Trasferimento di dati personali verso Paesi terzi o organizzazioni internazionali
Cosa cambia per il trasferimento di dati personali verso Paesi terzi o organizzazioni internazionali con il GDPR
Le regole in vigore prima dell’avvento del GDPR per il lecito trasferimento di dati personali verso Paesi al di fuori dell’Unione europea e Spazio Economico Europeo («SEE») sono confermate, salvo alcune particolarità.
Il GDPR introduce ulteriori requisiti per trasferire i dati personali verso Paesi terzi, quali l’adesione a codici di condotta e a meccanismi di certificazione (che possono anche essere prodotti al fine di dimostrare che il trattamento è conforme al GDPR per altri obblighi). Viceversa, il GDPR non richiede più la preventiva autorizzazione nazionale dell’autorità di controllo. Ciò significa che il trasferimento verso un Paese terzo adeguato ai sensi della decisione assunta in futuro dalla Commissione, ovvero sulla base di clausole contrattuali tipo, debitamente adottate, o di norme vincolanti d’impresa potrà avere inizio senza attendere l’autorizzazione nazionale dell’autorità di controllo. Continua a essere necessaria l’autorizzazione se un titolare intende utilizzare clausole contrattuali ad hoc (cioè non riconosciute come adeguate tramite decisione della Commissione europea) oppure accordi amministrativi stipulati tra autorità pubbliche.
I requisiti per il trasferimento di dati personali verso Paesi terzi o organizzazioni internazionali
Il GDPR prevede precisi requisiti per il trasferimento di dati personali al di fuori del territorio dell’Unione Europea e dello Spazio Economico Europeo («SEE»). Le prescrizioni mirano ad assicurare che il livello di protezione delle persone fisiche non sia pregiudicato anche laddove i dati siano trasferiti per il loro trattamento in Paesi terzi che potrebbero non garantire un livello di protezione analogo a quello europeo.
I requisiti che consentono il trasferimento dei dati verso Paesi terzi o organizzazioni internazionali sono:
a. trasferimento sulla base di una decisione di adeguatezza emanata dalla Commissione europea, compreso lo «Privacy Shield» per trasferimenti dall’UE verso gli Stati Uniti
b. trasferimento soggetto a garanzie adeguate
c. norme vincolanti di impresa («Binding Corporate Rules – BCR»)
d. deroghe in specifiche situazioni.
Nel seguito la dissertazione dei primi due requisiti. Le norme vincolanti di impresa («Binding Corporate Rules – BCR») e le deroghe in specifiche situazioni sono trattate separatamente.
Trasferimento sulla base di una decisione di adeguatezza
Il trasferimento di dati personali verso un Paese terzo o organizzazioni internazionali è ammesso se la Commissione ha deciso che il Paese terzo, un territorio o uno o più settori specifici all’interno del Paese terzo, o l’organizzazione internazionale garantiscono un livello di protezione adeguato. Sotto questa condizione, il trasferimento non richiede autorizzazioni specifiche.
Nel valutare se c’è un livello adeguato di protezione, la Commissione prende in esame una serie di elementi, fra i quali spicca l’esistenza di una o più autorità di controllo, con competenza per garantire e controllare il rispetto delle norme in materia di protezione dei dati, comprensiva di adeguati poteri di esecuzione, per assistere e fornire consulenza agli interessati per esercitare i loro diritti e cooperare con le autorità di controllo degli Stati membri.
Previa valutazione di adeguatezza del livello di protezione, la Commissione può decidere, mediante un atto di esecuzione, che un Paese terzo, un territorio o uno o più settori specifici all’interno di un Paese terzo, o un’organizzazione internazionale garantiscono un livello di protezione adeguato. Nell’atto di esecuzione, la Commissione stabilisce l’ambito geografico e settoriale di applicazione e identifica l’autorità o le autorità di controllo competenti. Il predetto atto di esecuzione deve essere rivalutato almeno ogni 4 anni, tenendo conto dell’evoluzione del Paese terzo o dell’organizzazione internazionale. Se dal riesame, la Commissione accerta che non vi è più un livello adeguato, la Commissione modifica, revoca o sospende la decisione di adeguatezza. Questa decisione non ha effetto retroattivo.
A cadenza regolare, la Commissione deve monitorare l’adeguatezza del livello di protezione.
La Commissione deve pubblicare nella Gazzetta ufficiale dell’Unione europea e sul suo sito web l’elenco dei Paesi terzi, dei territori e settori specifici all’interno di un Paese terzo e delle organizzazioni internazionali per i quali ha deciso che è o non è più garantito un livello di protezione adeguato.
