IL GDPR E IL TRASFERIMENTO DATI ALL’ESTERO

Il GDPR include disposizioni specifiche per i trasferimenti di dati personali al di fuori dello Spazio Economico Europeo (SEE), che comprende l'Unione europea, la Norvegia, il Liechtenstein e l'Islanda.
Il Capo V del regolamento affronta la disciplina dei flussi transfrontalieri dei dati personali e l'uso dei servizi cloud, costituendo così lo strumento con cui le leggi dell'Unione europea sulla protezione dei dati interagiscono con il resto del mondo.
Il successo del GDPR dipende in gran parte dal funzionamento di questo meccanismo.
È importante ricordare che le sanzioni per il trasferimento illecito di dati all'estero possono arrivare fino a 20 milioni di euro o al 4% del fatturato annuo.
Torniamo ad analizzato il trasferimento dati per riportarti le ultime novità a riguardo.

IL GDPR E IL TRASFERIMENTO DATI ALL’ESTERO: COSA SI INTENDE PER TRASFERIMENTO DI DATI

Il concetto di trasferimento di dati personali, come definito dal GDPR, si verifica quando un soggetto esporta dati (che può essere il titolare o il responsabile del trattamento) soggetto al GDPR anche se non stabilisce una sede all’interno dell’UE, e questi dati vengono trasmessi o resi disponibili a un soggetto importatore (che può essere un altro titolare, un contitolare o un responsabile del trattamento) situato in un paese terzo o è un’organizzazione internazionale.

È importante notare che esportatore e importatore devono essere entità diverse per qualificare come “trasferimento” di dati. In sostanza, un flusso transfrontaliero dei dati può essere definito come il trasferimento di dati personali verso un destinatario soggetto a una giurisdizione straniera.

Secondo l’European Data Protection Board (EDPB), il concetto di trasferimento si applica anche se l’importatore situato in un paese terzo è già soggetto al GDPR; ciò che conta per la qualificazione del trasferimento è la collocazione geografica delle organizzazioni, che devono trovarsi al di fuori del territorio dell’UE, dove le norme dell’Unione non si applicano direttamente.

La raccolta diretta di dati personali dagli interessati nell’UE non viene considerata un trasferimento di dati se avviene su iniziativa degli stessi interessati, come ad esempio quando inseriscono i dati in un modulo online.

Inoltre, la Corte di Giustizia europea ha chiarito che la semplice pubblicazione di dati personali su un sito web non costituisce un trasferimento all’estero, poiché ciò implicherebbe un trasferimento verso tutti i paesi esteri, mettendo a rischio il regime speciale stabilito per i flussi transfrontalieri e rendendolo un regime generale.

Di conseguenza, se anche solo uno Stato estero non garantisce un livello di protezione adeguato, gli Stati membri potrebbero essere tenuti a bloccare l’immissione di tutti i dati in rete.

Solo la comunicazione diretta a destinatari specifici rientra nella nozione di flusso transfrontaliero dei dati.

I trasferimenti di dati al di fuori dello Spazio Economico Europeo (SEE) sono solitamente proibiti, a meno che non siano accompagnati da specifiche garanzie.

L’articolo 44 del GDPR stabilisce chiaramente che i trasferimenti di dati personali al di fuori del SEE sono consentiti solo in determinate circostanze.

In linea generale, il trasferimento di dati personali al di fuori dello SEE è consentito solo se il destinatario garantisce un livello di protezione dei dati equivalente a quello europeo.

Questo requisito di “adeguatezza”, piuttosto che di “equivalenza”, offre la flessibilità di adottare diverse misure per garantire la protezione dei dati.

IL GDPR E IL TRASFERIMENTO DATI ALL’ESTERO: LA DEROGA DELL’ART 49 DEL GDPR

La regola generale stabilisce che i dati personali possono essere trasferiti verso paesi terzi solo se vi sono adeguate garanzie nel paese terzo, oppure se sono state fornite garanzie adeguate e l’interessato conserva diritti effettivi e azionabili, al fine di mantenere i suoi diritti fondamentali e le sue garanzie.

