I trasferimenti di dati personali verso paesi al di fuori dello Spazio economico europeo (SEE) sono spesso essenziali ai fini del commercio internazionale o della cooperazione. La tua PMI, nel corso delle sue attività, potrebbe dover trasferire dati personali in un paese al di fuori dell’area SEE, ad esempio quando c’è necessità di condividere dati personali con i propri partner commerciali o con i propri fornitori che hanno sede al di fuori dell’area SEE.
Il GDPR contiene disposizioni specifiche per tali trasferimenti. Con queste disposizioni, il GDPR mira a garantire un livello di protezione ai dati personali trasferiti, equivalente a quello di cui godono all'interno dell’area SEE.
Quando avviene un trasferimento di dati personali al di fuori dell’area SEE?
Il GDPR non fornisce una definizione di tali trasferimenti. Tuttavia, l'EDPB (European Data Protection Board) ha individuato i seguenti tre criteri cumulativi per identificare un trasferimento al di fuori dell’area SEE:
- un titolare del trattamento o un responsabile del trattamento deve applicare il GDPR per il trattamento in essere;
- questo titolare del trattamento o questo responsabile del trattamento divulgano, mediante trasmissione, o mettono a disposizione i dati personali di un'altra organizzazione (titolare o responsabile del trattamento);
- quest'altra organizzazione si trova in un paese al di fuori dell’area SEE o è un'organizzazione internazionale.
Come trasferire i dati personali al di fuori dell’area SEE?
In poche parole, il GDPR impone restrizioni al trasferimento di dati personali al di fuori dell’area SEE, verso paesi non SEE o organizzazioni internazionali, per garantire che il livello di protezione delle persone fisiche concesso dal GDPR rimanga lo stesso.
I dati personali possono essere trasferiti al di fuori dell’area SEE solo nel rispetto delle condizioni indicate per tali trasferimenti al capo V del GDPR.
Le condizioni per i trasferimenti devono essere rispettate in aggiunta al rispetto generale delle altre norme del GDPR. Ad esempio, queste condizioni costituiscono un requisito aggiuntivo rispetto ai principi di base del trattamento, che devono essere rispettati anche nel contesto dei trasferimenti internazionali. Quando trasferisci i dati personali, devi comunque assicurarti di disporre di una base giuridica adeguata per il trattamento; che siano attuate le necessarie misure di sicurezza; che tratti solamente i dati personali necessari per questa particolare attività di trattamento (principio di minimizzazione dei dati), ecc. Se il destinatario dei dati personali agisce in qualità di responsabile del trattamento, è comunque legalmente tenuto a stipulare un contratto. Proprio come faresti per un responsabile all'interno dell’area SEE.
Secondo il GDPR, ci sono, in linea di principio, due modi principali per trasferire dati personali a un paese non SEE o a un'organizzazione internazionale. I trasferimenti possono avvenire sulla base di una decisione di adeguatezza o, in mancanza di tale decisione, sulla base di garanzie adeguate per le persone fisiche, compresi i diritti azionabili e i mezzi di ricorso effettivi. In assenza di una decisione di adeguatezza o di garanzie adeguate, il GDPR consente alcune deroghe in determinate situazioni.
Troverete maggiori informazioni sulle diverse opzioni qui sotto.
Trasferimenti di dati sulla base di una decisione di adeguatezza
La Commissione europea ha la possibilità di adottare decisioni di adeguatezza per confermare formalmente, con effetto vincolante per i paesi SEE, che il livello di protezione dei dati in un paese non SEE o in un'organizzazione internazionale sia sostanzialmente equivalente al livello di protezione nello Spazio economico europeo.
Nel valutare l'adeguatezza del livello di protezione, la Commissione europea considera essenziali i principi quali lo stato di diritto, il rispetto dei diritti umani e delle libertà fondamentali, nonché l'efficacia e l'applicabilità dei diritti degli interessati, l'esistenza e l'effettivo funzionamento di un'Autorità indipendente per la protezione dei dati nel paese non SEE e gli impegni internazionali assunti dal paese o dall'organizzazione internazionale.
