Informativa

• 7 lug
• 2017

Trasferimento di dati all’estero ai sensi del nuovo Regolamento UE 2016/679

 

A partire dal 25 maggio 2018 si applicherà il Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento del dati personali, nonché alla libera circolazione di tali dati (nel seguito: “Regolamento Privacy”).

Con specifico riferimento alle previsioni relative al trasferimento dei dati all’estero, il Regolamento Privacy conferma il principio della libera circolazione dei dati all’interno dell’Unione Europea (cfr. art. 1 n. 3 Regolamento Privacy).

Per quanto riguarda il trasferimento verso paesi terzi, il trasferimento è legittimo soltanto se sono rispettate determinate condizioni. Il Regolamento Privacy, sebbene riconosca espressamente che i flussi di dati verso i paesi al di fuori dell’Unione, sono necessari per lo sviluppo del commercio internazionale, si preoccupa di porre dei limiti e delle condizioni a tali flussi, al fine di assicurare che il livello di protezione delle persone fisiche europee non sia pregiudicato. 

Viene dunque mantenuto il generale divieto di trasferire dati in stati terzi che non forniscano un adeguato livello di tutela, salvo che siano fornite idonee garanzie. 

In particolare, il trattamento dei dati verso un paese terzo è consentito se ricorre una di queste ipotesi:

1. decisione della Commissione di adeguatezza del paese terzo;

2. adeguate garanzie a tutela dell’interessato fornite dal titolare/responsabile del trattamento;

3. deroghe in specifiche situazioni.

 

1. Decisione di adeguatezza

La Commissione può decidere, con effetto nell’intera Unione, che un paese terzo, offra un adeguato livello di protezione dei dati. In tali casi, il trasferimento di dati verso tale paese terzo può aver luogo senza ulteriori autorizzazioni.

Nel valutare l’adeguatezza del livello di protezione la Commissione prende in considerazione vari fattori tra cui la legislazione in vigore nel Paese terzo e l’attuazione delle norme in materia dei protezione dei dati, l’esistenza e il funzionamento di un’autorità di controllo indipendente nel paese terzo per garantire e controllare il rispetto delle norme in materia di sicurezza, gli impegni internazionali assunti dal paese terzo in relazione alla protezione dei dati personali ecc… 

Anche nel sistema attualmente in vigore (Direttiva CE 95/46 – D.lgs. 196/2003 - Codice della Privacy, art. 44) è legittimo il trasferimento dei dati verso Paesi terzi, qualora l’adeguatezza della protezione dei dati personali offerta in tali Paesi sia stata riconosciuta da una decisione della Commissione. Tuttavia, in base all’attuale normativa, si richiede che, a seguito della decisione di adeguatezza della Commissione, l’autorità privacy nazionale emani un’ulteriore autorizzazione nazionale al trasferimento dei dati verso il Paese terzo in questione. La necessità dell’autorizzazione nazionale verrà meno con l’applicazione del Regolamento Privacy. 

Quanto alle decisioni di adeguatezza sinora emesse dalla Commissione, sulla base delle norme attualmente vigenti, il Regolamento Privacy prevede espressamente che tali decisioni, unitamente agli accordi internazionali che comportano il trasferimento dei dati personali verso paesi terzi conclusi dagli Stati membri prima del 24 maggio 2016, rimangano in vigore sino alla loro eventuale revisione o modifica.

Decisioni di adeguatezza sono ad esempio state fornite con riguardo a paesi quali Andorra, l’Argentina, l’Australia, il Canada, Israele, la Nuova Zelanda, la Svizzera, gli USA, l’Uruguay. Per un elenco completo si veda il sito http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm.

Con specifico riferimento agli Stati Uniti d’America, la Commissione, con decisione del 12 luglio 2016 n. 2016/1250, ha approvato il c.d. Privacy Shield, ritenendo che gli Stati Uniti d’America assicurano un livello di protezione adeguato dei dati personali trasferiti dall’Unione europea alle organizzazioni statunitensi nell’ambito del c.d. “Privacy Schield”, “scudo”. Sono così autorizzati i trasferimenti dei dati personali dai titolari / responsabili del trattamento nell’Unione alle imprese presenti negli USA che aderiscono ai principi contenuti del c.d. Scudo Privacy e che si sono impegnate a conformarsi agli stessi.

Lo Scudo Privacy sostituisce il precedente sistema “Safe Harbour” che con sentenza della Corte di Giustizia UE del 6 ottobre 2015, C-362/14, è stato dichiarato non sufficiente per garantire un adeguato livello di tutela dei dati personali dei cittadini europei.

