9. Nuovo Regolamento Europeo: il trasferimento di dati personali verso Paesi terzi

26/02/2018

9. Nuovo Regolamento Europeo: il trasferimento di dati personali verso Paesi terzi

Siamo al nono appuntamento con la rubrica di approfondimento riguardante il nuovo Regolamento europeo in materia di protezione dei dati personali (il c.d. GDPR) e le Linee Guida del Garante della Privacy, volte a fornire agli operatori del settore alcuni chiarimenti in merito alle principali novità del Regolamento. In questa occasione si tratterà il tema del trasferimento dei dati personali verso Paesi terzi.

Il GDPR vieta il trasferimento di dati personali verso Paesi extra-UE a meno i) la Commissione europea abbia emanato una decisione di adeguatezza per il Paese in questione; ii) vi siano garanzie adeguate di natura contrattuale o pattizia (ad esempio, norme vincolanti d’impresa o clausole contrattuali modello); iii) si ricada in una delle situazioni oggetto delle deroghe al generale divieto di trasferimento.

 

Decisione di adeguatezza

La Commissione europea è competente a decidere se un Paese terzo garantisca un livello di protezione adeguato. In caso di decisione di adeguatezza della Commissione, a differenza di quanto è attualmente stabilito dall’art. 44 del Codice Privacy, non sarà più necessaria una autorizzazione specifica del Garante e il trasferimento di dati personali potrà avere senz’altro inizio.

La Commissione, per valutare l’adeguatezza del livello di protezione di un Paese extra-UE, prenderà in considerazione una serie di elementi, tra cui lo stato della legislazione (le leggi generali e quelle in materia di protezione dei dati personali), l’esistenza e il funzionamento di un’autorità di controllo indipendente, gli impegni internazionali assunti dal Paese, in particolare in relazione alla protezione dei dati personali.

La Commissione, una volta valutata positivamente l’adeguatezza del livello di protezione, decide che il Paese terzo garantisce un livello di protezione adeguato. È previsto un meccanismo di riesame periodico (almeno ogni 4 anni) e l’atto di esecuzione della decisione stabilisce l’ambito di applicazione geografico e settoriale della decisione (oltre ad identificare la/e autorità di controllo nel Paese terzo).

La Commissione – che controlla su base continuativa gli sviluppi all’interno del Paese –  se risulta che non è più garantito un livello di protezione adeguato, può revocare, modificare o sospendere la decisione di adeguatezza (anche in via d’urgenza) e avviare consultazioni con il Paese terzo per porre rimedio alla situazione che ha motivato tale scelta.

L’elenco dei Paesi terzi per i quali la Commissione ha deciso che è (o che non è più) garantito un livello di protezione adeguato è accessibile dal sito web della Commissione (ed è anche pubblicato nella Gazzetta ufficiale dell’Unione europea). Inoltre, le decisioni della Commissione, che sono state adottate sulla base della Direttiva 95/46/CE (art. 25, paragrafo 6), rimangono in essere fino a che non verranno modificate, sostituite o abrogate da una nuova decisione.

 

Garanzie adeguate

In mancanza di decisione di adeguatezza da parte della Commissione, il titolare del trattamento (o il responsabile) può trasferire dati personali verso un Paese terzo solamente se ha fornito garanzie adeguate e a condizione che gli interessati dispongono di diritti azionabili e mezzi di ricorso effettivi. L’art. 46, paragrafo 2, del GDPR, tra le altre, stabilisce che possono costituire garanzie adeguate (senza necessità, in questi casi, di ottenere l’autorizzazione del Garante):

  • Le norme vincolanti d’impresa (di cui all’art. 47);
  • Le clausole contrattuali modello adottate dalla Commissione o da un’Autorità di controllo (e approvate dalla Commissione).
  • Un codice di condotta o un meccanismo di certificazione (nel caso in cui questi disciplinino anche o esclusivamente i trasferimenti di dati verso Paesi terzi), unitamente all’impegno vincolante ed esecutivo da parte del titolare del trattamento o del responsabile del trattamento nel Paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati.

