Trasferimenti verso paesi terzi

Il Titolare deve porre attenzione anche se opera all’interno di un gruppo multinazionale e se ha nominato o deve nominare un Responsabile del trattamento. In funzione della risposta, il Titolare del trattamento sarà tenuto a prendere alcune decisioni e adottare alcuni accorgimenti. In alcune situazioni, potrebbe essere costretto a rivedere le proprie intenzioni o addirittura a non effettuare il trasferimento dei dati secondo quanto originariamente ipotizzato.

Le stesse cautele si applicano a chiunque trasferisca dati personali e, quindi, anche a un Responsabile che, con l’accordo preventivo del Titolare, affidi a un altro Responsabile un sottoinsieme di operazioni di trattamento.

Trasferimenti verso paesi terzi: che fare?

Stiamo parlando di dati personali raccolti nel territorio dell’Unione Europea, quindi, indipendentemente dalla sede del Titolare e del Responsabile, la prima domanda da porsi è: i dati che ci accingiamo a trasferire sono riferiti a persone fisiche collocate all’interno del territorio europeo? In caso di risposta affermativa, tutte le operazioni di trasferimento devono essere effettuate secondo le prescrizioni del Regolamento UE 2016/679 (Regolamento nel prosieguo)

La domanda successiva è proprio quella relativa al luogo di trasferimento anche nel caso di trattamenti “parziali” (ad esempio, elaborazione di cedolini stipendio o semplice archiviazione). Ovunque avvengano, i trattamenti relativi ai dati raccolti nel territorio europeo devono rispettare i diritti e le libertà fondamentali dell’individuo e quindi devono essere conformi alle norme UE che li tutelano.

Se il trasferimento avviene all’interno di un paese dell’Unione Europea il problema non si pone, in quanto il Regolamento è applicato allo stesso modo in tutti i paesi membri. Ma cosa succede nel caso in cui il trasferimento avvenga verso un paese extra Unione Europea (trasferimenti verso paesi terzi), soggetto a una giurisdizione diversa?

Fatte salve le regole previste per ogni caso di affidamento esterno (ad esempio: predisposizione del contratto, individuazione di ruoli e responsabilità, garanzie tecniche e organizzative offerte), Titolare o Responsabile devono sempre assicurarsi che i dati trasferiti siano tutelati come se fossero nell’Unione Europea.

La normativa prende in esame una serie di casistiche e fornisce indicazioni che aiutano a chiarire in che termini una garanzia possa essere considerata “adeguata”. I nostri consulenti e DPO si occupano di supportarvi e consigliarvi sulle procedure operative da implementare per verificare e gestire correttamente l’eventuale trasferimento all’estero dei dati personali. 

Si seguito, analizziamo alcune delle casistiche previste, ricordando che i trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali sono regolamentati al Capo V del Regolamento (artt. 44 – 49).

Decisione di adeguatezza emanata dalla Commissione Europea

Si tratta di una decisione della Commissione Europea in merito al livello di protezione dei dati personali offerto da un determinato Paese. Una decisione di adeguatezza autorizza il trasferimento di dati personali verso un paese extra Unione Europea. Si tratta di un provvedimento vincolante per i paesi membri dell’UE che può essere revocato solo dalla Commissione stessa. L’elenco dei Paesi terzi è dinamico ed è quindi necessario consultarlo sul sito dell’Autorità Garante prima di prendere ogni decisione in merito al trasferimento.

Norme vincolanti d’impresa

Le norme vincolanti d’impresa, alle quali ci si riferisce normalmente con l’acronimo BCR (Binding Corporate Rules), sono considerate una garanzia sufficiente perché il trattamento in un paese extra Unione Europea possa avere luogo. Esse sono delle vere e proprie politiche aziendali in materia di protezione dei dati, applicate da un soggetto stabilito nell’Unione ai trasferimenti verso un soggetto terzo operante in uno o più paesi extra Unione Europea e facente parte dello stesso gruppo imprenditoriale o di un gruppo di imprese che svolgono una attività economica congiunta.

Le norme vincolanti d’impresa, per poter essere considerate una forma di garanzia adeguata per il trasferimento verso paesi extra Unione Europea, devono essere approvate preventivamente dall’Autorità Garante competente, alla quale deve essere sottoposto il testo per l’opportuno esame.

Il documento deve contenere tutte le informazioni elencate all’articolo 47 comma 2 del Regolamento e gli impegni inderogabili in materia di protezione dati assunti dall’organizzazione. Le norme devono obbligatoriamente applicarsi a tutti le società del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attività economica comune, compresi i loro dipendenti, e devono essere giuridicamente vincolanti. Devono, inoltre, necessariamente riconoscere i diritti degli interessati e permetterne l’esercizio.

