Trasferimento dati verso paesi terzi: la fattispecie

Gli art. 44 e seguenti del GDPR disciplinano il trasferimento di dati verso Paesi terzi (per tali intesi gli Stati non ricompresi nell’Unione Europea), in quanto tale trasferimento può avere luogo solo vi siano, alternativamente:

  • Decisione di adeguatezza; o
  • Trasferimento soggetto a garanzie; o
  • Norme vincolanti d’impresa

Decisione di adeguatezza

L’art. 45 GDPR prevede che il trasferimento dei dati verso Paesi terzi sia possibile “se la Commissione ha deciso che il paese terzo, un territorio o uno o più settori specifici all’interno del paese terzo, o l’organizzazione internazionale in questione garantiscono un livello di protezione adeguato. In tal caso il trasferimento non necessita di autorizzazioni specifiche”.

Attualmente le decisioni di adeguatezza della Commissione si rivolgono a 14 Paesi terzi e possono essere trovate sul sito del Garante privacy a questo link.

Importanti, al fine di comprendere la ratio per cui la Commissione decide o meno per l’adeguatezza per il trasferimento verso un Paese terzo, sono i requisiti dettati dal disposto normativo.

In primis, la Commissione valuta quello che è lo stato del diritto (inteso nel suo senso più ampio), come il rispetto dei diritti e delle libertà degli individui, un concetto più volte ripetuto all’interno del GDPR stesso. Allo stesso tempo verrà valutata la normativa di settore della protezione dati e delle misure di sicurezza che il Paese terzo impone o ritiene minime in attuazione di tale normativa.

Altrettanto importante risulta essere la presenza e l’effettivo funzionamento di un’autorità di controllo indipendente in grado di garantire e controllare il rispetto delle norme in materia di protezione dei dati, comprensiva di adeguati poteri di esecuzione, per assistere e fornire consulenza agli interessati in merito all’esercizio dei loro diritti e cooperare con le autorità di controllo degli Stati membri.

Infine, vengono valutati gli impegni internazionali assunti dal paese terzo in particolare in relazione alla protezione dei dati personali.

Trasferimento soggetto a garanzie

In caso non vi sia una decisione di adeguatezza ai sensi dell’art. 45, il GDPR permette comunque di poter trasferire i dati ad un Paese terzo ove vi siano garanzie adeguate ai sensi dell’art. 46. Tralasciamo per un momento le norme vincolanti d’impresa che vedremo in seguito, analizziamo alcune delle garanzie più utilizzate nella prassi, che possiamo riassumere in tre categorie.

Clausole tipo di protezione dati (altrimenti denominate Standard Contract Clauses, SCC) adottate dalla Commissione, oppure adottate da un’autorità di controllo e approvate dalla Commissione.

Al fine di utilizzare tali clausole queste dovranno essere implementate all’interno di un accordo tra l’esportatore e l’importatore dei dati, senza che tali clausole vengano modificate o contraddette da ulteriori disposizioni contrattuali, in quanto la Commissione dispone che le clausole comprendono quella garanzia minima necessaria per la tutela degli interessati.

Anche i codici di condotta vengono ricompresi nel novero delle garanzie adeguate per il trasferimento dei dati verso Paesi terzi.

L’elaborazione dei codici di condotta di cui all’art. 40 del GDPR viene incoraggiata dalle autorità di riferimento (Stato membro, autorità di controllo, Commissione, ecc…) al fine di incentivare e migliorare l’applicazione del GDPR: si potrebbero vedere come un meccanismo di “auto-miglioramento” dato dal Regolamento per il Regolamento.

Attualmente il Garante privacy ha approvato due codici di condotta relativi i) al trattamento dei dati personali in materia di informazioni commerciali (lo trovi qui) e ii) per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti (lo trovi qui).

In ultimo, ma non meno importanti, si trovano i meccanismi di certificazione di cui all’art. 42 GDPR. Tale articolo dispone come le autorità di riferimento incoraggiano l’istituzione di meccanismi di certificazione della protezione dei dati al fine di poter migliorare l’applicazione del Regolamento stesso.