Lo Scudo Privacy è costituito da una serie di principi, più stringenti rispetto a quelli originariamente previsti nel sistema Safe Habour, emanati dal Dipartimento del Commercio degli Stati Uniti (DOC) il 7 luglio 2016, volti a proteggere i dati personali degli europei. La vigilanza sul controllo dell’applicazione di tali principi è inoltre demandata alla Commissione federale del Commercio (FTC) e al Dipartimento dei Trasporti americano.

Le imprese americane che intendono aderire allo scudo dovranno autocertificarsi presso il DOC obbligandosi al rispetto degli obblighi sanciti dal Privacy Schield. Tale autocertificazione dovrà essere rinnovata annualmente. Sul sito del Dipartimento del Commercio degli Stati Uniti è disponibile una lista aggiornata delle imprese che aderiscono allo scudo privacy (https://www.privacyshield.gov/list). Molte imprese che prima aderivano al Safe Harbour aderiscono ora al Privacy Shield. 

Le decisioni di adeguatezza adottate dalla Commissione posso sempre essere revocate e pertanto si consiglia di consultare il sito della commissione con l’indicazione aggiornata dell’elenco dei paesi autorizzati.

 

2. Garanzie a tutela dell’interessato

In mancanza di una decisione di adeguatezza, il titolare / responsabile del trattamento, potrà trasferire i dati in un Paese terzo, compensando la carenza di protezione dei dati di tale Paese con la prestazione di adeguate garanzie a tutela dell’interessato e a condizione che quest’ultimo disponga di diritti azionabili e mezzi di tutela effettivi. Si tratta di garanzie volte ad assicurare il rispetto dei requisiti in materia di protezione dei dati e dei diritti degli interessati adeguato ai trattamenti all’interno dell’unione. 

Tra le garanzie individuate dal Regolamento Privacy, che se adottate, non necessitano di un’autorizzazione specifica da parte di un’autorità di controllo vi sono:

- l’ applicazione di norme vincolanti d’impresa;

- l’adozione di clausole tipo di protezione dei dati adottate dalla Commissione o da un’autorità di controllo (Garante Privacy del singolo Stato Membro);

- l’adozione di un codice di condotta approvato dall’autorità di controllo;

- l’ottenimento della certificazione della protezione dei dati rilasciati da un’autorità di controllo o da un organismo di certificazione abilitato. 

Le norme vincolanti di impresa sono regole in materia di protezione dei dati personali applicate da un titolare/responsabile del trattamento stabilito nell’Unione, al trasferimento di dati personali a un titolare del trattamento in un paese terzo nell’ambito di un gruppo imprenditoriale o di imprese che svolge un’attività economica comune. Tali norme richiedono di essere approvate dall’autorità di controllo (Garante privacy) previa verifica che queste siano giuridicamente vincolanti e si applichino a tutti i membri interessati del gruppo imprenditoriale o del gruppo di imprese, compresi i loro dipendenti, conferiscano espressamente agli interessati diritti azionabili in relazione al trattamento dei loro dati personali, nonché soddisfino requisiti specificatamente elencati dall’art 47, paragrafo 2 del Regolamento Privacy. Tale articolo prevede che il documento contenente le norme vincolanti d’impresa debba necessariamente contenere le seguenti informazioni: dati relativi alla struttura e le coordinate di contatto del gruppo imprenditoriale o del gruppo di imprese, la descrizione della tipologia dei trasferimenti e delle relative finalità, l’applicazione dei principi generali di protezione dei dati, le misure volte a garantirne la sicurezza, i diritti dell’interessato, l’assunzione di responsabilità da parte del titolare stabilito nell’Unione in relazione alla violazione delle norme vincolanti di impresa commesse da un membro interessato non stabilito nell’Unione, i meccanismi intrapresi per garantire la verifica della conformità alle norme vincolanti di impresa, la formazione del personale in materia di protezione dei dati ecc.. Si tratta di un elenco non esaustivo ed è dunque lasciata la possibilità ai Garanti Privacy degli Stati membri di inserire ulteriori requisiti.

Le clausole tipo adottate dalla Commissione o da un’autorità di controllo, sono clausole che garantiscono che i dati saranno trattati nel rispetto della normativa comunitaria a tutela dei dati personali anche nel Paese terzo di destinazione. Tali clausole possono essere incorporate dal titolare / responsabile del trattamento in un contratto utilizzato specificatamente per il trasferimento dei dati o in un contratto più ampio. A tali clausole il titolare / responsabile del trattamento può aggiungere altre clausole o garanzie supplementari relative ai dati personali, purché non contraddicano le clausole contrattuali adottate dalla Commissione o da un’autorità di controllo o ledano i diritti e le libertà fondamentali degli interessati. 

