro fornitore di servizi di comunicazione che abbia accesso a comunicazioni via cavo o elettroniche in quanto tali comunicazioni vengono trasmesse o quando tali comunicazioni vengono archiviate e qualsiasi funzionario, dipendente o agente di tale fornitore.
Invece altre aziende, come banche, compagnie aeree, hotel, compagnie di navigazione, vendite di beni e simili non sono soggette a tali norme, per cui in teoria non si dovrebbe porre alcun problema nell'utilizzarle quali fornitori di servizi. Ovviamente può, però, accadere, che una banca o un hotel utilizzi un fornitore di servizi di comunicazione elettronica, nel qual caso le agenzie Usa possono accedere ai dati trasferiti, e questo rende la tutela "non adeguata" con tutte le conseguenze del caso. 

Occorre altresì tenere presente che la "sorveglianza" delle agenzie americane si realizza anche nel corso della trasmissione dei dati (in transito o upstream). In tale prospettiva occorre che chi trasferisce i dati si assicuri che siano cifrati, in tal modo ottemperando alle previsioni di cui all'art. 32 del GDPR (misure di sicurezza). In realtà è noto che le agenzie americane (NSA e FBI principalmente) sono in grado di violare alcune forme di crittografia, per cui una protezione totale non sembra possibile. 

Le grandi piattaforme del web americane, in realtà, già da tempo si appoggiano a consociate europee, così in linea di massima elaborano i dati già adesso sul territorio europeo. Dovranno, però, accertarsi, che eventuali flussi "interni" dei dati, verso gli Usa siano conformi alle norme europee. In tal senso probabilmente ridurranno notevolmente i flussi verso gli Usa limitandoli ai soli casi nei quali sono applicabili deroghe. Occorre tenere però presente che un'azienda americana (con sede negli Usa) è comunque soggetta alle norme americane indipendentemente dal luogo in cui sono tenuti i server. Per cui occorre indagare nel concreto se l'azienda è soggetta agli obblighi previsti dalle norme Usa. Se la società madre Usa non ha effettivo accesso ai dati sui server europei, anche le agenzie americane non potranno averne accesso

Dal canto loro le aziende europee dovranno assicurarsi che eventuali fornitori esteri garantiscano l'adeguatezza della protezione dei dati, rimanendo responsabili nei confronti degli interessati in caso contrario. Alle aziende europee conviene valutare se esternalizzare determinati servizi a aziende con base in Usa, nel quale caso rischiano di doverne rispondere in caso di inadeguatezza della tutela dei dati. Se l'azienda europea vuole continuare a utilizzare un fornitore basato negli Usa dovrà necessariamente analizzare la situazione e verificare quali leggi americane si applicano al trasferimento dei dati. Se la legge consente l'accesso alle autorità americane per soli fini di contrasto e in casi individualizzati e che consentono un effettivo rimedio (accesso soggetto all'approvazione di un giudice), il trasferimento potrà essere operato. Se invece la legge americana consente un accesso indiscriminato (non mirato) ai dati o senza controllo giurisdizionale, il trasferimento non potrà avvenire e ne sarà responsabile l'azienda europea nel caso in cui continuasse ad operarlo. Comunque il fornitore Usa è obbligato, in base alla norme europee, ad informare l'azienda europea se è soggetta agli obblighi di sorveglianza delle leggi Usa. 

Ricordiamo che la sanzione in caso di illecito trasferimento di dati all'estero va fino a 20 milioni di euro o al 4% del fatturato annuo.