Trasferimento dei dati personali extra UE

Indice:

1. Introduzione: dalla direttiva al regolamento passando per Schrems

2. Il trasferimento di dati extra UE: la disciplina del GDPR

3. Conclusione: un regime a scaglioni

 

1. Introduzione: dalla direttiva al regolamento passando per Schrems

Il trasferimento dei dati personali al di fuori del territorio dell’Unione costituisce un tema centrale specialmente se si tiene conto che nella società dell’informazione i dati vengono trasferiti attraverso la rete da un punto all’altro del pianeta intersecando regimi giuridici che prevedono tutele differenti. Non è un caso che agli albori della rete nel 1995 la Direttiva 95/46/EC introduceva per la prima volta un regime di trasferimento dei dati personali rimasto in vigore fino all’entrata in vigore del GDPR nel maggio 2018.

Se da un punto di vista economico, il flusso di dati personali verso e da paesi al di fuori dell’Unione costituisce un passaggio necessario ai fini dell’espansione del commercio internazionale, allo stesso tempo, il trasferimento dei dati personali in paesi al di fuori del territorio dell’Unione pone diverse sfide riguardanti la protezione dei dati personali dal momento che i paesi terzi possono prevedere standard di tutela inferiori rispetto a quelli stabiliti dall’Unione.

Il caso Schrems ha sottolineato la rilevanza di quest’ultimo profilo tanto da spingere la Corte di giustizia ad annullare la Decisione 2000/520 che costituiva lo strumento con cui la Commissione europea si era espressa riguardo all’adeguatezza del trasferimento dei dati personali dall’Unione negli Stati Uniti (c.d. safe harbour).

In un tale contesto, seppur con alcuni adattamenti, il GDPR ha mantenuto la struttura della direttiva 95/46/EC in materia di trasferimento di dati personali seppur con alcune differenze che verranno di seguito illustrate.

 

2. Il trasferimento di dati extra UE: la disciplina del GDPR

In materia di trasferimento dati personali extra UE, il punto di partenza obbligato è la disciplina del GDPR prevista dagli articoli 44-50.

Tale osservazione sembra, in particolare, confermata dal regolamento stesso che prevede un principio generale all’articolo 44 secondo cui “Qualunque trasferimento di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento verso un paese terzo o un’organizzazione internazionale, compresi trasferimenti successivi di dati personali da un paese terzo o un’organizzazione internazionale verso un altro paese terzo o un’altra organizzazione internazionale, ha luogo soltanto se il titolare del trattamento e il responsabile del trattamento rispettano le condizioni di cui al presente capo, fatte salve le altre disposizioni del presente regolamento”. Ne consegue che il trasferimento può avvenire soltanto a norma delle disposizioni previste dal regolamento.

Tuttavia, occorre osservare che il Considerando 102 precisa che tali norme non pregiudicano la conclusione di accordi internazionali conclusi tra l’Unione e i paesi terzi che disciplinano il trasferimento di dati personali.

Di conseguenza, gli Stati membri possono concludere accordi internazionali per il trasferimento di dati personali verso paesi terzi o organizzazioni internazionali, purché tali accordi non incidano sul presente regolamento o su qualsiasi altra disposizione del diritto dell’Unione e includano un adeguato livello di protezione per i diritti fondamentali degli interessati. Ed è proprio quest’ultimo il cardine della disciplina ossia l’assicurare un livello di protezione pari a quello stabilito dal GDPR.

Prima di analizzare la disciplina prevista dal GDPR in materia di trasferimento dei dati personali fuori dal territorio dell’Unione occorre procedere con alcune osservazioni preliminari riguardo l’ambito di applicazione del regime di trasferimento.

Occorre osservare che il GDPR limita il trasferimento di dati personali verso paesi al di fuori dello Spazio Economico Europeo (SEE) o organizzazioni internazionali. La restrizione al trasferimento si applica a tutti i trasferimenti, indipendentemente dalle dimensioni del trasferimento o dalla frequenza con cui vengono effettuati.

Tuttavia, occorre prendere in considerazione quali tipi di dati vengono trasferiti. Infatti, il regime del trasferimento si applica soltanto ai dati personali secondo la definizione fornita dall’articolo 4 paragrafo 1 del regolamento.

Qualora il trasferimento abbia ad oggetto dati che non rientrano nella nozione di dati personali (es. i dati anonimi ma non pseudonimi) il regime di trasferimento non si applica e quindi i dati possono essere trasferiti liberamente fuori dall’Unione.