Tutte le decisioni di adeguatezza che sono state emanate prima del GDPR sono ancora valide: pertanto, restano in vigore fino a quando non sono modificate, sostituite o abrogate da una successiva decisione della Commissione.
Quindi, rimangono in vigore le decisioni di adeguatezza per il trasferimento di dati personali verso Andorra, Argentina, Australia – PNR, Canada, Faer Oer, Guernsey, Isola di Man, Israele, Jersey, Nuova Zelanda, Svizzera, Uruguay, Giappone. Ad ampliamento, per il SEE sono applicabili le decisioni per i trasferimenti verso Norvegia, Liechtenstein, Islanda.
Trasferimento soggetto a garanzie adeguate
Se la Commissione non ha emanato una decisione di adeguatezza, il trasferimento dei dati verso un Paese terzo o un’organizzazione internazionale può avvenire se il titolare o il responsabile ha fornito garanzie adeguate e se gli interessati possono esercitare i loro diritti e hanno a disposizione mezzi di ricorso effettivi. Senza bisogno di avere preventiva autorizzazione da un’attività di controllo, queste sono le garanzie adeguate applicabili:
a. strumento giuridicamente vincolante e avente efficacia esecutiva tra autorità pubbliche o organismi pubblici
b. norme vincolanti d’impresa («Binding Corporate Rules – BCR»)
c. clausole contrattuali standard di protezione dei dati adottate dalla Commissione europea
d. clausole contrattuali standard di protezione dei dati adottate da un’autorità di controllo e approvate dalla Commissione europea
e. adesione ad un codice di condotta approvato
f. adesione ad un meccanismo di certificazione.
Soffermiamoci sulle clausole contrattuali standard e sui codici di condotta e la certificazione.
Le clausole contrattuali standard
Ne esistono di due tipi: le clausole contrattuali standard che possono essere usate per trasferimenti da titolare a titolare, in base alle decisioni della Commissione europea del 15 giugno 2001 e successivamente del 27 dicembre 2004, e le clausole contrattuali standard del 5 febbraio 2010 per il trasferimento verso responsabili. Sono delle clausole vincolanti tra le parti che mirano a stabilire le garanzie adeguate in termini di protezione dati che sono richieste dal GDPR anche nel caso di trattamento dei dati, previo trasferimento, in Paesi terzi o organizzazioni internazionali, al fine di salvaguardare i diritti degli interessati e le loro libertà fondamentali. In sostanza, le clausole devono garantire lo stesso livello di protezione dei dati trattati in territorio europeo dove è presente una legislazione adeguata. È importante sottolineare che le clausole non ammettono emendamenti e devono essere sottoscritte dalle parti così come sono. Tuttavia, esse possono essere incorporate in un contratto più generale e vi si possono aggiungere clausole ulteriori purché non in conflitto, direttamente o indirettamente, con le clausole approvate dalla Commissione europea.
Se si intendono apportare modifiche o emendamenti queste clausole si trasformano in clausole contrattuali ad hoc. Anche queste ultime possono offrire garanzie adeguate ma prima di procedere al trasferimento, queste clausole contrattuali speciali necessitano dell’autorizzazione della competente autorità di controllo nazionale, preceduta in ogni caso dal parere del Comitato europeo della protezione dei dati («European Data Protection Board – EDPB»).
Le autorizzazioni rilasciate da uno Stato membro o dall’autorità di controllo restano valide fino a quando non vengono modificate, sostituite o abrogate, se necessario, dalla medesima autorità di controllo. Le decisioni adottate dalla Commissione restano in vigore fino a quando non vengono modificate, sostituite o abrogate, se necessario, da una decisione della Commissione.
L’adesione a un codice di condotta o a un meccanismo di certificazione
Si tratta di strumenti giuridici innovativi introdotti dal GDPR. Il GDPR incoraggia l’elaborazione di codici di condotta destinati a contribuire affinché il GDPR sia applicato, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese. Il GDPR stabilisce quali elementi devono essere specificati nei codici di condotta e, proprio per quanto qui di interesse, evidenzia la necessità di determinare i meccanismi che gli aderenti si impegnano a rispettare per il trasferimento di dati personali verso Paesi terzi o organizzazioni internazionali.
Quindi, in assenza di altri requisiti per il trasferimento, l’adesione a un codice di condotta che determini misure organizzative e di sicurezza adeguate al rispetto dei principi del GDPR e ai diritti degli interessati nel contesto del trasferimento dei dati verso Paesi terzi o organizzazioni internazionali può essere prodotta come condizione idonea al trasferimento.
