In presenza di un trasferimento dei dati personali extra UE, quali sono gli accorgimenti e le verifiche da effettuare? Vediamoli insieme

 

Il trasferimento dei dati personali extra UE: definizione

L’intero Capo V del Regolamento Europeo 2016/679 (GDPR) rubricato “Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali” disciplina i trasferimenti di dati personali extra UE, ossia al di fuori dello spazio SEE (Spazio Economico Europeo).

Prima di capire quando e come sia possibile effettuare un trasferimento di dati personali extra UE in base alle indicazioni fornite dal GDPR, è necessario comprendere quando siamo in presenza di un “trasferimento dei dati”.

Il GDPR non fornisce alcuna definizione giuridica della nozione di “trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale”, pertanto il Comitato europeo per la protezione dei dati (EDPB) ha elaborato le Linee guida 5/2021[1] “sull’interazione tra l’applicazione dell’articolo 3 e le disposizioni in materia di trasferimenti internazionali di cui al capo V GDPR”, con il fine di chiarire gli scenari in cui, a suo avviso, si è in presenza di un trasferimento di dati personali extra UE.

Sono stati individuati tre criteri cumulativi che, se soddisfatti, indicano la presenza di un trasferimento di dati extra UE (e implicano l’applicazione delle disposizioni del Capo V del GDPR):

  • il Titolare o il Responsabile del trattamento (c.d. “esportatore“) è soggetto al GDPR per il trattamento in questione;
  • l’esportatore comunica mediante trasmissione o rende altrimenti disponibili a un altro Titolare, Contitolare o Responsabile del trattamento (c.d. “importatore“), i dati personali oggetto del trattamento;
  • l’importatore si trova in un paese terzo, indipendentemente dal fatto che l’importatore sia o meno soggetto al GDPR per il trattamento in questione, oppure è un’organizzazione internazionale.

 

Il trasferimento dei dati personali extra UE ai sensi del GDPR

Il livello di protezione garantito dal GDPR “segue” i dati: le norme in materia di protezione dei dati personali continuano ad applicarsi indipendentemente dal luogo in cui essi vengono trasferiti.

In particolare, il trasferimento verso paesi non appartenenti allo Spazio Economico Europeo è consentito solo in presenza di:

  • una decisione di adeguatezza adottata da parte della Commissione Europea[2], con la quale viene riconosciuto che quel paese/organizzazione internazionale offre un livello di protezione adeguato a quello europeo;
  • garanzie adeguate indicate nell’art. 46 GDPR e a condizione che gli interessati dispongano di diritti[3] azionabili e mezzi di ricorso effettivi. I principali strumenti di trasferimento previsti sono:
  1. le clausole tipo adottate dalla Commissione europea (Standard Contractual Clauses –SCC),
  2. le norme vincolanti d’impresa (Binding Corporate Rules – BCR),
  3. i codici di condotta[4],
  4. i meccanismi di certificazione[5],
  5. le clausole contrattuali ad hoc.

 

In ogni caso, in assenza dei presupposti di cui sopra e a determinate condizioni (specificatamente indicate) è possibile trasferire i dati personali in base ad una delle deroghe indicate dall’art. 49 del GDPR. Ad esempio qualora:

  1. l’interessato abbia espresso il proprio consenso al trasferimento, dopo essere stato informato circa i rischi che tali trasferimenti possono comportare, in conseguenza della mancata decisione di adeguatezza o di garanzie adeguate;
  2. il trasferimento sia necessario per importanti motivi di interesse pubblico riconosciuti dal diritto dello Stato membro del titolare o dal diritto europeo;
  3. il trasferimento sia occasionale e necessario per accertare, esercitare o difendere un diritto in sede giudiziaria, nell’ambito di un procedimento attuale.

 

Trasferimenti extra UE: come attuarli?

Diversi sono gli adempimenti che deve svolgere il Titolare del trattamento qualora voglia effettuare un trasferimento di dati personali extra UE.

Vediamoli brevemente.

Innanzitutto, il Titolare deve eseguire la mappatura dei trattamenti in vista del trasferimento.

Occorre, quindi, tracciare tutti i processi che comportano il trattamento dei dati personali, soffermandosi, in particolare, sui possibili trasferimenti al di fuori del SEE. È necessario essere consapevoli di quale sia la destinazione dei dati e verificare che essi siano adeguati, pertinenti e limitati a quanto strettamente necessario rispetto alle finalità di trattamento. Uno strumento che sicuramente può essere d’aiuto in questa fase iniziale è il registro delle attività di trattamento, oltre che le informative fornite agli interessati.

Successivamente è necessario individuare degli strumenti di trasferimento validi.

