La normativa privacy prevede alcune regole per poter trasferire dati personali (dati quindi di persone fisiche) al di fuori dell’Unione Europea.
Lo scopo di tali regole è assicurarsi che i dati personali siano protetti quando si trovano all’estero (extra UE), con criteri e garanzie pari a quelli previsti dalla normativa Europea.
A seguire un’analisi delle novità in materia.
COME FACCIO A CAPIRE SE TRASFERISCO DATI ALL’ESTERO (extra UE)?
Il trasferimento di dati personali all’estero, può ad esempio avvenire nelle seguenti modalità; se anche ad una sola delle seguenti domande rispondi SI, allora significa che trasferisci dati all’estero.
- Utilizzi un server cloud situato in un Paese fuori dall’Unione europea?
- Mandi i dati a società del gruppo/casa madre che si trovano in un Paese fuori dall’Unione europea?
- Utilizzi un software che gira su server (es. programma per mandare newsletter) collocato in un Paese fuori dall’Unione europea?
A CHE CONDIZIONI E’ POSSIBILE TRASFERIRE DATI ALL’ESTERO EXTRA UE SECONDO LA NORMATIVA PRIVACY ATTUALMENTE IN VIGORE?
I trasferimenti verso Paesi non appartenenti allo Spazio Economico Europeo (ovvero UE + Norvegia, Liechtenstein, Islanda) sono consentiti a condizione che la Commissione europea reputi tali Paesi “adeguati” dal punto di vista della tutela riconosciuta ai dati personali.
Tale giudizio della Commissione prende appunto il nome di “decisione di adeguatezza”.
I Paesi che, ad oggi, sono stati ritenuti “adeguati” e verso i quali si possono quindi trasferire dati personali sono: Andorra, Argentina, Australia PNR, Canada, Faer Oer, Giappone, Guernsey, Isola di Man, Israele, Jersey, Nuova Zelanda, Svizzera, Uruguay, USA (fino a ieri…..se il ricevente aderisce all’accordo volontario Privacy Shield).
Al di fuori di questi Paesi, il trasferimento è consentito se vengono adottati specifici meccanismi che riepiloghiamo in seguito considerando anche i recentissimi cambiamenti avvenuti nella normativa.
In assenza di ogni altro presupposto, è possibile trasferire i dati personali in base ad alcune deroghe che si verificano in specifiche situazioni.
COSA E’ CAMBIATO PER IL TRASFERIMENTO DEI DATI ALL’ESTERO?
NOVITA’ 1: Come specificato sopra, fino a poco fa, gli USA erano considerati un Paese considerato adeguato, laddove l’organizzazione che riceveva i dati in USA aderiva ad un accordo volontario denominato PRIVACY SHIELD (o SCUDO PRIVACY). Tuttavia, la Commissione europea ha ritenuto che tale accordo che legittimava il trasferimento dei dati in USA non sia più valido e pertanto, d’ora in avanti, non si potrà più trasferire dati personali verso gli Stati Uniti sulla base del PRIVACY SHIELD.
NOVITA’ 2: Dal 1° gennaio 2021 il Regno Unito ha lasciato definitivamente l’Unione europea: si è completato il processo cosiddetto di “Brexit”.
COSA OCCORRE FARE QUINDI SE SI TRASFERISCONO DATI PERSONALI VERSO IL REGNO UNITO ? QUALI SONO LE CONSEGUENZE IN TERMINI DI PROTEZIONE DI DATI ?
Per quanto riguarda i flussi di dati verso il Regno Unito, che è diventato dunque a tutti gli effetti un Paese terzo, bisogna fare riferimento all’Accordo commerciale e di cooperazione stipulato il 30 dicembre 2020 fra Regno Unito e Unione europea. Tale accordo prevede, tra l’altro, che il Regno Unito continui ad applicare il Regolamento europeo sulla protezione dei dati per un ulteriore periodo di massimo 6 mesi (quindi fino al 30 giugno 2021). Di conseguenza, in questo periodo qualsiasi comunicazione di dati personali verso il Regno Unito potrà avvenire secondo le medesime regole valevoli al 31 dicembre 2020 e non sarà considerata un trasferimento di dati verso un paese terzo.