Se la Commissione europea decide che il paese offre un livello di protezione adeguato e viene adottata una decisione di adeguatezza, i dati personali possono essere trasferiti a un'altra società o organizzazione in tale paese non appartenente all’area SEE senza che l'esportatore di dati, ossia l'entità che trasferisce i dati, sia tenuto a fornire ulteriori garanzie o sia soggetto a condizioni aggiuntive relative ai trasferimenti internazionali. In altre parole, i trasferimenti verso un paese "adeguato" non SEE saranno paragonabili a un trasferimento di dati all'interno del SEE. Tuttavia, la tua organizzazione dovrà comunque rispettare gli altri principi fondamentali del GDPR, come spiegato sopra.
Le decisioni di adeguatezza possono riguardare un paese nel suo insieme o essere limitate a una parte di esso (vale a dire a una regione). Le decisioni di adeguatezza possono riguardare tutti i trasferimenti di dati verso un paese o essere limitate ad alcuni tipi di trasferimenti (ad esempio di un settore).
Finora la Commissione europea ha adottato decisioni di adeguatezza per:
- Andorra,
- Argentina,
- Canada (organizzazioni commerciali),
- Isole Fær Øer,
- Guernsey,
- Israele,
- Isola di Man,
- Giappone,
- Jersey,
- Nuova Zelanda,
- Repubblica di Corea,
- Svizzera,
- Regno Unito,
- Stati Uniti (organizzazioni commerciali che rientrano nell’accordo-quadro UE-USA sulla privacy dei dati),
- e Uruguay.
La Commissione europea pubblica l' elenco delle sue decisioni di adeguatezza sul suo sito web.
Gli esportatori di dati sono responsabili di controllare se le decisioni di adeguatezza pertinenti ai loro trasferimenti siano ancora in vigore e non siano in corso di revoca o annullate.
Si prega di notare che le decisioni di adeguatezza non impediscono alle persone di presentare un reclamo. Né impediscono alle Autorità di protezione dei dati di esercitare i loro poteri ai sensi del GDPR.
Trasferimenti di dati sulla base di garanzie adeguate
In assenza di una decisione di adeguatezza, le organizzazioni possono trasferire dati personali qualora siano fornite garanzie adeguate nei confronti dell'organizzazione che riceve i dati personali. Inoltre, le persone devono essere in grado di esercitare i loro diritti e di avere a loro disposizione mezzi di ricorso effettivi.
L’art. 46 del GDPR elenca una serie di strumenti di trasferimento contenenti "garanzie appropriate" che, in assenza di decisioni di adeguatezza, è possibile utilizzare per trasferire dati personali in paesi non SEE. I principali strumenti di trasferimento nell’art. 46 del GDPR, pertinenti per le organizzazioni private, sono:
- Clausole standard di protezione dei dati (SCC);
- Norme vincolanti d'impresa (BCR);
- Codici di condotta;
- Meccanismi di certificazione;
- Clausole contrattuali ad hoc.
Clausole contrattuali tipo (SCC)
Le clausole contrattuali standard (SCC) sono un insieme di contratti standardizzati che consentono agli esportatori di dati di fornire garanzie adeguate. È uno strumento comunemente utilizzato da molte organizzazioni. Ai sensi dell'articolo 46, paragrafo 2, lettera c) del GDPR, la Commissione europea ha il potere di adottare le SCC quale garanzia adeguata per i trasferimenti di dati personali verso paesi non appartenenti al SEE.
Il 4 giugno 2021 la Commissione europea ha adottato una decisione di esecuzione sulle SCC per il trasferimento di dati personali verso paesi non SEE ai sensi del GDPR. La Commissione europea fornisce anche una serie di clausole contrattuali standard sul proprio sito web. Scopri di più sulle clausole contrattuali standard.
Le SCC affrontano vari scenari di trasferimento e la complessità delle moderne catene di elaborazione. I titolari del trattamento e i responsabili del trattamento possono utilizzare diverse opzioni, a seconda delle circostanze specifiche del trasferimento, tra cui:
- da titolare a titolare (C2C);
- da titolare a responsabile (C2P);
- da responsabile a responsabile (P2P);
- da responsabile del trattamento a titolare (P2C), con il responsabile del trattamento nell'UE e il titolare del trattamento in un paese terzo.