Gli scenari possono essere differenti:

  • se è stata emessa una decisione di adeguatezza, il titolare non dovrà assumere alcuna iniziativa, se non quella verificare che la decisone sia ancora valida;
  • in assenza di una decisione di adeguatezza il titolare dovrà verificare l’opportunità di affidarsi a garanzie adeguate previste all’art. 46 del GDPR (SCC, codici di condotta, BCR, ecc.);
  • solo eccezionalmente si potrà basare il trasferimento su una delle deroghe previste dall’art. 49 del GDPR, verificando che il trasferimento soddisfi le condizioni previste da ciascuna di esse.

 

Inoltre, qualora non vi sia una decisione di adeguatezza, occorre svolgere delle valutazioni aggiuntive, ossia verificare se vi siano prassi o leggi vigenti nel paese terzo che possano inficiare l’efficacia degli strumenti di trasferimento.

Nel caso in cui emergano delle problematiche rilevanti (ad esempio: la legislazione pregiudica le garanzie o vi sono prassi incompatibili con quanto previsto dallo strumento di riferimento), il trasferimento dovrà essere sospeso oppure dovranno essere messe in atto delle misure supplementari adeguate.

Tali misure possono avere carattere contrattuale (ad esempio prevedere contrattualmente l’obbligo di attuare misure tecniche specifiche affinché i trasferimenti abbiano luogo oppure obblighi di trasparenza), tecnico (cifratura e pseudonimizzazione, ma solo a determinate condizioni) o organizzativo (adozione di adeguate politiche interne con una chiara attribuzione delle responsabilità per il trasferimento dei dati).

Infine, alla luce del principio di accountability, occorre controllare regolarmente il livello di protezione dei dati trasferiti e verificare se vi siano stati sviluppi che, nel paese terzo verso cui avviene il trasferimento, possano influire la valutazione iniziale.

 

Focus: il trasferimento di dati personali verso gli Stati Uniti

Il tema del trasferimento dei dati personali extra UE negli anni ha particolarmente interessato il trasferimento verso gli Stati Uniti.

Nel 2000 la Commissione europea aveva adottato una decisione che deliberava l’adeguatezza della normativa statunitense nell’offrire garanzie per la protezione dei dati; tuttavia, nel 2015 la Corte di giustizia dell’Unione europea ha dichiarato l’illegittimità di tale decisione.

Si è reso quindi necessario adottare un secondo accordo, il c.d. Privacy Shield, che la Commissione europea ha ritenuto adeguato con una propria decisione, che poi nel 2020, la Corte di giustizia dell’Unione Europea ha dichiarato invalida con la famosa sentenza Schrems II.

Negli ultimi due anni il tema è tornato a far discutere.

Nel marzo del 2022, infatti, il Presidente degli USA e la Presidente della Commissione Europea hanno annunciato l’intesa per un nuovo c.d. “Trans-Atlantic Data Privacy Framework” e, ad ottobre 2022, il Presidente Biden ha firmato l’Executive Order (“EO n. 14086”) con cui gli USA hanno recepito i principi dettati dall’UE.

La Commissione europea ha successivamente avviato i lavori per adottare una decisione di adeguatezza rispetto al nuovo accordo.

Il 10 luglio 2023 è stato pubblicato il Data Privacy Framework, cioè il nuovo accordo sul trasferimento dei dati personali verso gli Stati Uniti, basato sull’ordine esecutivo dell’amministrazione Biden.

Si tratta di un nuovo accordo di adeguatezza che consente il trasferimento dei dati verso gli Stati Uniti: la Commissione europea ha stabilito che sussistono garanzie sufficienti per la tutela dei dati personali dei cittadini europei trattati oltreoceano.

Tuttavia, il trasferimento sarà consentito verso le sole aziende americane che si qualificano per l’autocertificazione sotto il Data Privacy Framework: le aziende USA aderiscono volontariamente, impegnandosi a rispettare una serie di obblighi in materia di protezione dei dati personali, assoggettandosi ai poteri di indagine e coercitivi delle autorità statunitensi.

Informazioni

Inserisci qui la bibliografia

[1] https://edpb.europa.eu/system/files/2023-09/edpb_guidelines_05-2021_interplay_between_the_application_it.pdf

[2] È possibile consultare i testi delle decisioni di adeguatezza emesse dalla Commissione europea al seguenti link: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_it#adequacy-decisions-latest.

[3] Per un approfondimento si veda: https://www.dirittoconsenso.it/2022/05/03/i-diritti-presenti-nel-gdpr/.

[4] L’EDPB il 22 febbraio 2022 ha pubblicato le Linee guida 4/2021 sui codici di condotta come strumento per i trasferimenti (https://edpb.europa.eu/system/files/2022-10/edpb_guidelines_codes_conduct_transfers_after_public_consultation_it.pdf)

[5] L’EDPB il 14 febbraio 2023 ha adottato le Linee guida 7/2022 sulla certificazione come strumento per i trasferimenti (https://edpb.europa.eu/system/files/2023-05/edpb_guidelines_07-2022_on_certification_as_a_tool_for_transfers_v2_it_0.pdf)