L’approvazione delle norme vincolanti d’impresa spetta all’Autorità Garante competente e avviene nel rispetto del meccanismo di cooperazione disegnato dal Regolamento. All’interno del gruppo imprenditoriale o del gruppo d’imprese, sarà probabilmente la società capofila a sottoporre il progetto delle norme vincolanti d’impresa e a discuterle con l’Autorità competente, individuata per competenza territoriale o in base al principio di stabilimento (sede centrale della società nell’Unione o sede in cui sono prese le decisioni in merito alle finalità e ai mezzi del trattamento)

Clausole contrattuali tipo

Le clausole contrattuali tipo per la protezione dati possono essere adottate dalla Commissione Europea o dall’Autorità di Controllo del Paese oppure possono essere autorizzate da quest’ultima.

Le clausole hanno lo scopo di assicurare il rispetto dei requisiti in materia di protezione dei dati e dei diritti degli interessati e di allineare le modalità con le quali è effettuato il trattamento nei paesi extra Unione Europea a quelle utilizzate all’interno dell’Unione.

Queste clausole, disponibili sul sito della Autorità Garante, possono essere inserite in un contratto più ampio (ad esempio nel contratto che lega Titolare e Responsabile o in quello che lega il Responsabile a un altro Responsabile) che può essere integrato e arricchito da altre clausole, contenenti garanzie supplementari, purché il loro contenuto non contraddica o smentisca quanto dichiarato nelle clausole tipo.

Scenari in cui un Responsabile o un “sub-Responsabile” risieda in paesi extra Unione Europea sono all’ordine del giorno; è sufficiente pensare a società che offrono servizi di hosting di applicazioni o siti web, servizi di archiviazione e gestione Data Base o servizi basati su piattaforma di Cloud Computing.

Il consiglio ovvio per Titolari e/o Responsabili che si trovano in questa situazione è quello di utilizzare, laddove possibile, le clausole tipo per redigere contratti che non li espongano a sanzioni a norma di Regolamento. È però difficile negoziare l’inserimento di clausole contrattuali tipo con player le cui condizioni standard di fornitura non contengono ancora una adeguata protezione dei dati personali secondo quanto previsto dalla normativa europea. La cosa migliore da fare, per chiunque debba ricorrere a fornitori extra Unione Europea, è fare una valutazione ex-ante della situazione, pesando rischi e implicazioni e per quanto possa essere faticoso, se il fornitore non è in grado di offrire adeguate garanzie in merito alla sicurezza dei dati personali e al trasferimento conforme alle prescrizioni, è opportuno valutare oggettivamente la situazione e, se non rimane altra possibilità, cambiare il fornitore di servizi.

Adesione a un Codice di Condotta approvato e Possesso di una Certificazione

L’adesione a un Codice di Condotta approvato, se accompagnata dall’impegno giuridicamente vincolante (contratto o atto giuridico) di applicare le garanzie adeguate anche per quanto riguarda i diritti degli interessati, è considerata una garanzia sufficiente per effettuare il trasferimento. Si possono quindi trasferire dati verso un paese extra Unione Europea se il destinatario ha aderito a un Codice di Condotta approvato e ha stipulato un atto giuridico che lo vincola ad applicare le garanzie adeguate, incluse quelle relative ai diritti degli interessati.

Anche il possesso di una Certificazione in merito alla protezione dei dati personali, basata su un meccanismo approvato (reg. art. 42) e rilasciata da un organismo di certificazione accreditato, accompagnato dall’impegno giuridicamente vincolante (contratto o atto giuridico) di applicare le garanzie adeguate anche per quanto riguarda i diritti degli interessati, è considerata una garanzia sufficiente per effettuare il trasferimento.

Deroghe in specifiche situazioni

Finiamo ricordando che in situazioni particolari, pur in assenza di adeguate garanzie, è ammesso il trasferimento di dati personali verso un paese terzo. Tra queste ricordiamo, solamente, il consenso esplicito dell’interessato dopo essere stato informato della mancanza di una decisione di adeguatezza o di altre garanzie adeguate e dei possibili rischi connessi al trasferimento.

Conclusioni

Qualunque sia il tuo business, la corretta gestione dei trasferimenti verso paesi terzi è un’attività delicata e complessa. Per la tutela del tuo business e della immagine aziendale, disponiamo di professionisti in grado di rispondere a qualsiasi tua esigenza. Nello specifico per ciò che concerne il trasferimento dei dati personali è necessario ad un servizio di assessment che coinvolge anche e soprattutto la componente tecnologica dell’azienda (assessment ICT).