Trasferimento dati verso paesi terzi: la fattispecie

Gli art. 44 e seguenti del GDPR disciplinano il trasferimento di dati verso Paesi terzi (per tali intesi gli Stati non ricompresi nell’Unione Europea), in quanto tale trasferimento può avere luogo solo vi siano, alternativamente:

  • Decisione di adeguatezza; o
  • Trasferimento soggetto a garanzie; o
  • Norme vincolanti d’impresa

Decisione di adeguatezza

L’art. 45 GDPR prevede che il trasferimento dei dati verso Paesi terzi sia possibile “se la Commissione ha deciso che il paese terzo, un territorio o uno o più settori specifici all’interno del paese terzo, o l’organizzazione internazionale in questione garantiscono un livello di protezione adeguato. In tal caso il trasferimento non necessita di autorizzazioni specifiche”.

Attualmente le decisioni di adeguatezza della Commissione si rivolgono a 14 Paesi terzi e possono essere trovate sul sito del Garante privacy a questo link.

Importanti, al fine di comprendere la ratio per cui la Commissione decide o meno per l’adeguatezza per il trasferimento verso un Paese terzo, sono i requisiti dettati dal disposto normativo.

In primis, la Commissione valuta quello che è lo stato del diritto (inteso nel suo senso più ampio), come il rispetto dei diritti e delle libertà degli individui, un concetto più volte ripetuto all’interno del GDPR stesso. Allo stesso tempo verrà valutata la normativa di settore della protezione dati e delle misure di sicurezza che il Paese terzo impone o ritiene minime in attuazione di tale normativa.

Altrettanto importante risulta essere la presenza e l’effettivo funzionamento di un’autorità di controllo indipendente in grado di garantire e controllare il rispetto delle norme in materia di protezione dei dati, comprensiva di adeguati poteri di esecuzione, per assistere e fornire consulenza agli interessati in merito all’esercizio dei loro diritti e cooperare con le autorità di controllo degli Stati membri.

Infine, vengono valutati gli impegni internazionali assunti dal paese terzo in particolare in relazione alla protezione dei dati personali.

Trasferimento soggetto a garanzie

In caso non vi sia una decisione di adeguatezza ai sensi dell’art. 45, il GDPR permette comunque di poter trasferire i dati ad un Paese terzo ove vi siano garanzie adeguate ai sensi dell’art. 46. Tralasciamo per un momento le norme vincolanti d’impresa che vedremo in seguito, analizziamo alcune delle garanzie più utilizzate nella prassi, che possiamo riassumere in tre categorie.

Clausole tipo di protezione dati (altrimenti denominate Standard Contract Clauses, SCC) adottate dalla Commissione, oppure adottate da un’autorità di controllo e approvate dalla Commissione.

Al fine di utilizzare tali clausole queste dovranno essere implementate all’interno di un accordo tra l’esportatore e l’importatore dei dati, senza che tali clausole vengano modificate o contraddette da ulteriori disposizioni contrattuali, in quanto la Commissione dispone che le clausole comprendono quella garanzia minima necessaria per la tutela degli interessati.

Anche i codici di condotta vengono ricompresi nel novero delle garanzie adeguate per il trasferimento dei dati verso Paesi terzi.

L’elaborazione dei codici di condotta di cui all’art. 40 del GDPR viene incoraggiata dalle autorità di riferimento (Stato membro, autorità di controllo, Commissione, ecc…) al fine di incentivare e migliorare l’applicazione del GDPR: si potrebbero vedere come un meccanismo di “auto-miglioramento” dato dal Regolamento per il Regolamento.

Attualmente il Garante privacy ha approvato due codici di condotta relativi i) al trattamento dei dati personali in materia di informazioni commerciali (lo trovi qui) e ii) per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti (lo trovi qui).

In ultimo, ma non meno importanti, si trovano i meccanismi di certificazione di cui all’art. 42 GDPR. Tale articolo dispone come le autorità di riferimento incoraggiano l’istituzione di meccanismi di certificazione della protezione dei dati al fine di poter migliorare l’applicazione del Regolamento stesso.