Altri aspetti importanti delle SCC includono:
- la possibilità di aderire alle clausole per più di due parti;
- la possibilità, con alcune eccezioni, di utilizzare le SCC quando si trasferiscono dati personali a un sub-responsabile del trattamento in un paese non SEE;
- la possibilità, con alcune eccezioni, per le persone fisiche, di invocare le clausole in qualità di beneficiari terzi;
- norme sulla responsabilità tra le parti in caso di violazione dei diritti delle persone;
- diritto delle persone al risarcimento dei danni subiti in caso di violazione dei loro diritti in qualità di terzo beneficiario;
- l'obbligo di effettuare una "valutazione d'impatto sul trasferimento" che attesti le circostanze specifiche del trasferimento, sulle leggi del paese di destinazione e sulle garanzie supplementari messe in atto per proteggere i dati personali;
- gli obblighi in caso di accesso da parte delle autorità pubbliche ai dati trasferiti, ad esempio l'obbligo di fornire informazioni agli esportatori di dati e di contestare richieste illecite.
Norme vincolanti d'impresa (BCR)
Le norme vincolanti d'impresa (BCR) che contribuiscono a garantire un adeguato livello di protezione dei dati scambiati all'interno di un gruppo di società situate all'interno e all'esterno dell’area SEE, sono più adatte per un gruppo multinazionale di società che effettua un gran numero di trasferimenti di dati.
Le BCR sono regole interne adottate da un gruppo di società, che definiscono la loro politica globale per il trasferimento di dati personali. Tali norme devono essere vincolanti e rispettate da tutte le entità del gruppo, indipendentemente dal paese ospitante. Inoltre, devono espressamente conferire diritti azionabili alle persone fisiche in relazione al trattamento dei loro dati personali.
Le condizioni che devono essere rispettate per ottenere l'approvazione di BCR dall'Autorità competente per la protezione dei dati sono elencate nell'articolo 47 del GDPR e ulteriormente spiegate nelle raccomandazioni adottate dal gruppo di lavoro 29 e approvate dall'EDPB. Un assetto diverso è fornito per le BCR dei titolari e per le BCR dei responsabili.
Leggi di più
Raccomandazioni sul modulo di domanda standard per l'approvazione da parte dell’EDPB delle norme aziendali vincolanti per il titolare riguardo al trasferimento di dati personali
EDPB
Gruppo di lavoro Articolo 29: raccomandazioni sull'approvazione del Regolamento aziendale vincolante per il responsabile del trattamento
Redazione della Commissione europea
Codici di condotta
Il GDPR introduce questo nuovo strumento per i trasferimenti di dati. Contrariamente alle BCR, che possono essere preparate direttamente da singoli gruppi di imprese, i codici di condotta sono settoriali e sviluppati da associazioni che rappresentano categorie di organizzazioni. È dunque necessario istituire un sistema di organismi accreditati che controllino il rispetto del codice di condotta. L'EDPB ha preso l'iniziativa di chiarire le condizioni alle quali i codici di condotta possono essere utilizzati e approvati dalle autorità competenti. Oltre a ciò, l'EDPB ha anche il compito di garantire la coerenza delle condizioni alle quali gli organismi di controllo possono essere accreditati.
Certificazione
Il GDPR introduce questo nuovo strumento per il trasferimento di dati alle organizzazioni che sono state certificate da organismi di certificazione o Autorità di protezione dei dati SEE.
L'EDPB ha adottato linee guida per chiarire le condizioni alle quali è possibile attivare un meccanismo di certificazione. Questo strumento è ancora in fase di sviluppo.
L'EDPB ha anche il compito di garantire la coerenza delle condizioni per l'accreditamento degli organismi di certificazione.
Clausole contrattuali ad hoc
Se i titolari del trattamento o i responsabili del trattamento decidono di non utilizzare le clausole contrattuali standard della Commissione europea, possono redigere le proprie clausole contrattuali ("clausole ad hoc") purché offrano sufficienti garanzie di protezione dei dati. Prima di qualsiasi trasferimento dei dati, tali clausole contrattuali ad hoc devono essere autorizzate dall'Autorità nazionale competente per la protezione dei dati in linea con l'articolo 46, paragrafo 3, lettera a), del GDPR, previo parere dell'EDPB.
Leggi di più
Misure supplementari dopo la sentenza Schrems II
Nella sentenza C-311/18 (Schrems II) del 2020 la Corte di giustizia dell'Unione europea (CGUE) ha sottolineato l'eventuale necessità che le organizzazioni forniscano misure supplementari in aggiunta a garanzie adeguate, quando trasferiscono i dati personali al di fuori dell’area SEE.