Inoltre, il trasferimento è un concetto diverso dal transito. Se i dati personali vengono semplicemente instradati elettronicamente attraverso un paese fuori dall’Unione, ma il trasferimento avviene tra due paesi dell’Unione, tale attività non rientra nella disciplina del trasferimento dati.

Focalizzandosi sulle basi giuridiche del trasferimento, è possibile identificare tre modalità secondo cui i dati possono essere traferiti fuori dall’Unione:

• Trasferimento sulla base di una decisione di adeguatezza (articolo 45)
• Trasferimento soggetto a garanzie adeguate (articolo 46)
• Deroghe in specifiche situazioni (articolo 49)

Nel primo caso, il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale è ammesso se la Commissione ha deciso che il paese terzo, un territorio o uno o più settori specifici all’interno del paese terzo, o l’organizzazione internazionale in questione garantiscono un livello di protezione adeguato. In tal caso il trasferimento non necessita di autorizzazioni specifiche.

Tale valutazione di adeguatezza viene effettuata dalla Commissione sulla base delle caratteristiche definite dall’articolo 45 paragrafo 2 lett. a-c.

Occorre osservare che, nel valutare il livello di adeguatezza, la Commissione può decidere, mediante atti di esecuzione, che un paese terzo, un territorio o uno o più settori specifici all’interno di un paese terzo, o un’organizzazione internazionale garantiscono un livello di protezione adeguato ai sensi dell’articolo 45 paragrafo 2.

Di conseguenza, il regolamento non esclude che per alcuni paesi possa sussistere un’autorizzazione per specifici settori o aree geografiche. Inoltre, anche una volta concessa l’autorizzazione, la Commissione può riesaminare la propria decisione revocando, modificando o sospendendo la propria decisione.

Per conoscere i paesi dei territori e settori specifici all’interno di un paese terzo, e delle organizzazioni internazionali nei confronti dei quali la Commissione ha espresso la propria valutazione di adeguatezza è possibile consultare la Gazzetta ufficiale dell’Unione europea e il sito web della Commissione. Le decisioni di adeguamento prese prima del GDPR rimangono in vigore a meno che non la Commissione non si esprima diversamente in seguito.

All’inizio del 2019, la Commissione ha espresso la propria valutazione sull’adeguatezza dei seguenti paesi e territori: Andorra, Argentina, Guernsey, Isola di Man, Israele, Jersey, Nuova Zelanda, Svizzera e Uruguay. La Commissione ha invece espresso valutazioni parziali per quanto riguarda il Giappone, il Canada e gli Stati Uniti.

In particolare, la valutazione di adeguatezza per il Giappone copre solo le organizzazioni del settore privato, mentre per il Canada riguarda solo i dati soggetti alla legge canadese sulla protezione dei dati personali e sui documenti elettronici (PIPEDA).

Per quanto riguarda gli Stati Uniti, la valutazione di adeguatezza riguarda esclusivamente i trasferimenti di dati personali che rientrano nel quadro del c.d. privacy shield fra UE e USA.

Si tratta di un meccanismo di autocertificazione per le società stabilite negli Stati Uniti che intendano ricevere dati personali dall’Unione europea. In particolare, le società si impegnano a rispettare i principi in esso contenuti e a mettere a disposizione adeguati strumenti di tutela, il cui mancato rispetto comporta l’eliminazione dalla lista delle società certificate da parte del Dipartimento del Commercio statunitense e possibili sanzioni da parte della Commissione federale per il commercio.

In mancanza di tale decisione di adeguatezza, ai sensi dell’articolo 46, il titolare del trattamento o il responsabile del trattamento possono trasferire dati personali verso un paese terzo o un’organizzazione internazionale solo se hanno fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi.

Lo scopo di tali garanzie è assicurare il rispetto dei requisiti in materia di protezione dei dati e dei diritti degli interessati adeguato ai trattamenti all’interno dell’Unione, in particolare, la conformità rispetto ai principi generali in materia di trattamento dei dati personali e ai principi di protezione dei dati fin dalla progettazione (by desing) e di protezione dei dati per impostazione predefinita (by default).

