Il rapido sviluppo delle nuove tecnologie e la loro rapida integrazione nel modello aziendale hanno cambiato il modo in cui le aziende operano, rendendo conveniente ed economico trattare, scambiare o persino archiviare i dati personali in luoghi diversi.
Tuttavia, le implicazioni legali coinvolte quando si registrano o trasferiscono dati personali altrove tendono a essere trascurate. Il Regolamento Generale sulla Protezione dei Dati (GDPR) contiene un capitolo specifico sui trasferimenti di dati. In breve, i trasferimenti verso giurisdizioni non UE con un’insufficiente o scarsa legislazione e misure correttive per la protezione dei dati comporteranno un livello inferiore di protezione dei dati, a meno che non siano in atto adeguate misure di sicurezza.
Cosa succede con il GDPR?
Nel Regolamento Generale sulla Protezione dei Dati (GDPR), i legislatori dell’UE cercano di gestire questo fenomeno adottando norme più chiare, più prescrittive e armonizzate per trasferimenti al di fuori dell’UE. Inoltre, il GDPR mira anche a proteggere i dati dei cittadini dell’UE applicando un ambito territoriale più ampio rispetto all’attuale quadro di protezione dei dati dell’UE. Di fatto, anche gli enti non UE che offrono beni o servizi o che controllano il comportamento di individui residenti nell’UE saranno soggetti al GDPR.
Trasferimenti all’interno dell’UE
Per i trasferimenti intra-UE, non saranno necessarie misure aggiuntive per quanto riguarda l’applicabilità diretta del GDPR. Tuttavia, laddove un controllore1) impegna un fornitore di servizi che agisce da processore2), la relazione deve essere regolata da un contratto ed è soggetta ai criteri minimi stabiliti dal GDPR in tali circostanze. Puoi avere maggiori informazioni sugli enti responsabili secondo il GDPR nell’articolo Il GDPR dell’UE: controllori a confronto con processori – Quali sono le differenze?
Fasi per i trasferimenti di dati in paesi non UE
Nel caso di trasferimenti di dati in paesi non UE, la legge stabilisce delle situazioni specifiche in cui tali trasferimenti possono essere effettuati. Le organizzazioni dovranno valutare se esiste una decisione di adeguatezza della Commissione europea e, in caso contrario, fornire garanzie aggiuntive mediante accordi contrattuali. Per scoprire perché il GDPR non è riservato solo ai paesi dell’UE, leggi l’articolo Cos’è il GDPR dell’UE e perché è applicabile al mondo intero?
1) Esiste una decisione di adeguatezza da parte della Commissione Europea?
La Commissione Europea può emettere decisioni favorevoli in merito al livello di protezione dei dati in un paese non UE o anche in settori specifici, come ad esempio, lo scudo per la privacy UE-USA. Queste decisioni si basano su una valutazione approfondita dell’adeguatezza della protezione dei dati nel paese terzo e sul principio che tale paese fornisca garanzie sufficienti che siano essenzialmente equivalenti a quelle dell’UE. Una decisione di adeguatezza elimina qualsiasi barriera per i trasferimenti di dati verso tali giurisdizioni o settori.
Un elenco aggiornato delle decisioni di adeguatezza nell’ambito dell’attuale quadro è disponibile sul sito web della Commissione Europea.
2) Trasferimenti soggetti ad adeguate garanzie
In assenza di una decisione di adeguatezza, gli enti dell’UE dovranno considerare una delle seguenti opzioni:
Clausole contrattuali tipo. Si tratta di contratti tipo adottati dalla Commissione Europea allo scopo di facilitare i controllori dell’UE nel fornire garanzie sufficienti per il trasferimento di dati personali a un controllore o un processore non UE. Ai sensi del GDPR, le Autorità di Vigilanza possono anche adottare delle clausole tipo. Queste clausole, tuttavia, richiedono l’approvazione della Commissione.
