Il trasferimento di dati all’estero

Avatar DiMarco Strada

Alcuni profili problematici in materia di privacy possono essere difficili da percepire per gli operatori economici.

Un problema complesso e “pericoloso” è quello del trasferimento dei dati di interessati all’estero, sul quale è facile perdersi tra i vari concetti e regole rilevanti.

Si ritiene opportuno realizzare una breve guida sull’argomento, per aiutare le PMI e i professionisti a orientarsi nelle sue coordinate fondamentali.

Si rimanda a questo articolo per un primo sguardo ai concetti di trattamento dei dati, titolare e responsabile.

Premessa: il trasferimento dei dati in un mondo connesso

Prendiamo ad esempio un’impresa operante in Italia, con struttura operativa limitata ai confini nazionali, titolare del trattamento per i dati dei propri clienti.

Tale impresa potrebbe ritenere, secondo ragionevolezza, di non essere toccata dagli obblighi in materia di privacy riguardanti il trasferimento all’estero dei dati personali trattati.

Tuttavia, nell’era di internet e della connessione globale, anche il concetto di “trasferimento” diventa slegato da materialità e confini. Il semplice uso di un sistema cloud può portare i dati in luoghi estranei al controllo del titolare, a volte esterni all’Unione Europea.

Questo significa, innanzitutto, che ogni operatore economico deve garantire alla sua struttura adeguate conoscenze giuridiche e informatiche. Deve saper scegliere consapevolmente i programmi utilizzati per il trattamento di dati e valutarne l’adeguatezza ai fini privacy.

Spesso, in ogni caso, dotarsi di programmi che prevedono il trasferimento dei dati al di fuori dell’Unione Europea può diventare una necessità.

Dal punto di vista della normativa privacy, come va gestita questa scelta?

Non divieti ma regole

A volte, si legge che il trasferimento di dati personali fuori dai confini Europei sarebbe, in linea generale, vietato.

Non è così.

A differenza di altri passaggi del GDPR (per esempio, con riguardo al trattamento delle categorie particolari di dati), la normativa Europea non prevede, nemmeno in via di principio, un divieto al trasferimento.

L’art. 44 GDPR obbliga, piuttosto, al rispetto delle condizioni previste negli articoli successivi del Regolamento, più o meno stringenti a seconda del luogo dove i dati potranno essere trasferiti.

Infatti, ancora una volta, l’impianto Europeo non vieta il trasferimento verso nessuno Stato, a prescindere dalle regole previste in materia di privacy nel suo ordinamento.

Trasferimento e responsabile del trattamento

Il responsabile del trattamento

Va ricordato brevemente, rimandando, tra l’altro, a questo articolo per ulteriori informazioni, che:

  • il trattamento dei dati personali è un concetto particolarmente ampio, che ricomprende qualsiasi operazione su dati relativi a una persona identificata o identificabile;
  • titolare del trattamento è chi determina le finalità del trattamento, in sintesi ogni soggetto che raccolga e disponga di dati personali altrui per ragioni non esclusivamente personali o domestiche;
  • responsabile del trattamento è chiunque effettui attività di trattamento di dati per conto del titolare al di fuori della sua organizzazione;
  • i trattamenti effettuati da un responsabile devono essere disciplinati da un contratto scritto o altro atto giuridico vincolante.

Profili operativi nel trasferimento internazionale

Normalmente, nel caso di una pmi o di uno Studio professionale, il trasferimento non viene effettuato tra sezioni della stessa organizzazione o verso un diverso titolare del trattamento.

Accade piuttosto che un operatore economico si serva, per il trattamento dei dati, dei servizi forniti da soggetti terzi e che il trasferimento possa avvenire nel trattamento effettuato da questi ultimi o loro delegati.

Il caso tipico è quello di servizi informatici (per esempio di archiviazione “cloud”), effettuati da aziende con struttura internazionale a favore del titolare o dei responsabili del trattamento.

Pertanto, nell’acquisire tali servizi, ogni operatore soggetto alla normativa privacy dovrà:

  • verificare se il fornitore risulti “responsabile del trattamento” e, in tal caso, curare che il rapporto sia disciplinato con atto giuridico vincolante
  • verificare se i termini e condizioni di utilizzo del servizio prevedano la possibilità di trasferimento dei dati all’estero e, in tal caso, curare che vengano rispettati i requisiti prescritti dalla normativa Europea.

Se i termini e condizioni di utilizzo del servizio non siano già sufficienti al rispetto delle condizioni previste dalla disciplina in materia di privacy, sarà necessario formalizzarle in apposito accordo separato.

Le condizioni per il trasferimento

Il GDPR prevede una serie di condizioni alternative per avere un trasferimento lecito.

In linea di principio, il trasferimento è sempre astrattamente possibile. Le condizioni si limitano a cambiare e diventare progressivamente più stringenti quanto minore è la sicurezza “certificata” dagli organi dell’Unione.

Le decisioni di adeguatezza

L’art. 45 GDPR prescrive innanzitutto che se la Commissione ha espresso una decisione di adeguatezza per il Paese verso cui avviene il trasferimento, oppure suoi territori o settori specifici, il trasferimento può avvenire senza altre autorizzazioni specifiche.

L’art. 45 prevede il meccanismo di approvazione della decisione di adeguatezza e i criteri che la Commissione deve valutare. Per l’operatore economico è però importante soprattutto rifarsi all’elenco delle decisioni vigenti, consultabile all’apposita pagina messa a disposizione sul sito istituzionale dell’Unione Europea.