Inoltre, il GDPR stabilisce che, previa autorizzazione dell’Autorità di controllo competente, possono costituire garanzie adeguate:

  • Le cd. clausole contrattuali ad hoc tra il titolare del trattamento o il responsabile del trattamento e il titolare del trattamento, il responsabile del trattamento o il destinatario di dati personali nel Paese terzo;
  • Le disposizioni da inserire in accordi amministrativi tra autorità pubbliche o organismi pubblici che comprendono diritti effettivi e azionabili per gli interessati.

 

In particolare: norme vincolanti d’impresa

Il GDPR stabilisce i requisiti per l’approvazione delle norme vincolanti d’impresa e i contenuti obbligatori di tali norme. Esse sono approvate dall’Autorità di controllo se ricorrono i requisiti fissati dal GDPR all’art. 47, paragrafo 2 (l’elenco non è comunque considerato esaustivo). Le norme vincolanti di impresa, che sono giuridicamente vincolanti per tutti i membri interessati del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attività economica comune (compresi i loro dipendenti), devono conferire espressamente agli interessati i diritti azionabili in relazione al trattamento dei loro dati personali.

 

Fra gli elementi previsti dal GDPR che devono essere specificati nelle norme vincolanti d’impresa, segnaliamo la necessità di indicare almeno i) struttura e coordinate di contatto del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attività economica comune e di ciascuno dei suoi membri; ii) i trasferimenti o il complesso di trasferimenti di dati; iii) l’applicazione dei principi generali di protezione dei dati e i diritti dell’interessato in relazione al trattamento e i  mezzi per esercitarli; iv) il fatto che il titolare del trattamento o il responsabile stabilito nel territorio di uno Stato membro si assume la responsabilità per qualunque violazione delle norme vincolanti d’impresa commesse da un membro interessato non stabilito nell’Unione; v) le procedure di reclamo; vi) i meccanismi all’interno del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attività economica comune per garantire la verifica della conformità alle norme vincolanti d’impresa e quelli per riferire e registrare le modifiche delle norme e comunicarle all’autorità di controllo; vii) il meccanismo di cooperazione con l’autorità di controllo; viii) i meccanismi per segnalare all’autorità di controllo competente ogni requisito di legge cui è soggetto un membro del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attività economica comune in un Paese terzo che potrebbe avere effetti negativi sostanziali sulle garanzie fornite dalle norme vincolanti d’impresa.

 

Deroghe in specifiche situazioni

In mancanza di decisione di adeguatezza della Commissione o di garanzie adeguate, il trasferimento di dati personali verso un Paese terzo è ammesso se l’interessato ha prestato il suo esplicito consenso al trasferimento proposto (dopo essere stato informato dei rischi in considerazione della mancanza di una decisione di adeguatezza e di garanzie adeguate) oppure se il trasferimento è necessario:

  • per l’esecuzione di un contratto concluso tra l’interessato e il titolare o per la conclusione (o l’esecuzione) di un contratto stipulato tra il titolare del trattamento e un’altra persona fisica o giuridica a favore dell’interessato;
  • per importanti motivi di interesse pubblico o per accertare, esercitare o difendere un diritto in sede giudiziaria;
  • per tutelare gli interessi vitali dell’interessato (o di altre persone).

 

In particolare: legittimo interesse del titolare

Infine, il trasferimento verso un Paese terzo, che non sia ripetitivo e che riguardi un numero limitato di interessati, è ammesso se i) è necessario per il perseguimento degli interessi legittimi cogenti del titolare del trattamento (su cui non prevalgano gli interessi o i diritti e le libertà dell’interessato) e ii) qualora il titolare del trattamento abbia valutato tutte le circostanze relative al trasferimento e abbia fornito garanzie adeguate relativamente alla protezione dei dati personali.

In tali casi, il titolare deve informare l’autorità di controllo del trasferimento e fornire una apposita e specifica informativa all’interessato, contenente anche l’indicazione del trasferimento e dell’interesse legittimo cogente perseguito dal titolare.

 

Questo sito utilizza cookie, anche di terze parti, per inviarti pubblicità e servizi in linea con le tue preferenze. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie clicca qui. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsenti all’uso dei cookie.