In particolare, il citato articolo, oltre a ricordare la volontarietà della certificazione, dispone come i “meccanismi (di certificazione, n.d.r.) possono essere istituiti al fine di dimostrare la previsione di garanzie appropriate da parte dei titolari del trattamento o responsabili del trattamento non soggetti al presente regolamento […] nel quadro dei trasferimenti di dati personali verso paesi terzi […] alle condizioni di cui all’articolo 46, paragrafo 2, lettera f)”: in altre parole, questa disposizione sancisce l’adeguatezza delle garanzie offerte dalle certificazioni e permette, quindi, il trasferimento dei dati verso Paesi terzi.

Norme vincolanti d’impresa

Le norme vincolanti d’impresa, o come denominate in inglese Binding Corporate Rules – BCR, sono disciplinate dall’art. 47 GDPR a chiusura delle garanzie adeguate per il trasferimento dati verso paesi terzi per i gruppi imprenditoriali.

Tali norme, oltre a dover essere giuridicamente vincolanti per tutti i membri del gruppo imprenditoriale (compresi i dipendenti) e conferire agli interessati diritti azionabili, devono contenere almeno i requisiti indicati al par. 2 dell’art. 47.

In particolare, le norme vincolanti dovranno indicare la struttura del gruppo imprenditoriale, le coordinate di contatto sia del gruppo che dei singoli membri e dovranno, altresì, indicare nel dettaglio i trasferimenti dati che vengono effettuati.

Le norme vincolanti dovranno indicare puntualmente “l’applicazione dei principi generali di protezione dei dati, in particolare in relazione alla limitazione della finalità, alla minimizzazione dei dati, alla limitazione del periodo di conservazione, alla qualità dei dati, alla protezione fin dalla progettazione e alla protezione per impostazione predefinita, alla base giuridica del trattamento e al trattamento di categorie particolari di dati personali, le misure a garanzia della sicurezza dei dati e i requisiti per i trasferimenti successivi ad organismi che non sono vincolati dalle norme vincolanti d’impresa”.

Come si può notare, le disposizioni di cui sopra risultano simili alle disposizioni di cui al registro del registro del trattamento ex art. 30 GDPR che, in questo caso, sarà molto utile tenere per adempiere agli obblighi normativi e monitorare i flussi di trattamento dati all’interno sia del gruppo che delle singole sedi.

Vi sono degli ulteriori obblighi e procedure che, ai fini del presente articolo, risulterebbero complessi per la lettura e andrebbero oltre la descrizione della fattispecie di trattamento dati: per questo motivo, tali argomenti verranno trattati in apposito articolo separato.

Vuoi innovare la tua azienda? Contattaci per una consulenza legal-tech:


    Cliccando sul pulsante "Invia Messaggio" si acconsente al trattamento dei dati personali come disposto dall'Informativa sulla Privacy

    Related Posts

    23

    Ott
    AB/blog, GDPR e Data Strategy

    Privacy e DPO: cosa fa e come sceglierlo

    La figura del Data Protection Officer (DPO), a volte chiamato impropriamente Data Privacy Officer e tradotto in italiano con Responsabile della Protezione dei dati personali (RPD), è la figura introdotta dal GDPR che si eleva a responsabile privacy nelle aziende e nelle pubbliche amministrazioni.   Quando nominare il responsabile privacy, o meglio il nostro DPO?   L’art.[…]

    19

    Ott
    AB/blog, Contrattualistica Legal Tech

    Legal tech: L’innovazione è nel rapporto tra technology e legal

    Il settore legale è stato fortemente rivoluzionato negli ultimi decenni dal cambio del mercato e dalla percezione del consulente legale, ma è negli ultimi anni che, grazie allo sviluppo delle nuove tecnologie, la consulenza legale ha visto il suo spostamento verso il legal-tech. Quando si parla di legal-tech bisogna pensare a due macro-argomenti: i) la consulenza legale[…]