Il regolamento prevede che le garanzie adeguate non necessitano di autorizzazioni specifiche da parte di un’autorità di controllo quando si tratta di:

1. uno strumento giuridicamente vincolante e avente efficacia esecutiva tra autorità pubbliche o organismi pubblici;
2. le norme vincolanti d’impresa in conformità dell’articolo 47;
3. le clausole tipo di protezione dei dati adottate dalla Commissione secondo la procedura d’esame di cui all’articolo 93, paragrafo 2;
4. le clausole tipo di protezione dei dati adottate da un’autorità di controllo e approvate dalla Commissione secondo la procedura d’esame di cui all’articolo 93, paragrafo 2;
5. un codice di condotta approvato a norma dell’articolo 40, unitamente all’impegno vincolante ed esecutivo da parte del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati; o
6. un meccanismo di certificazione approvato a norma dell’articolo 42, unitamente all’impegno vincolante ed esigibile da parte del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati.

 

Possono altresì costituire in particolare garanzie adeguate con l’autorizzazione dell’autorità di controllo:

1. le clausole contrattuali tra il titolare del trattamento o il responsabile del trattamento e il titolare del trattamento, il responsabile del trattamento o il destinatario dei dati personali nel paese terzo o nell’organizzazione internazionale; o
2. le disposizioni da inserire in accordi amministrativi tra autorità pubbliche o organismi pubblici che comprendono diritti effettivi e azionabili per gli interessati.

 

In particolare, il regolamento prende in attenta considerazione la disciplina delle norme vincolanti d’impresa all’articolo 47.

Queste vengono approvate dall’autorità di controllo assicurandosi che siano giuridicamente vincolanti e si applichino a tutti i membri interessati del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attività economica comune, compresi i loro dipendenti. Inoltre, al fine della loro validità per trasferimento è richiesto che tali clausole prevedano almeno:

 

1. la struttura e le coordinate di contatto del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attività economica comune e di ciascuno dei suoi membri;
2. i trasferimenti o il complesso di trasferimenti di dati, in particolare le categorie di dati personali, il tipo di trattamento e relative finalità, il tipo di interessati cui si riferiscono i dati e l’identificazione del paese terzo o dei paesi terzi in questione;
3. la loro natura giuridicamente vincolante, a livello sia interno che esterno;
4. l’applicazione dei principi generali di protezione dei dati, in particolare in relazione alla limitazione della finalità, alla minimizzazione dei dati, alla limitazione del periodo di conservazione, alla qualità dei dati, alla protezione fin dalla progettazione e alla protezione per impostazione predefinita, alla base giuridica del trattamento e al trattamento di categorie particolari di dati personali, le misure a garanzia della sicurezza dei dati e i requisiti per i trasferimenti successivi ad organismi che non sono vincolati dalle norme vincolanti d’impresa;
5. i diritti dell’interessato in relazione al trattamento e i mezzi per esercitarli, compresi il diritto di non essere sottoposto a decisioni basate unicamente sul trattamento automatizzato, compresa la profilazione ai sensi dell’articolo 22, il diritto di proporre reclamo all’autorità di controllo competente e di ricorrere alle autorità giurisdizionali competenti degli Stati membri conformemente all’articolo 79, e il diritto di ottenere riparazione e, se del caso, il risarcimento per violazione delle norme vincolanti d’impresa;
6. il fatto che il titolare del trattamento o il responsabile del trattamento stabilito nel territorio di uno Stato membro si assume la responsabilità per qualunque violazione delle norme vincolanti d’impresa commesse da un membro interessato non stabilito nell’Unione; il titolare del trattamento o il responsabile del trattamento può essere esonerato in tutto o in parte da tale responsabilità solo se dimostra che l’evento dannoso non è imputabile al membro in questione;
7. le modalità in base alle quali sono fornite all’interessato le informazioni sulle norme vincolanti d’impresa, in particolare sulle disposizioni di cui alle lettere d), e) e f), in aggiunta alle informazioni di cui agli articoli 13 e 14;
8. i compiti di qualunque responsabile della protezione dei dati designato ai sensi dell’articolo 35 o di ogni altra persona o entità incaricata del controllo del rispetto delle norme vincolanti d’impresa all’interno del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attività economica comune e il controllo della formazione e della gestione dei reclami;
9. le procedure di reclamo;
10. i meccanismi all’interno del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attività economica comune per garantire la verifica della conformità alle norme vincolanti d’impresa. Tali meccanismi comprendono verifiche sulla protezione dei dati e metodi per assicurare provvedimenti correttivi intesi a proteggere i diritti dell’interessato. I risultati di tale verifica dovrebbero essere comunicati alla persona o entità di cui alla lettera h) e all’organo amministrativo dell’impresa controllante del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attività economica comune e dovrebbero essere disponibili su richiesta all’autorità di controllo competente;
11. i meccanismi per riferire e registrare le modifiche delle norme e comunicarle all’autorità di controllo;
12. il meccanismo di cooperazione con l’autorità di controllo per garantire la conformità da parte di ogni membro del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attività economica comune, in particolare la messa a disposizione dell’autorità di controllo dei risultati delle verifiche delle misure di cui alla lettera j);
13. i meccanismi per segnalare all’autorità di controllo competente ogni requisito di legge cui è soggetto un membro del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attività economica comune in un paese terzo che potrebbe avere effetti negativi sostanziali sulle garanzie fornite dalle norme vincolanti d’impresa; e
14. l’appropriata formazione in materia di protezione dei dati al personale che ha accesso permanente o regolare ai dati personali.