In caso di impossibilità nell’applicare strumenti per il trasferimento, l’articolo 49 del GDPR prevede delle deroghe specifiche alla regola generale di adeguatezza:

  • L’interessato ha dato esplicito consenso al trasferimento, informato dei possibili rischi;
  • Il trasferimento è occasionale e necessario per l’esecuzione di un contratto tra l’interessato e il titolare del trattamento;
  • Il trasferimento è necessario per importanti motivi di interesse pubblico;
  • • Il trasferimento è occasionale e necessario per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
  • • Il trasferimento è non ripetitivo, riguarda un numero limitato di interessati ed è necessario per perseguire interessi legittimi cogenti, escludendo gli interessi legittimi dell’esportatore dei dati.

    Queste deroghe possono essere utilizzate solo per trasferimenti occasionali e non ripetitivi, come ad esempio nel caso di prenotazione di un hotel.

IL GDPR E IL TRASFERIMENTO DATI ALL’ESTERO: IL CASO USA E IL NUOVO DATA PRIVACY FRAMEWORK DEL 2023

La maggior parte delle aziende web sono americane, e nel corso degli anni ci sono stati vari provvedimenti e modifiche normative.

In particolare, la Corte di Giustizia europea ha invalidato prima il Safe Harbour e poi il Privacy Shield, evidenziando le carenze della Commissione europea nel realizzare strumenti sostanzialmente simili.

Il problema principale riguardava l’ampio accesso ai dati personali degli europei da parte delle agenzie di sicurezza americane.

Le grandi piattaforme web americane hanno cercato di affrontare questo problema appoggiandosi a consociate europee, elaborando i dati sul territorio europeo e garantendo la conformità alle norme europee anche per i flussi interni verso gli Stati Uniti.

Tuttavia, è importante notare che un’azienda americana rimane soggetta alle norme americane indipendentemente dalla sede dei server.

Il 10 luglio 2023 è stato pubblicato il Data Privacy Framework, nuovo accordo sul trasferimento dei dati personali verso gli Stati Uniti, basato sull’ordine esecutivo dell’amministrazione Biden (EO 14086).

Questo accordo di adeguatezza consente il trasferimento dei dati verso gli Stati Uniti, poiché la Commissione europea ha ritenuto che ora ci siano garanzie sufficienti per la protezione dei dati personali dei cittadini dell’UE trattati negli Stati Uniti.

In sostanza, la Commissione ha certificato che le concessioni del governo americano sono in grado di limitare l’accesso delle agenzie di intelligence americane.

Sulla base di questo accordo, è possibile trasferire i dati personali verso gli Stati Uniti senza ulteriori misure.

IL GDPR E IL TRASFERIMENTO DATI ALL’ESTERO: L’EVOLUZIONE RELATIVA AL TRATTAMENTO DEI DATI PERSONALI IN CINA E INDIA

I Paesi in questione, il trattamento dei dati personali dei cittadini richiede adeguate informative e consensi, se non vi sono altre basi giuridiche.

In mancanza di una decisione di adeguatezza, il trasferimento dei dati personali all’estero è comunque consentito in specifiche situazioni elencate nell’Articolo 49 del GDPR.

In passato, la Cina non aveva una normativa adeguata sulla protezione dei dati personali e non aveva accordi con l’UE.

Tuttavia, il paese, che conta oltre un miliardo di utenti internet, ha avviato discussioni sulla Legge sulla tutela delle informazioni personali (PIPL), ispirata apparentemente al GDPR, ma con lacune, soprattutto in termini di sanzioni.

L’India, invece, è un Paese democratico e ha assunto il GDPR come modello di riferimento per i trattamenti transfrontalieri, sebbene con alcune possibilità derogatorie.

Si potrebbe quindi attendere una sorta di reciprocità nei trattamenti transfrontalieri tra India e UE.

Abbiamo redatto questo articolo considerando la complessità e la delicatezza dell’argomento e considerando la necessità di aggiornare il precedente articolo “TRASFERIMENTO DEI DATI PERSONALI ALL’ESTERO, UN’UTILE GUIDA PER EVITARE SANZIONI” con le ultime novità.

Per avere la certezza di agire conformemente al GDPR ed a tutte le normative di riferimento ed evitare multe, affidati ai nostri esperti nel trattamento dei dati all’estero per la tua attività.

Contattaci subito scrivendo all’indirizzo info@abinnovationconsulting.com, oppure compilando il modulo che trovi di seguito.