Trasferimento dei dati Extra-UE: la protezione dei dati viaggia con i dati
19 Marzo 2019
Viviamo in un periodo storico senza confini geografici e ci confrontiamo quotidianamente con persone di provenienza diversa dalla nostra.
Tra i molteplici pregi che possiamo trarre da questa circostanza, dobbiamo riconoscere che la globalizzazione ha accresciuto progressivamente gli scambi e gli investimenti internazionali su scala mondiale, determinando l’interdipendenza delle economie nazionali ed un commercio senza barriere.
S
Inevitabilmente la diffusione di informazioni tra Paesi membri dell’UE e Stati Terzi costituisce un trattamento divenuto abituale.
Ma come ci si deve comportare per rimanere in linea con il Regolamento? Scopriamolo insieme nell’articolo dedicato!
Tra globalizzazione e GDPR
Il GDPR nasce con un obiettivo: tutelare i diritti degli interessati. Per questo, con la globalizzazione emerge la necessità di proteggere maggiormente il trasferimento di dati extra-Ue.
Il Regolamento presenta all’interno del capo V, dal titolo “Trasferimenti di dati personali verso paesi terzi oppure organizzazioni internazionali” una nuova logica secondo la quale “la protezione dei dati viaggia con i dati”.
Il trasferimento può avvenire in presenza di una decisione di adeguatezza della Commissione Europea: l’istituzione stabilisce, a fronte di una serie di valutazioni, che un Paese Terzo, un territorio all’interno di un paese terzo oppure un’organizzazione internazionale offrono un livello adeguato di protezione dei dati, garantendo la certezza del diritto. Ad oggi le decisioni di adeguatezza adottate dalla Commissione hanno interessato i seguenti paesi: Andorra, Argentina, Australia, Canada, Faer Oer, Guernsey, Isola di Man, Israele, Jersey, Nuova Zelanda, Svizzera ed Uruguay. I trasferimenti verso paesi “adeguati” saranno assimilati a una trasmissione di dati all’interno dell’UE e non necessitano di ulteriori garanzie o controlli supplementari.
Che cosa fare se il Paese terzo non è in elenco?
Dunque, il primo passo da compiere per verificare la legittimità del trasferimento dei dati effettuato è quello di consultare l’elenco dei paesi che hanno ottenuto la decisione di adeguatezza della Commissione.
Se non appare, in questo caso il trasferimento puo’ avvenire nell’ipotesi in cui siano offerte garanzie adeguate e a condizione che le persone dispongano di diritti esecutivi e mezzi di ricorso efficaci.
Tra queste si annoverano gli accordi contrattuali con il destinatario dei dati personali, che comprendono clausole contrattuali tipo approvate dalla Commissione Europea. In pratica, incorporando il testo delle clausole contrattuali in un contratto utilizzato per il trasferimento, l’esportatore dei dati garantisce che questi ultimi saranno trattati conformemente al Regolamento Europeo.
Tra le molteplici forme di tutela, emergono le Binding Corporate Rules. Esse consentono il trasferimento transfrontaliero dei dati: si tratta di uno strumento volto a consentire la trasmissione di dati dal territorio dello Stato verso Paesi terzi, tra società facenti parte dello stesso gruppo d’impresa. A livello pratico si tratta di un documento contenente una serie di clausole che fissano i principi vincolanti al cui rispetto sono tenute tutte le società appartenenti ad uno stesso gruppo. Il vantaggio principale è dato dalla possibilità di trasferire i dati personali, oggetto delle Bcr, senza ulteriori adempimenti.
Tra le garanzie previste dall’art. 46 del Regolamento figurano anche i codici di condotta e i meccanismi di certificazione: i Titolari o i Responsabili del trattamento stabiliti in un Paese terzo, per legittimare il trasferimento, potranno far valere gli impegni sottoscritti attraverso l’adesione al codice di condotta o allo schema di certificazione, al fine di legittimarli.
Il trasferimento dei dati ed il rapporto con le deroghe
Se è previsto un trasferimento di dati personali verso un Paese Terzo che non è soggetto ad una decisione di adeguatezza e in assenza di garanzie appropriate, esso può avvenire sulla base di deroghe per situazioni specifiche, ex art. 49 del GDPR.
Considerato che nel trasferimento di dati extra-UE gli esportatori di dati dovrebbero promuovere soluzioni che offrano agli interessati la garanzia di continuare a beneficiare, dopo il trasferimento, dei diritti fondamentali e delle garanzie.
Le deroghe infatti non forniscono tutela e garanzie adeguate per i dati personali trasferiti: è essenziale porre un accento sul fatto che i trasferimenti fondati su questa modalità non necessitano di alcuna autorizzazione preventiva dell’autorità di controllo. Proprio per questo comporta maggiori rischi per i diritti e per le libertà degli interessati.
Occorre far presente che il presupposto di fondo per il ricorso alle varie deroghe risiede nella “necessità” del trasferimento dei dati.
Soddisfatto il requisito suddetto il trasferimento può avvenire qualora l’interessato abbia esplicitamente acconsentito al trasferimento proposto, dopo esser stato informato dei possibili rischi di siffatti trasferimenti. L’aspetto che preme sottolineare è che l’interessato dovrà avere contezza dei rischi derivanti dal trasferimento di dati verso un Paese terzo che non offre una protezione adeguata e della mancata attuazione di adeguate garanzie per la protezione dei dati.
Perché la deroga deve rispecchiare i diritti dell’interessato
Il trasferimento, in deroga, è ammesso specialmente in presenza di un contratto concluso tra il titolare e una persona fisica o giuridica, a favore dell’interessato o per motivi di interesse pubblico.
Il trasferimento è inoltre ammesso nell’ipotesi in cui sia necessario tutelare gli interessi vitali dell’interessato o di altre persone, nel caso in cui l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso. La deroga in questione trova applicazione nel caso di un’emergenza medica, quando il trattamento è necessario per la prestazione dei trattamenti sanitari previsti, ai fini di una diagnosi necessaria. La deroga non potrà essere invocata nell’ambito di una ricerca medica generica che produrrà dei risultati soltanto in futuro.
Altre ipotesi concernono il trasferimento di dati personali contenuti nei registri qualora la finalità dello stesso sia la trasmissione di informazioni al pubblico. I registri privati sono quindi esclusi dall’ambito di applicazione di questa deroga.
In aggiunta alla normativa precedente è ammesso il trasferimento di dati personali qualora sia necessario per il perseguimento degli interessi legittimi cogenti dell’esportatore dei dati, a condizione che essi non prevalgano sugli interessi o i diritti e le libertà degli interessati.
Esposta sinteticamente la disciplina in materia, sorge spontaneo interrogarsi sui cambiamenti incorsi rispetto alla normativa precedente. Il trasferimento verso un Paese Terzo “adeguato” ai sensi della decisione assunta dalla Commissione, ovvero sulla base di clausole contrattuali modello o di norme vincolanti d’impresa, potrà avere luogo senza attendere l’autorizzazione nazionale del Garante.
Tuttavia, l’autorizzazione del Garante sarà ancora necessaria se un titolare desidera utilizzare clausole contrattuali ad-hoc oppure accordi amministrativi stipulati tra autorità pubbliche.
Ricordiamo infine che, in conformità a quanto disposto dall’articolo 13, i Responsabili e il Titolare del trattamento dovranno informare gli interessati qualora vi sia intenzione di trasferire i dati personali verso un Paese Terzo o un’organizzazione internazionale e dovranno altresì essere indicate nell’informativa le condizioni in base alle quali avviene il trasferimento.