Questo strumento è già disponibile nell’ambito dell’attuale quadro giuridico e rimarrà valido fino a quando non sarà modificato o riesaminato dalla Commissione. I controllori dei dati UE utilizzano solitamente queste clausole tipo sia come contratti ad hoc che come parte di un più ampio Livello di Servizio o di accordi commerciali, sia con altri enti all’interno del proprio gruppo, sia con organizzazioni esterne con sede al di fuori dell’UE.
Norme Aziendali Vincolanti. Esiste un insieme di regole interne definite dalle organizzazioni multinazionali per regolamentare il trasferimento e il successivo trattamento dei dati personali all’interno di enti all’interno del proprio gruppo, incluse quelli situati al di fuori del territorio dell’UE. Il vantaggio significativo di tali norme, rispetto alle Clausole Contrattuali Tipo, è che l’approvazione è ottenuta una volta dall’Autorità di Vigilanza che conduce il processo di autorizzazione. A sua volta, ciò implica l’adeguatezza del quadro per la protezione dei dati adottato dalla multinazionale. Ciò consentirà tutti i futuri trasferimenti all’interno del gruppo indipendentemente dalla giurisdizione e senza ulteriori formalità.
L’articolo 29 (Gruppo di Lavoro), composto dalle Autorità di Vigilanza dell’UE, ha pubblicato delle linee guida specifiche per aiutare le multinazionali a garantire che le norme contengano i principi essenziali per la protezione dei dati, ma anche meccanismi efficaci e vincolanti necessari per garantire un livello adeguato di protezione dei dati.
Garanzie aggiuntive. Meccanismi di certificazione e codici di condotta, che sono entrambi novità introdotte dal GDPR, potranno anche servire in futuro come strumento di adeguatezza per i trasferimenti di dati.
3) Esenzioni per trasferimenti di dati
In assenza di una decisione di adeguatezza o di garanzie adeguate, il GDPR prevede ancora alcune esenzioni per le quali è possibile effettuare un trasferimento. Queste esenzioni includono trasferimenti di dati che sono:
- effettuati con il consenso esplicito dell’interessato
- necessari per l’esecuzione o la conclusione di un contratto che coinvolga l’interessato
- basati su importanti motivi di interesse pubblico
- necessari per stabilire, esercitare o difendere i diritti legali
- necessari per gli interessi vitali dell’interessato o di altre persone
- tratti da un registro destinato a fornire informazioni al pubblico, alle condizioni stabilite dalla legislazione dell’Unione o degli Stati membri.
Fasi successive per la tua organizzazione
In primo luogo, le organizzazioni dovranno identificare quei processi che implicano trasferimenti di dati verso paesi non UE. In assenza di una decisione di adeguatezza, dovranno prendere in considerazione e fornire garanzie adeguate (Clausole Contrattuali Tipo o Norme Aziendali Vincolanti). L’utilità degli schemi di certificazione e dei codici di condotta come possibili strumenti di legittimazione dei trasferimenti non dovrà essere sottovalutata. Sebbene anche le deroghe siano un’opzione possibile, queste sono considerate l’eccezione alla regola e dovranno essere utilizzate in circostanze limitate (ad esempio trasferimenti una tantum o urgenti) quando non è possibile ricorrere ad altre garanzie.
Scarica gratuitamente qui le Clausole contrattuali Tipo per il Trasferimento ai Processori e Clausole Contrattuali Tipo per il Trasferimento ai Controllori.
1) Si utilizza qui e di seguito nel documento il termine non ufficiale “Controllore” dei dati invece del termine ufficiale “Titolare del trattamento” riportato nel testo del GDPR dell’UE, in quanto più intuitivo.
2) Si utilizza qui e di seguito nel documento il termine non ufficiale “Processore” dei dati invece del termine ufficiale “Responsabile del trattamento” riportato nel testo del GDPR dell’UE, in quanto più intuitivo.