In particolare, il citato articolo, oltre a ricordare la volontarietà della certificazione, dispone come i “meccanismi (di certificazione, n.d.r.) possono essere istituiti al fine di dimostrare la previsione di garanzie appropriate da parte dei titolari del trattamento o responsabili del trattamento non soggetti al presente regolamento […] nel quadro dei trasferimenti di dati personali verso paesi terzi […] alle condizioni di cui all’articolo 46, paragrafo 2, lettera f)”: in altre parole, questa disposizione sancisce l’adeguatezza delle garanzie offerte dalle certificazioni e permette, quindi, il trasferimento dei dati verso Paesi terzi.

Norme vincolanti d’impresa

Le norme vincolanti d’impresa, o come denominate in inglese Binding Corporate Rules – BCR, sono disciplinate dall’art. 47 GDPR a chiusura delle garanzie adeguate per il trasferimento dati verso paesi terzi per i gruppi imprenditoriali.

Tali norme, oltre a dover essere giuridicamente vincolanti per tutti i membri del gruppo imprenditoriale (compresi i dipendenti) e conferire agli interessati diritti azionabili, devono contenere almeno i requisiti indicati al par. 2 dell’art. 47.

In particolare, le norme vincolanti dovranno indicare la struttura del gruppo imprenditoriale, le coordinate di contatto sia del gruppo che dei singoli membri e dovranno, altresì, indicare nel dettaglio i trasferimenti dati che vengono effettuati.

Le norme vincolanti dovranno indicare puntualmente “l’applicazione dei principi generali di protezione dei dati, in particolare in relazione alla limitazione della finalità, alla minimizzazione dei dati, alla limitazione del periodo di conservazione, alla qualità dei dati, alla protezione fin dalla progettazione e alla protezione per impostazione predefinita, alla base giuridica del trattamento e al trattamento di categorie particolari di dati personali, le misure a garanzia della sicurezza dei dati e i requisiti per i trasferimenti successivi ad organismi che non sono vincolati dalle norme vincolanti d’impresa”.

Come si può notare, le disposizioni di cui sopra risultano simili alle disposizioni di cui al registro del registro del trattamento ex art. 30 GDPR che, in questo caso, sarà molto utile tenere per adempiere agli obblighi normativi e monitorare i flussi di trattamento dati all’interno sia del gruppo che delle singole sedi.

Vi sono degli ulteriori obblighi e procedure che, ai fini del presente articolo, risulterebbero complessi per la lettura e andrebbero oltre la descrizione della fattispecie di trattamento dati: per questo motivo, tali argomenti verranno trattati in apposito articolo separato.

Ti è piaciuto questo contenuto? Contattaci per approfondimenti:


Cliccando sul pulsante "Invia Messaggio" si acconsente al trattamento dei dati personali come disposto dall'Informativa sulla Privacy

Related Posts

15

Giu
Diritto societario

Il Covid-19 e la vita societaria – L’applicazione e l’operatività della clausola Material Adverse Change

Tra gli effetti economici della diffusione del coronavirus, ce n’è uno di carattere squisitamente tecnico che potrebbe avere conseguenze incalcolabili, relativo al “sistematico” inserimento nei contratti societari della clausola cosiddetta “MAC” (in italiano “clausola di assenza di effetti sfavorevoli”). Talvolta denominate “Material Adverse Effect” o “Material Adverse Event”, queste clausole, nate dalla prassi dei contratti di M&A, dispiegano loro utilità laddove sussista […]

03

Giu
GDPR e Data Strategy

Trasferimento dati infragruppo

Capita sovente che i gruppi aziendali abbiano necessità di poter trasferire, tra le varie sedi del gruppo, dati personali. Con altrettanta frequenza i gruppi hanno sedi all’esterno di quello che è il contesto geopolitico dell’Unione Europea e, tecnicamente parlando, si è in presenza di un trasferimento di dati personali verso paesi terzi, fattispecie regolata dagli art. 44[…]

29

Mag
Diritto societario

Il Covid-19 e la vita societaria – L’assemblea societaria “digitale”

Come è noto, la pandemia in atto in questo periodo, causata dal diffondersi del Covid-19, ha indotto in primis il legislatore ad introdurre delle misure stringenti al fine di limitare il più possibile gli assembramenti di persone e in seconda istanza la società a dover adattarsi a trovare una nuova comfort zone. Oggi portiamo un esempio che ha influenzato molto la[…]