TRASFERIMENTO DEI DATI PERSONALI ALL’ESTERO, UN’UTILE GUIDA PER EVITARE SANZIONI

L’uso delle nuove tecnologie ed in particolare fenomeni come la globalizzazione, l’abbattimento di frontiere economiche e politiche e la crescente necessità di operare ovunque nel mondo ed in qualunque momento, sta comportando inevitabilmente la circolazione dei dati personali oltre i confini nazionali e soprattutto fuori UE.
Di seguito puoi approfondire il trasferimento dei dati personali all’estero e trovare un’utile guida per evitare le sanzioni derivanti da un trattamento errato dei dati stessi.

1. NORMATIVA DI RIFERIMENTO VERSO ALTRI PAESI UE

Per capire quanto i nostri dati passino da un continente all’altro alla velocità di un click, basti pensare alla diffusione dei cloud, account email, accessi personali a siti, applicazioni di telefoni, tablet o vari altri apparecchi tecnologici.

 

Le esigenze di velocità delle informazioni vanno però bilanciate per tutelare da abusi ed anarchie i dati personali coinvolti, come ricorda espressamente il Cons. 2 del Regolamento UE n. 2016/679: “il presente regolamento è inteso a contribuire alla realizzazione di uno spazio di libertà, sicurezza e giustizia e di unione economica, al progresso economico e sociale, al rafforzamento e alla convergenza di economie nel mercato interno e al benessere delle persone fisiche”.

 

Di conseguenza, possiamo affermare che l’Unione Europea ammette il trasferimento e la libera circolazione dei dati solo al suo interno.

 

Infatti, proteggere i dati personali nei trasferimenti transfrontalieri non significa solo tutelare le persone ma, anche, la concorrenza leale dei mercati nazionali ed internazionali, la sicurezza privata (del cittadino come dell’impresa) e quella pubblica.

 

Tali valutazioni non sono sfuggite né al Legislatore Europeo della Direttiva n. 95/46/CE né a quello del recente Regolamento UE n. 2016/679 (GDPR) che, da un lato, prevede e stimola la libera circolazione dei dati all’interno dell’Unione (ovviamente in conformità ai propri principi e garanzie dell’interessato) e, dall’altro, vieta i trasferimenti dei dati in assenza delle tutele in esso previste.

2. NORMATIVA DI RIFERIMENTO VERSO ALTRI PAESI EXTRA-UE

Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali, la sua disciplina è contenuta all’interno del Capo V del Regolamento UE 2016/679 che si occupa, infatti, della disciplina dei flussi transfrontalieri dei dati personali, e di conseguenza anche dell’utilizzo dei servizi cloud.

 

Tale regolamentazione è lo strumento col quale le leggi dell’Unione europea in materia di protezione dei dati personali interagiscono col resto del mondo.

 

La videosorveglianza deve avere finalità chiare, prestabilite e legittime.

 

In tal senso dal funzionamento di questo meccanismo dipende molto del successo del GDPR.

 

Una vera e propria definizione di “trasferimento di dati” non esiste nel GDPR nè è stata fornita dalla Corte di Giustizia europea, la quale preferisce focalizzarsi sulla protezione dei singoli cittadini piuttosto.

 

Nel 2021 l’EDPB nelle sue Linee Guida ha introdotto 3 criteri cumulativi per poter definire un trasferimento di dati:

  • l’esportatore di dati (titolare o responsabile del trattamento) è soggetto al GDPR per il trattamento (anche se non stabilito all’interno dell’UE);
  • l’esportatore di dati trasmette o rende disponibili i dati personali all’importatore di dati (altro titolare, contitolare o responsabile del trattamento);
  • l’importatore di dati si trova in un paese terzo o è un’organizzazione internazionale.

Il mezzo per informare i lavoratori è il regolamento (o policy), da affiggere in bacheca o da pubblicare nella bacheca elettronica.

 

I trasferimenti di dati personali all’estero, ossia stati non appartenenti allo Spazio Economico Europeo (SEE, ossia UE + Norvegia, Liechtenstein, Islanda) ovvero verso un’organizzazione internazionale non sono sempre consentiti.

 

Infatti, è ammesso questo trasferimento alla sola condizione che l’adeguatezza del Paese terzo o dell’organizzazione sia riconosciuta tramite decisione della Commissione europea (art. 45 del Regolamento UE 2016/679).

 

Viceversa, in assenza di tale decisione, il trasferimento è consentito ove il titolare o il responsabile del trattamento forniscano garanzie adeguate che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati (art. 46 del Regolamento UE 2016/679).

 

I dati possono essere trasferiti solo in presenza di almeno una delle seguenti condizioni, ovvero una delle relative sotto-casistiche:

  1. Decisione di adeguatezza: se la Commissione Europea ha deciso che il Paese terzo, un territorio o uno o più settori specifici all’interno del Paese terzo, o l’organizzazione internazionale in questione, garantiscono un livello di protezione dei Dati Personali adeguato il trasferimento è possibile senza altre autorizzazioni specifiche.
  2. Garanzie adeguate: qualora non vi sia una decisione di adeguatezza, il trasferimento può essere effettuato in presenza di garanzie adeguate e in forza di condizioni per le quali gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi. A titolo esemplificativo ma non esaustivo:
    • uno strumento giuridicamente vincolante e avente efficacia esecutiva tra autorità pubbliche o organismi pubblici;
    • norme vincolanti d’impresa (BCR) in conformità dell’art. 47 GDPR;
    • clausole contrattuali tipo o standard di protezione dei dati, adottate dalla Commissione Europea secondo la procedura d’esame di cui all’art. 93, par. 2) GDPR;
    • clausole contrattuali tipo o standard di protezione dei dati, adottate da un’Autorità di Controllo e approvate dalla Commissione Europea secondo la procedura d’esame;
    • un Codice di Condotta (CC) approvato a norma dell’art. 40 GDPR;
    • un Meccanismo di Certificazione (MC) approvato a norma dell’art. 42 GDPR;
    • Clausole Contrattuali tra il Titolare del trattamento o il Responsabile/Designato del trattamento e il Titolare del trattamento, il Responsabile del trattamento o il destinatario dei Dati Personali nel Paese terzo o nell’organizzazione internazionale;
    • h) disposizioni da inserire in accordi amministrativi tra autorità pubbliche o organismi pubblici che comprendono diritti effettivi e azionabili per gli Interessati;
    • autorizzazioni rilasciate da uno Stato membro in base alla precedente direttiva 95/46/CE, che restano valide fino a quando non vengono modificate, sostituite o revocate (art. 46.5).
  3. Deroghe in specifiche situazioni: in mancanza di una delle precedenti condizioni di legittimità, è possibile trasferire i Dati Personali solo se si verifica una delle seguenti situazioni vincolanti e che, per il loro utilizzo da parte di Sapienza o di una Pubblica amministrazione, richiedono la concomitante presenza di altri fattori, come nel seguito schematizzato. A titolo esemplificativo ma non esaustivo:
    • che l’interessato abbia esplicitamente acconsentito al trasferimento proposto;
    • che il trasferimento sia necessario all’esecuzione di un contratto concluso tra l’interessato e il Titolare del trattamento ovvero all’esecuzione di misure precontrattuali adottate su istanza dell’interessato;
    • che il trasferimento sia necessario per la conclusione o l’esecuzione di un contratto stipulato tra il Titolare del trattamento e un’altra persona fisica o giuridica a favore dell’Interessato;
    • che il trasferimento sia necessario per importanti motivi di interesse pubblico;
    • che il trasferimento sia necessario per accertare, esercitare o difendere un diritto in sede giudiziaria;

L’art. 47 del regolamento prevede uno specifico strumento per il trasferimento dei dati personali tra società facenti parti dello stesso gruppo d’impresa, laddove una di queste si trovi al di fuori dell’Unione europea.

 

Le binding corporate rules (BCR) si concretizzano in un documento contenente una serie di clausole (rules) che fissano i principi vincolanti (binding) per tutte le società appartenenti allo stesso gruppo (corporate).

 

Il trasferimento è consentito solo tra aziende che abbiano uno specifico legame societario.

 

Anche in questo caso le clausole devono essere sottoposte alle autorità di controllo, ma è possibile elaborare clausole sulla base di quelle già esistenti e sulle quali già si siano pronunciati i garanti, in modo da avere sufficiente certezza che siano accolte.

 

In assenza di ogni altro presupposto, è possibile trasferire i dati personali in base ad alcune deroghe che si verificano in specifiche situazioni (art. 49 del Regolamento UE 2016/679).

3. QUALI SANZIONI SI RISCHIANO

Sulla base di quanto previsto nella Raccomandazione 01/2020 dello European Data protection Board (EDPB), nel caso in cui il diritto del Paese in cui è stabilito l’importatore imponga a quest’ultimo degli obblighi che sono in contrasto con quelli previsti a suo carico dalle SCC e non sia possibile porre in essere misure supplementari capaci di assicurare il rispetto di tali obblighi, il titolare è tenuto a sospendere il trasferimento dei dati personali verso il Paese terzo.

 

Alla luce del nuovo framework normativo e delle indicazioni delle Autorità europee (EDPB) e italiane (Garante), per trasferire in modo legittimo dati personali al di fuori dell’UE nei cosiddetti Paesi terzi, evitando possibili sanzioni e il rischio “business” collegato all’interruzione del flusso di dati, occorre:

  • mappare i propri fornitori / partner commerciali;
  • aggiornare i contratti, adottando le nuove SCC, personalizzandole in base ai ruoli rivacy ricoperti dalle parti;
  • effettuare transfer impact assessment (TIA);
  • adottare misure supplementari tecniche, legali e organizzative, in base alle esigenze specifiche collegate ai diversi trasferimenti;
  • adeguare alcuni rilevanti documenti che fanno parte dell’impianto privacy di ogni titolare del trattamento, come le informative (che devono essere molto trasparenti sul tema dei trasferimenti) e il registro dei trattamenti;
  • dotarsi di procedure efficaci e documentare le attività svolte.

Ricordiamo che la sanzione in caso di illecito trasferimento di dati all’estero va fino a 20 milioni di euro o al 4% del fatturato annuo.

 

Come è possibile notare dopo aver letto questo articolo, gestire il trasferimento dei dati verso l’estero richiede la conoscenza approfondita delle norme di riferimento.

 

Un utilizzo non idoneo dei dati può portare a dover affrontare pesanti sanzioni.

 

Affidati ai nostri esperti per avere la certezza di agire conformemente al GDPR ed a tutte le normative di riferimento.

 

Contattaci subito scrivendo all’indirizzo info@abinnovationconsulting.com, oppure compilando il modulo che trovi di seguito.