Analogamente, il GDPR riconosce che i meccanismi di certificazione, i sigilli, i marchi approvati possono essere istituiti al fine di dimostrare la previsione di garanzie appropriate da parte dei titolari o responsabili non soggetti al GDPR, nel quadro dei trasferimenti di dati personali verso Paesi terzi o organizzazioni internazionali. Detti titolari o responsabili devono assumere l’impegno vincolante e azionabile, mediante strumenti contrattuali o di altro tipo giuridicamente vincolanti, di applicare le stesse adeguate garanzie anche per quanto riguarda i diritti degli interessati.
Norme vincolanti di impresa («Binding Corporate Rules» – «BCR»)
Il GDPR dedica un articolo specifico alle norme vincolanti di impresa, anche se già menzionate come strumento per il trasferimento dei dati soggetto a garanzie adeguate.
Le norme vincolanti d’impresa («Binding Corporate Rules» – «BCR») descrivono le politiche di protezione dei dati cui aderiscono gli appartenenti a un gruppo imprenditoriale (cioè, un’impresa multinazionale) al fine di offrire garanzie adeguate per i trasferimenti di dati personali all’interno del gruppo stesso – anche al di fuori del SEE.
Essendo una modalità di trasferimento già prevista prima del GDPR, è possibile che il titolare abbia già elaborato le «BCR» oppure si serva di responsabili che aderiscono a «BCR» per responsabili. È possibile continuare a utilizzarle, autorizzate ai sensi del precedente regime giuridico (Direttiva 95/46/CE), poiché esse mantengono la propria validità anche ai sensi del GDPR. Tuttavia, queste norme devono essere aggiornate per essere pienamente conformi alle disposizioni del GDPR. Se, al contrario, le «BCR» non sono ancora state elaborate, dovranno essere approvate dalla competente autorità di controllo nazionale sulla base di un parere del Comitato europeo della protezione dei dati («European Data Protection Board – EDPB»). Il GDPR fissa i requisiti per l’approvazione delle norme vincolanti d’impresa e i contenuti obbligatori di tali norme. L’elenco indicato dal GDPR non è esaustivo e, pertanto, potranno essere previsti dalle autorità competenti, a seconda dei casi, requisiti ulteriori.
L’approvazione dell’autorità di controllo dipende dai requisiti delle «BCR», che devono:
a. essere giuridicamente vincolanti e applicate a tutti i membri interessati del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attività economica comune, compresi i loro dipendenti
b. conferire espressamente agli interessati diritti azionabili in relazione al trattamento dei loro dati personali
c. soddisfare i requisiti di contenuto minimo richiesto dal GDPR.
Le «BCR» devono almeno specificare:
a. la struttura e le coordinate di contatto del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attività economica comune e di ciascuno dei suoi membri
b. i trasferimenti o il complesso di trasferimenti di dati, in particolare le categorie di dati personali, il tipo di trattamento e relative finalità, il tipo di interessati e l’identificazione del Paese terzo o dei Paesi terzi
c. la loro natura giuridicamente vincolante, a livello sia interno che esterno
d. l’applicazione dei principi generali di protezione dei dati, ivi compresi i requisiti per i trasferimenti successivi ad organismi che non sono vincolati dalle norme vincolanti d’impresa
e. i diritti degli interessati e i mezzi per esercitarli, il diritto di proporre reclamo all’autorità di controllo competente e di ricorrere alle autorità giurisdizionali competenti degli Stati membri e il diritto di ottenere il risarcimento per violazione delle norme vincolanti d’impresa
f. il fatto che il titolare o il responsabile stabilito nel territorio di uno Stato membro si assume la responsabilità per qualunque violazione delle norme vincolanti d’impresa commesse da un membro interessato non stabilito nell’Unione; il titolare o il responsabile può essere esonerato in tutto o in parte da tale responsabilità solo se dimostra che l’evento dannoso non gli è imputabile
g. le modalità in base alle quali sono fornite all’interessato le informazioni sulle norme vincolanti d’impresa
h. i compiti di qualunque «Data Protection Officer» o di ogni altra persona o entità incaricata del controllo del rispetto delle norme vincolanti d’impresa all’interno del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attività economica comune e il controllo della formazione e della gestione dei reclami
i. le procedure di reclamo
j. i meccanismi all’interno del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attività economica comune per garantire la verifica della conformità alle norme vincolanti d’impresa
k. il meccanismo di cooperazione con l’autorità di controllo per garantire la conformità da parte di ogni membro del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attività economica comune, in particolare la messa a disposizione dell’autorità di controllo dei risultati delle verifiche sulla conformità delle «BCR»
l. i meccanismi per segnalare all’autorità di controllo competente ogni requisito di legge cui è soggetto un membro del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attività economica comune in un Paese terzo che potrebbe avere effetti negativi sostanziali sulle garanzie fornite dalle norme vincolanti d’impresa
m. l’appropriata formazione in materia di protezione dei dati al personale che ha accesso permanente o regolare ai dati personali.