In mancanza di una decisione di adeguatezza (articolo 45) o di garanzie adeguate (articolo 46), comprese le norme vincolanti d’impresa (articolo 47), è ammesso il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale soltanto secondo le seguenti condizioni:

1. l’interessato abbia esplicitamente acconsentito al trasferimento proposto, dopo essere stato informato dei possibili rischi di siffatti trasferimenti per l’interessato, dovuti alla mancanza di una decisione di adeguatezza e di garanzie adeguate;
2. il trasferimento sia necessario all’esecuzione di un contratto concluso tra l’interessato e il titolare del trattamento ovvero all’esecuzione di misure precontrattuali adottate su istanza dell’interessato;
3. il trasferimento sia necessario per la conclusione o l’esecuzione di un contratto stipulato tra il titolare del trattamento e un’altra persona fisica o giuridica a favore dell’interessato;
4. il trasferimento sia necessario per importanti motivi di interesse pubblico;
5. il trasferimento sia necessario per accertare, esercitare o difendere un diritto in sede giudiziaria;
6. il trasferimento sia necessario per tutelare gli interessi vitali dell’interessato o di altre persone, qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
7. il trasferimento sia effettuato a partire da un registro che, a norma del diritto dell’Unione o degli Stati membri, mira a fornire informazioni al pubblico e può esser consultato tanto dal pubblico in generale quanto da chiunque sia in grado di dimostrare un legittimo interesse, solo a condizione che sussistano i requisiti per la consultazione previsti dal diritto dell’Unione o degli Stati membri.

I casi di cui alle lettere a-b-c non si applicano alle attività svolte dalle autorità pubbliche nell’esercizio dei pubblici poteri.

Anche al di fuori dei suddetti casi, il trasferimento è comunque permesso soltanto se non è ripetitivo, riguarda un numero limitato di interessati, è necessario per il perseguimento degli interessi legittimi cogenti del titolare del trattamento, su cui non prevalgano gli interessi o i diritti e le libertà dell’interessato, e qualora il titolare e del trattamento abbia valutato tutte le circostanze relative al trasferimento e sulla base di tale valutazione abbia fornito garanzie adeguate relativamente alla protezione dei dati personali.

Il titolare del trattamento informa del trasferimento l’autorità di controllo. In aggiunta alla fornitura di informazioni di cui agli articoli 13 e 14, il titolare del trattamento informa l’interessato del trasferimento e degli interessi legittimi cogenti perseguiti. Quest’ultimo caso non si applica alle attività svolte dalle autorità pubbliche nell’esercizio dei pubblici poteri.

 

3. Conclusione: un regime a scaglioni

Il trasferimento dei dati personali al di fuori dal territorio dell’Unione può essere considerato come un regime a scaglioni.

In particolare, ai fini di valutare quando sia necessario applicare il regime del GDPR occorrerà prima di tutto far riferimento all’ambito di applicazione del regime di trasferimento valutando se vengono trasferiti dati personali, se i dati fluiscono fuori dal territorio europeo e se si tratta di un trasferimento e non di un mero transito di dati che comunque vengono trasferiti all’interno dell’Unione.

Il passo successivo consiste nel verificare se sussiste una decisione di adeguatezza della Commissione europea nei confronti del paese di riferimento. Occorre ricordare che alcune volte la valutazione positiva della Commissione potrebbe essere comunque soggetta ad alcune condizioni come ad esempio un settore specifico.

Nel caso non sussista una valutazione della Commissione sarà possibile ricorrere ad un’altra base giuridica basata sulle garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi secondo le condizioni stabilite dagli articoli 46-47.

Al di fuori dei suddetti casi, il trasferimento sarà comunque possibile ai sensi dell’articolo 49 che costituisce la norma di chiusura dell’intero sistema di trasferimento dei dati al di fuori del territorio dell’Unione.