I codici di condotta e la certificazione, sono strumenti introdotti dal Regolamento Privacy, ai quali i titolari / responsabili del trattamento stabiliti in un Paese terzo possono ricorrere per far valere gli impegni di tutela dei dati personali sottoscritti attraverso l’adozione del codice di condotta e/o di uno specifico strumento contrattuale giuridicamente vincolante. L’adozione del codice di condotta o la certificazione, unitamente all’impegno da parte del titolare del trattamento di applicare le garanzie adeguate, legittima dunque il trasferimento nel Paese terzo.

Necessitano invece di specifica autorizzazione da parte dell’autorità di controllo competente (Garante Privacy) le clausole contrattuali ad hoc tra il titolare / responsabile del trattamento e il titolare /responsabile e/o destinatario del trattamento stabilito nel Paese terzo.

 

3. Deroghe in specifiche situazioni

Qualora non dovessero ricorrere le ipotesi di cui sopra (decisione sull’adeguatezza o prestazione di garanzie adeguate), la possibilità di trasferire dati verso un Paese terzo è ammessa solamente nelle seguenti ipotesi:

- se l’interessato ha esplicitamente acconsentito ed è stato informato sui rischi conseguenti alla mancanza di una decisione di adeguatezza e di garanzie adeguate;

- se il trasferimento è necessario per l’esecuzione di un contratto concluso tra l’interessato ed il titolare o per l’esecuzione di misure precontrattuali adottate su istanza dell’interessato;

- se il trasferimento è necessario per la conclusione o l’esecuzione di un contratto stipulato tra il titolare del trattamento e un’altra persona fisica o giuridica a favore dell’interessato;

- se il trasferimento è necessario per accertare esercitare e/o difendere un diritto nell’ambito di un’azione giudiziaria;

- se sussistono motivi di rilevante interesse pubblico (ad es. scambio internazionale di dati tra autorità fiscali e/o doganali);

- se i dati sono trasferiti da un registro che per legge è destinato ad essere consultato dal pubblico o dalle persone aventi un legittimo interesse, purché il trasferimento sia limitato solamente ad alcuni dati e previa richiesta fatta da chi ne abbia un legittimo interesse.

Infine, il trasferimento è ammesso se è occasionale ed è necessario per il perseguimento degli interessi legittimi cogenti del titolare del trattamento, su cui non prevalgano gli interessi o i diritti e le libertà dell’interessato e qualora il titolare abbia fornito garanzie adeguate relativamente alla protezione dei dati. In tal caso, il titolare informa del trasferimento l’autorità di controllo.

 

4. Informativa all’interessato

Individuata la condizione che consente di legittimare il trasferimento dei dati verso il Paese terzo, sarà opportuno verificare di aver fornito all’interessato un’idonea informativa. Infatti, l’art. 13 lettera f) del Regolamento Privacy prevede che il titolare del trattamento deve informare l’interessato non solo del fatto che i suoi dati potranno essere e/o saranno trasferiti in un paese terzo ma anche, innovando rispetto alla normativa vigente, che l’interessato debba essere informato circa l’esistenza o l’assenza di una decisione di adeguatezza della Commissione, o circa le garanzie adeguate adottate e i mezzi per ottenere una copia di tali dati o il luogo dove sono resi disponibili. 

 

5. Conclusioni

Alla luce del quadro normativo sopra descritto, la disciplina del trasferimento dei dati personali verso paesi terzi contenuta nel Regolamento Privacy, riprende parte delle regole già contenute nella direttiva CE 95/46 e dunque per quanto riguarda l’Italia, nella normativa dettata dal D.lgs 196/2003, semplifica l’adempimento delle condizioni per il trasferimento (ad es. eliminando, in molti casi, il requisito dell’autorizzazione dell’autorità di controllo nazionale), precisa il contenuto di condizioni già esistenti (ad es. il contenuto del testo delle norme vincolanti di impresa).

E’ dunque opportuno, qualora un’impresa preveda la possibilità di trasferire i dati personali raccolti e trattati nell’ambito della propria attività verso un Paese terzo, procedere ad un’attenta verifica della compatibilità del trasferimento con la normativa attualmente vigente e con le disposizioni del Regolamento Privacy di prossima applicazione. A tal fine è consigliabile procedere ad un esame e analisi dei flussi dei dati personali dall’Europa verso un Paese terzo. E quindi valutare se gli attuali meccanismi adottati per il trasferimento dei dati rispettino le condizioni che ne legittimano il trasferimento; ad es. sussistenza di una decisione sull’adeguatezza del Paese terzo, norme vincolanti d’impresa ecc. Infine, particolare attenzione dovrà essere osservata nell’informativa conferita all’interessato e nell’eventuale richiesta di consenso.

 

Avv. Mariaelena Giorcelli