Gli Stati Uniti e il “Privacy shield”

L’Unione Europea e gli Stati Uniti hanno avuto un rapporto altalenante in termini di privacy.

La Corte di Giustizia dell’Unione Europea, nel 2015, ha valutato illegittimo l’accordo “Safe Harbour”, sul quale si reggeva la disciplina della protezione dei dati nei rapporti commerciali USA-UE.

Già nel 2016 Stati Uniti e Unione hanno varato un nuovo accordo, più stringente, c.d.”Privacy Shield“. Molti hanno però criticato il nuovo testo, ritenendolo insufficiente a garantire una protezione adeguata alla disciplina GDPR e lamentandone, ancora una volta, l’illegittimità.

Va in ogni caso ricordato che la Commissione Europea non ha approvato una decisione di adeguatezza per gli Stati Uniti nel loro complesso. Sono considerati adeguati solo i trasferimenti verso le aziende che aderiscono alla disciplina prevista dal Privacy Shield.

Le clausole contrattuali standard

Il GDPR prevede, come anticipato, una serie di altre condizioni per consentire il trasferimento di dati anche verso gli Stati per i quali manchi una decisione di adeguatezza.

In particolare l’articolo 46 prevede che in questo caso il trasferimento dev’essere soggetto a “Garanzie adeguate”.

L’articolo prosegue elencando alcune garanzie ritenute “adeguate” dallo stesso GDPR, in ragione di un’approvazione da parte delle autorità Europee.

Ci si sofferma inizialmente, anche per la loro diffusione nella prassi, sulle clausole contrattuali standard adottate o approvate dalla Commissione Europea.

Si tratta di formule di accordo che precisano gli obblighi delle parti nell’esportazione dei dati, per garantire un trattamento adeguato alle regole Europee.

È possibile consultare a questo indirizzo le clausole attualmente vigenti per l’esportazione di dati da un titolare Europeo a un responsabile del trattamento estero, approvate con decisione della Commissione n. 87 del 2010.

Altre certificazioni e approvazioni

Le norme vincolanti d’impresa

Le norme vincolanti d’impresa (“binding corporate rules” o “BCR”), sono invece norme “ad hoc”.

Il soggetto che importa dati Europei in un paese Estero si da un impianto di regole a tutela della privacy, con impegno vincolante a rispettarle.

Per l’applicazione di queste norme è necessaria un’approvazione da parte della competente autorità di controllo, che verifica il rispetto dei requisiti previsti dall’art. 47 GDPR.

Tutti i successivi trasferimenti effettuati sulla base delle BCR non richiederanno, invece, specifiche autorizzazioni.

I codici di condotta

Gli articoli 40 e ss GDPR prevedono che associazioni e altri organismi di categoria dei titolari del trattamento possano elaborare “codici di condotta” in materia di privacy, approvati dall’autorità di controllo.

L’impegno vincolante dell’importatore estero ad applicare un codice di condotta costituisce garanzia adeguata per il trasferimento

La certificazione

L’art. 42 GDPR prevede un meccanismo di certificazione volontaria per consentire a un’impresa di dimostrare la conformità al Regolamento.

Anche la certificazione può costituire garanzia adeguata per il trasferimento.

Approvazione delle specifiche clausole

Quando manchi, a monte, una delle autorizzazioni citate, è comunque possibile sottoporre all’approvazione dell’autorità competente le clausole contrattuali riguardanti lo specifico rapporto.

Si tratta, ovviamente, di procedure giustificata solo in casi particolari e di rilevante entità e di improbabile applicazione da parte di operatori economici medio-piccoli.

Il par. 3 dell’art. 46 prevede che l’approvazione sia possibile anche per accordi tra autorità od organismi pubblici. Gli strumenti giuridicamente vincolanti con efficacia esecutiva tra autorità od organismi pubblici (par. 1) possono anche costituire garanzia adeguata per successivi trasferimenti.

Deroghe

Anche in mancanza dei requisiti sopra indicati, il trasferimento resta possibile alle condizioni previste dall’art. 49 GDPR, tra le quali si ricordano

  • il consenso dell’interessato, previa adeguata informazione sui possibili rischi del trasferimento
  • la necessità del trasferimento in relazione allo specifico accordo concluso con l’interessato o a suo favore
  • la necessità per accertare, esercitare o difendere un diritto in sede giudiziaria.

Il trasferimento è comunque possibile, anche al di fuori dei predetti casi, se

  • non ha carattere ripetitivo e riguarda un numero limitato di dati
  • è necessario per l’interesse del titolare
  • quest’ultimo, valutate tutte le circostanze e sotto la sua responsabilità, abbia fornito garanzie adeguate alla protezione dei dati personali
  • il titolare fornisca specifica informativa all’interessato
  • il titolare informa, per ogni valutazione, l’autorità di controllo

Aggiornamento dell’informativa

Il trasferimento dei dati trattati rende in ogni caso necessario un aggiornamento dell’informativa fornita agli interessati.

Gli articoli 13 e 14 precisano infatti che il titolare debba comunicare all’interessato l’intenzione di trasferire i suoi dati verso un Paese terzo o a un’Organizzazione internazionale.

Il titolare deve inoltre precisare nell’informativa:

  • l’esistenza o l’assenza di una decisione di adeguatezza della Commissione;
  • negli altri casi di trasferimento
    • il riferimento alle garanzie appropriate o opportune (clausole standard, BCR o garanzie ad hoc)
    • i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili
VALUTAZIONE DEGLI UTENTI
[Voti: 0    Media Voto: 0/5]

Lascia una risposta