x

x

Redazione Comitato scientifico Autori Fotografi Partner
Cerca
ABBONAMENTI LOGIN

Guida VIII al Regolamento Privacy 679/2016: Trasferimento dei dati personali verso Paesi terzi e Organizzazioni Internazionali

Guida VIII al Regolamento Privacy 679/2016: Trasferimento dei dati personali verso Paesi terzi e Organizzazioni Internazionali
Guida VIII al Regolamento Privacy 679/2016: Trasferimento dei dati personali verso Paesi terzi e Organizzazioni Internazionali

Altri articoli dell'autore

Diritto /

Startup fallita: going concert  o cancellazione dalla sezione speciale del registro?

Diritto /

Attenzione alle clausole del contratto di procacciamento di affari che possono “tradire” l’agenzia

Diritto /

Il debito tributario può essere attribuito all’amministratore di associazione non riconosciuta solo se ha svolto l’attività nel concreto

1. Introduzione

2. Novità rispetto alla Direttiva Madre 95/46 CE

3. La decisione di adeguatezza

4. Casi in cui non è necessaria una decisione di adeguatezza

 

1. Introduzione

Tra i Considerando che aprono il Regolamento 679/2016 (in seguito, “Regolamento”), il n. 101 sottolinea l’importanza del trasferimento dei dati europei verso i paesi terzi, in linea con i nuovi trend e le esigenze di mercato dell’economia 4.0. Esso cita: “I flussi di dati personali verso e da paesi al di fuori dell’Unione e organizzazioni internazionali sono necessari per l’espansione del commercio internazionale della cooperazione internazionale”.

Alla disciplina del trasferimento transfrontaliero dei dati è difatti dedicato un autonomo capo del Regolamento 649/2016, il V, titolato “Trasferimento di dati personali verso Paesi terzi o Organizzazioni internazionali”.

 

2. Novità rispetto alla Direttiva Madre 95/46 CE

 Con il nuovo Regolamento il legislatore europeo ha ampliato la sfera soggettiva di protezione dei dati trasferiti all’estero, stabilendo che non si considerano destinatari solo i Paesi terzi (e tutte le imprese ivi sono stabilite) ma anche le Organizzazioni Internazionali (definite all’articolo 4, comma 26 del Regolamento, come “un’organizzazione e gli organismi di diritto internazionale pubblico a essa subordinati o qualsiasi altro istituto da o sulla base di un accordo tra due o più stati”).

Viene inoltre attuato un ampliamento della sfera di protezione dal punto di vista temporale: ex articolo 44, affinché si integri un trasferimento all’estero di dati, non è necessario che essi vengano trattati immediatamente al momento dei trasferimento, ma basta che siano “destinati a essere oggetto di un trattamento dopo il trasferimento verso un paese terzo o un’organizzazione internazionale, compresi i trasferimenti successivi di dati personali da un paese terzo o un’organizzazione internazionale verso un altro paese terzo o un’altra organizzazione internazionale”. 

3. La decisione di adeguatezza 

Tuttora, come nella Direttiva 46 del 1995, a rendere legittimo un transito libero di dati fuori dai confini europei verso un Paese terzo sarà una decisione di adeguatezza, adottata dalla Commissione, che si esprima positivamente sul livello di protezione del Paese terzo o dell’Organizzazione internazionale destinataria dei dati. È questa la regola generale espressa nell’articolo 44 del Regolamento.

In tal caso la decisione di adeguatezza avrà valore di un nulla osta per il trasferimento. Il Working Party Art. 29 (a seguire, “WP 29”) ha chiarito che il termine “adeguatezza” non è sinonimo di “equivalenza”: ai Paesi terzi spetta la discrezionalità nella scelta dei mezzi più opportuni, anche se differenti da quelli europei, a patto che tali mezzi risultino adeguati a realizzare tale finalità.