Nel frattempo la Commissione europea e il Governo UK si sono impegnati, sempre in base all’Accordo, a lavorare su reciproche decisioni di adeguatezza che consentano di proseguire i flussi di dati senza interruzioni, anche successivamente al periodo transitorio sopra ricordato. Se così non fosse, si applicheranno tutte le disposizioni del Capo V del GDPR, che richiedono l’esistenza di garanzie adeguate (clausole contrattuali tipo, norme vincolanti d’impresa, accordi amministrativi, certificazioni, codici di condotta) per trasferire dati dall’Ue (più esattamente dal SEE, lo spazio economico europeo) verso un Paese terzo non adeguato, oppure ammettono alcune deroghe in assenza di garanzie adeguate (consenso esplicito dell’interessato, interesse pubblico di uno Stato membro del SEE, ecc.), ma solo in via residuale e secondo un approccio molto restrittivo.
COSA OCCORRE FARE QUINDI PER IL TRASFERIMENTO DI DATI ALL’ESTERO?
- Verificare se si trasferiscono dati al di fuori dell’Unione Europea.
- Qualora si debba effettuare un trasferimento di dati in un Paese extra-Ue, verificare se rientra nei paesi considerati adeguati dalla Commissione Europea.
- Se il paese destinatario non rientra nell’elenco dei Paesi per cui la Commissione europea sia espressa con una clausola di adeguatezza, verificare se è possibile rientrare nelle deroghe previste all’art. 49 del Regolamento UE 2016/679, ovvero:
- a) l’interessato abbia esplicitamente acconsentito al trasferimento proposto, dopo essere stato informato dei possibili rischi;
- b) il trasferimento sia necessario all’esecuzione di un contratto concluso tra l’interessato e il titolare del trattamento ovvero all’esecuzione di misure precontrattuali adottate su istanza dell’interessato;
- c) il trasferimento sia necessario per la conclusione o l’esecuzione di un contratto stipulato tra il titolare del trattamento e un’altra persona fisica o giuridica a favore dell’interessato;
- d) il trasferimento sia necessario per importanti motivi di interesse pubblico;
- e) il trasferimento sia necessario per accertare, esercitare o difendere un diritto in sede giudiziaria;
- f) il trasferimento sia necessario per tutelare gli interessi vitali dell’interessato o di altre persone, qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
Si precisa che, come suggerisce peraltro lo stesso termine, giustificare il trasferimento di dati personali all’estero in forza delle deroghe sopra viste deve essere un’operazione eccezionale a cui ricorrere in maniera restrittiva.
Se NON è possibile avvalersi delle deroghe previste dall’art. 49 Gdpr, occorre adottare un meccanismo alternativo ad esempio sottoscrivere delle CLAUSOLE CONTRATTUALI TIPO con il soggetto verso il quale si trasferiscono i dati personali.
COSA SONO LE CLAUSOLE CONTRATTUALI TIPO?
Sono delle clausole che devono essere incluse nel contratto sottoscritto tra le parti, ovvero tra chi trasferisce e chi riceve i dati; la Commissione europea fornisce in un testo GIA’ PRONTO ed APPROVATO e non modificabile, da scegliere a seconda del contesto di riferimento.
In particolare, sono previsti 3 schemi a seconda dei casi.
CASO 1: clausole da utilizzare per i trasferimenti di dati da titolare a responsabile
decisione della Commissione UE n. 2010/87/CE del 5 febbraio 2010
Attenzione!!
Qualsiasi rapporto con un responsabile, a prescindere dal paese in cui si risiede, deve essere sempre regolamentato con un accordo.
Se ci avvale di un responsabile in UE che a sua volta manda dati extra UE in paesi non adeguati, occorre conferire al responsabile un apposito mandato per la sottoscrizione delle clausole contrattuali tipo.
CASO 2: clausole da utilizzare per i trasferimenti da titolare a titolare (è possibile scegliere tra uno dei due schemi)
decisione della Commissione UE n. 2001/497/CE (I insieme), del 15 giugno 2011
decisione della Commissione UE n. 2004/915/CE (II insieme), del 27 dicembre 2004
COSA SONO LE BCR?
Un secondo meccanismo di trasferimento previsto sono le BCR cioè uno strumento volto a consentire il trasferimento di dati personali nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune. Tuttavia la predisposizione di BCR è legata ad una complessa procedura di approvazione da parte dell’Autorità nazionale competente e in ogni caso è applicabile ai gruppi di imprese.