Le «BCR» sono certamente un utile mezzo per regolare nell’ambito di un gruppo imprenditoriale internazionale il flusso dei dati verso i Paesi extra-UE, ma il processo di elaborazione è lungo poiché le norme devono essere frutto di procedure condivise da parte di tutti i membri coinvolti.
Trasferimento in presenza di deroghe in specifiche situazioni
Il trasferimento di dati personali verso Paesi terzi o organizzazioni internazionali è ammesso, in assenza delle precedenti condizioni, se:
a. l’interessato ha prestato il consenso al trasferimento: questo consenso deve essere espresso distintamente da altri consensi eventualmente richiesti
b. il trasferimento è necessario all’esecuzione di un contratto concluso tra l’interessato e il titolare ovvero all’esecuzione di misure precontrattuali adottate su istanza dell’interessato: è un requisito di liceità di trattamento equiparabile a quello richiesto quando il trattamento è eseguito internamente al territorio europeo e prevale la necessità di adempiere a un obbligo assunto verso la persona
c. il trasferimento è necessario per la conclusione o l’esecuzione di un contratto stipulato tra il titolare e un’altra persona fisica o giuridica a favore dell’interessato: vale quanto detto al punto precedente
d. il trasferimento è necessario per importanti motivi di interesse pubblico: gli interessi della collettività prevalgono sul diritto alla riservatezza del singolo interessato e sulle garanzie di adeguatezza correlate
e. il trasferimento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria: è una misura analoga al legittimo interesse che può essere assunto come base giuridica del trattamento condotto all’interno dell’Unione europea
f. il trasferimento è necessario per tutelare gli interessi vitali dell’interessato o di altre persone, qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso: chiaramente la salute fisica e psichica dell’interessato o di terzi prevale su qualsiasi garanzia di riservatezza della sfera personale, ovunque i dati siano trattati per tale fine
g. il trasferimento è effettuato a partire da un registro che, a norma del diritto dell’Unione o degli Stati membri, mira a fornire informazioni al pubblico e può essere consultato tanto dal pubblico in generale quanto da chiunque sia in grado di dimostrare un legittimo interesse e a condizione che sussistano i requisiti per la consultazione previsti dal diritto dell’Unione o degli Stati membri: è tipico l’esempio di cataloghi di settore o albi professionali che, per loro natura, possono essere consultati da chiunque. Si precisa che, in tale caso, però, il trasferimento non può comprendere la totalità del registro.
Se non è possibile basare il trasferimento su decisioni di adeguatezza o su garanzie adeguate o sulle norme vincolanti di impresa e non è possibile far rientrare il trasferimento nelle deroghe sopra elencate, il trasferimento verso un Paese terzo o un’organizzazione internazionale è, comunque, lecito, soltanto se:
a. non è ripetitivo
b. riguarda un numero limitato di interessati
c. è necessario per il perseguimento degli interessi legittimi cogenti del titolare, su cui non prevalgano gli interessi o i diritti e le libertà dell’interessato, e
d. se il titolare ha valutato tutte le circostanze relative al trasferimento e sulla base di tale valutazione ha fornito garanzie adeguate relativamente alla protezione dei dati personali. Il titolare ha l’obbligo di informare l’autorità di controllo e gli interessati indicando gli interessi legittimi cogenti perseguiti.
Questa condizione residuale richiama ancora al principio di «accountability» che pone l’obbligo di dimostrare l’adeguatezza delle decisioni nel rispetto delle prescrizioni del GDPR: la decisione di ricorrere comunque al trasferimento dei dati in assenza di qualsiasi altro requisito richiesto dal GDPR deve essere chiaramente giustificata e documentata. La valutazione e le garanzie adeguate implementate devono essere riportate nel Registro delle attività di trattamento.
Cosa succede in caso di «no-deal Brexit» o «hard Brexit»
In assenza di un accordo fra i Paesi dello Spazio Economico Europeo («SEE») e il Regno Unito, il Regno Unito diverrà un Paese terzo. Pertanto, i trasferimenti di dati personali verso il Regno Unito potranno basarsi su uno dei seguenti requisiti:
a. clausole contrattuali standard emanate dalla Commissione o clausole contrattuali ad-hoc delle autorità di controllo nazionali
b. norme vincolanti di impresa
c. codici di condotta e meccanismi di certificazione
d. deroghe in specifiche situazioni.
Secondo quanto affermato dal Governo del Regno Unito, in caso di Brexit senza accordo non si modificherà l’attuale situazione, che prevede la libera circolazione di dati personali dal Regno Unito verso i Paesi del SEE.
Per approfondire, consulta le FAQ o contattami.