Assorbendo le indicazioni fornite nella decisione Schrems dalla Corte di Giustizia Europea, il legislatore europeo ha puntualizzato al secondo comma dell’articolo 45 quali sono gli elementi di cui la Commissione deve tenere conto nel valutare l’adeguatezza del Paese terzo o dell’organizzazione internazionale: tra tutti, la necessaria presenza (e l’effettivo funzionamento) di una Autorità indipendente a protezione dei dati nel Paese terzo o che abbia poteri effettivi sull’Organizzazione, oltre che gli impegni internazionali giuridicamente vincolanti assunti dal Paese terzo.

Altra prescrizione aggiunta dal Regolamento, e diretto riflesso della sentenza Schrems, è quella per cui ogni quattro anni la Commissione dovrà attuare un riesame sull’effettiva adeguatezza degli accordi. Infatti, gli atti di esecuzione che esprimono la decisione di adeguatezza possono venire revocati, modificati, sospesi senza effetto retroattivo nel caso in cui la valutazione del riesame quadriennale abbia esito negativo.

Lo Stato terzo o l’Organizzazione Internazionale verranno dunque monitorati costantemente nel corso degli anni e, per poter continuare a ricevere liberamente i flussi di dati coperti dal Regolamento, dovranno mantenere i livelli di data protection all’altezza degli standard europei, dimostrandosi affidabili.

Il Garante Privacy fornisce al seguente link un elenco, costantemente aggiornato, dei Paesi nei confronti dei quali la Commissione si è positivamente espressa con una decisione di adeguatezza: http://www.garanteprivacy.it/home/provvedimenti-normativa/normativa/normativa-comunitaria-e-intenazionale/trasferimento-dei-dati-verso-paesi-terzi#1.

4. Casi in cui non è necessaria una decisione di adeguatezza

Nel caso in cui la Commissione non si esprima positivamente riguardo all’adeguatezza di un soggetto terzo rispetto a destinatari europei, i dati potranno comunque essere trasferiti?

La risposta è sì: oltre alla regola generale della decisione di adeguatezza vi sono altre possibilità per trasferire lecitamente i dati fuori dai confini UE.

L’articolo 46, titolato “Trasferimento soggetto a garanzie adeguate”, elenca al comma 2 i casi in cui non è necessaria una decisione di adeguatezza, ma serve comunque un’autorizzazione, cioè quando sono presenti: 

  • Strumenti giuridicamente vincolanti aventi efficacia tra le autorità o organismi pubblici
  • Norme Vincolanti d’Impresa o Binding Corporate Rules, come descritte nell’articolo 47 del Regolamento
  • Clausole tipo dette anche Clausole Contrattuali Standard, adottate dalla Commissione secondo la procedura prevista all’articolo 93 del Regolamento
  • Codici di condotta e meccanismi di certificazione, approvati l’uno ex articolo 40 e l’altro ex articolo 42 del Regolamento 

All’articolo 49, invece, sono elencati i casi in cui non è necessaria una specifica autorizzazione, che coincidono con le seguenti specifiche situazioni: 

  • L’interessato, informato nello specifico dei possibili rischi legati al trattamento in mancanza di una decisione di adeguatezza, presta esplicitamente il proprio consenso per il trasferimento proposto
  • Il trasferimento è necessario per l’esecuzione di un contratto concluso tra interessato e titolare e/o all’esecuzione di misure precontrattuali
  • Il trasferimento è necessario per importanti motivi di interesse pubblico e/o per accertare, esercitare, difendere un diritto in sede giudiziaria
  • Per tutelare gli interessi vitali dell’interessato o di altre persone qualora l’interessato sia incapace di prestare il consenso 

Proseguiremo con la seconda parte della Guida nel prossimo contributo, che tratterà i temi delle Norme Vincolanti d’Impresa (o Binding Corporate Rules) e delle Clausole Contrattuali Standard.

Articoli più letti su questo argomento

Diritto /

Attacco hacker ai sistemi informatici della regione Lazio: arrivano le sanzioni del Garante Privacy

Diritto /

La tecnica del bilanciamento nel difficile equilibrio tra accesso agli atti amministrativi e tutela della privacy

Storia /

Storia dell’idea di Europa: il contributo di Montesquieu e Voltaire

Newsletter Abbonamenti