Le Clausole Contrattuali Tipo (SCC) e gli altri strumenti di trasferimento di cui all'articolo 46 del GDPR non operano fuori dal contesto. La CGUE ha dichiarato che i titolari del trattamento o i responsabili del trattamento, che agiscono in qualità di esportatori, sono responsabili di verificare caso per caso se la legge o la prassi del paese non SEE incida, ad esempio a causa della legislazione che impone l'accesso ai dati, sull'efficacia delle garanzie appropriate, relative agli strumenti di trasferimento, contenute nell'articolo 46 del GDPR.
Per aiutare gli esportatori nel complesso compito di valutare i paesi che ricevono i dati e di individuare, ove necessario, misure supplementari appropriate, l'EDPB ha adottato delle raccomandazioni.
Trasferimenti di dati sulla base di deroghe
Oltre alle decisioni di adeguatezza e agli strumenti di trasferimento dell'articolo 46 del GDPR, il GDPR contiene una terza via che consente il trasferimento di dati personali in determinate situazioni. Fatte salve condizioni specifiche, potresti comunque essere in grado di trasferire i dati personali sulla base di una deroga di cui all'articolo 49 del GDPR.
L'art. 49 del GDPR ha un carattere eccezionale. Le deroghe devono essere interpretate in modo tale da non contraddire la natura stessa della loro straordinarietà come eccezioni alla regola secondo cui i dati personali non possono essere trasferiti in un paese non appartenente all’area SEE, a meno che tale paese non preveda un livello adeguato di protezione dei dati o, in alternativa, misure di salvaguardia adeguate. Le deroghe non possono diventare, nella pratica, "la regola", ma devono essere limitate a situazioni specifiche.
In base all'articolo 49 del GDPR, un trasferimento, o un insieme di trasferimenti, può essere effettuato quando il trasferimento è:
- fatto con il consenso esplicito dell'individuo;
- necessario per l'esecuzione di un contratto tra la persona fisica e l'organizzazione o per le misure precontrattuali adottate su richiesta dell'interessato;
- necessario per l'esecuzione di un contratto stipulato nell'interesse della persona fisica tra il titolare del trattamento e un'altra persona;
- necessario per importanti motivi di interesse pubblico;
- necessari per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria;
- necessario a tutelare gli interessi vitali dell'individuo in questione o di altre persone, qualora l'individuo sia fisicamente o legalmente incapace di dare il proprio consenso; oppure
- costituito da un registro che ai sensi del diritto nazionale di un paese SEE o del diritto dell'Unione è destinato a fornire informazioni al pubblico (e che è aperto al pubblico in generale o a coloro che possono dimostrare un interesse legittimo a ispezionare tale registro).
Per valutare la necessità del trasferimento deve essere applicato un "test di necessità". Questo test richiede di valutare se un trasferimento di dati personali possa essere considerato necessario ai fini specifici della deroga in questione.
Quando nessuna delle deroghe di cui sopra è applicabile a una situazione specifica, è possibile trasferire i dati per interessi legittimi impellenti del titolare del trattamento.
Tuttavia, tali trasferimenti sono consentiti solo se il trasferimento:
- non è ripetitivo (i trasferimenti analoghi non sono effettuati su base regolare);
- coinvolge solo dati relativi a un numero limitato di persone;
- è necessario ai fini di interessi legittimi impellenti dell'organizzazione (a condizione che su tali interessi non prevalgano gli interessi dell'individuo);
- è soggetto a garanzie adeguate messe in atto dall'organizzazione (alla luce di una valutazione di tutte le circostanze relative al trasferimento) per proteggere i dati personali; e
- non è svolto da un'autorità pubblica nell'esercizio dei suoi pubblici poteri.
In questi casi, le organizzazioni sono tenute a informare l’Autorità per la protezione dei dati competente, del trasferimento e a fornire ulteriori informazioni alle persone fisiche.
In generale, le deroghe dovrebbero essere utilizzate solo come ultima risorsa per la definizione di un trasferimento di dati: le organizzazioni dovrebbero, innanzitutto, valutare se non sia possibile ricorrere a una decisione di adeguatezza o a un' adeguata salvaguardia.
Quando si fa affidamento sulle deroghe dell'articolo 49 del GDPR, è necessario tenere presente che le organizzazioni che trasferiscono i dati devono rispettare anche altre disposizioni del GDPR (come avere una base giuridica per la comunicazione dei dati, attuare misure di sicurezza e di minimizzazione dei dati, firmare un contratto se il destinatario è un responsabile del trattamento dei dati, ecc.).