
DPO e trasferimento dati all’estero
4 Aprile 2022
In un contesto globale sempre più interconnesso è inevitabile che anche la circolazione dei dati personali possa, e debba, poter superare i confini nazionali ed europei. È lo stesso Regolamento Europeo 2016/679[1] a riconoscere la necessità dei flussi di dati personali, ai fini della cooperazione e del commercio internazionale, ribadendo al contempo l’importanza di garantire la protezione dei dati personali, oggetto del trasferimento al di fuori dallo Spazio Economico Europeo.
Le basi per il trasferimento dati all’estero
Per parlare di trasferimento dati verso un paese terzo o un’organizzazione internazionale è necessario che siano soddisfatti i seguenti requisiti:
- il titolare o il responsabile del trattamento “esportatore” deve essere assoggettato all’ambito di applicazione del GDPR per il trattamento in esame;
- la disponibilità dei dati ad un altro titolare o responsabile “importatore”;
- l’importatore, ossia il destinatario dei dati, dovrà essere un paese e/o un’organizzazione collocato all’esterno dell’Unione Europeo [2].
Come principio generale, l’articolo 44 del GDPR prevede che tale trasferimento di dati personali possa avvenire solo se fondato sulle condizioni previste dal Regolamento quali:
- Decisione di adeguatezza, con cui la Commissione Europea garantisce l’esistenza di un livello di protezione adeguato nel paese terzo, che rende pertanto possibile trasferirvi dati personali senza specifiche autorizzazioni.
- Garanzie adeguate offerte dal titolare o dal responsabile del trattamento, distinte all’articolo 46 in due categorie, a seconda della necessità o meno di ulteriori autorizzazioni specifiche dell’autorità di controllo. Per citarne alcune, queste garanzie adeguate possono essere presentate attraverso clausole tipo di protezione dei dati e clausole contrattuali, codici di condotta e norme vincolanti d’impresa.
Il Regolamento Europeo Privacy prevede poi delle deroghe applicabili in specifiche situazioni che consentono il trasferimento di dati personali anche in assenza delle suddette condizioni, ma che devono comunque essere interpretate in maniera restrittiva e nel rispetto dei diritti fondamentali[3]. Tra le deroghe previste all’articolo 49 rientrano, ad esempio, i casi in cui il trasferimento sia necessario all’esecuzione di un contratto tra l’interessato e il titolare del trattamento o all’accertamento, esercizio o difesa di un diritto in sede giudiziaria.
In extrema ratio, qualora il trasferimento non trovi fondamento in nessuna delle circostanze previste, potrà comunque essere effettuato, fornendo le adeguate garanzie di protezione dei dati personali, purché si tratti di un trasferimento di dati non ripetitivo, riguardante un numero limitato di interessati e necessario per il perseguimento degli interessi legittimi cogenti del titolare, a patto che non prevalgano interessi, diritti e libertà dell’interessato.
Il DPO come alleato nel trasferimento dati
Garantire la protezione dei dati personali trasferiti verso paesi esteri è certamente una sfida, soprattutto in assenza di una decisione di adeguatezza della Commissione. In tali circostanze, infatti, i titolari o responsabili del trattamento “esportatori” hanno la responsabilità di verificare, se necessario in collaborazione con l’“importatore” nel paese terzo, che le garanzie adeguate fornite ex articolo 46 siano efficaci e, in caso contrario, valutare ed implementare misure supplementari che colmino le lacune nel livello di tutela.
In tale processo gli “esportatori” sono supportati dalle linee guida dell’EDPB che fornisce una tabella di marcia da seguire per garantire e dimostrare che il trattamento dei dati trasferiti sia effettuato nel rispetto del livello di protezione stabilito dall’UE[4].
Nel definire tale guida operativa, l’EDPB incoraggia il dialogo con il DPO, che dovrebbe essere coinvolto nella valutazione sulla necessità del trasferimento, sull’adeguatezza degli strumenti ex articolo 46 su cui esso si fonda, e nella definizione, ove necessario, delle garanzie supplementari da introdurre.
Qualora poi la legittimazione del trasferimento trovi fondamento nelle deroghe previste dall’articolo 49 del GDPR, il DPO potrà offrire supporto nell’individuare la specifica base giuridica da applicare al singolo caso, e nell’accertare che i requisiti previsti dalla normativa vengano soddisfatti.
Inoltre, poiché il trasferimento di dati verso paesi terzi può comportare un rischio elevato per i diritti e le libertà delle persone, da esso potrebbe derivare la necessità di svolgere una valutazione d’impatto sulla protezione dei dati ai sensi dell’articolo 35 GDPR, nella quale sono essenziali il parere e la sorveglianza ad opera del DPO.
In generale il Responsabile della Protezione dei Dati nelle sue attività di consulenza, supporto organizzativo e controllo della compliance normativa[5], può fornire un valido aiuto a titolari e responsabili del trattamento che sono chiamati ad affrontare le sfide derivanti dal trasferimento dei dati personali al di fuori dell’UE.
I casi di Stati Uniti e Cina
Le diverse vicende giudiziarie e di cronaca emerse in questi anni, evidenziano la complessità nell’applicazione concreta del quadro teorico-normativo appena delineato.
Primo fra tutti è il caso degli Stati Uniti, verso cui il trasferimento di dati trovava fondamento nella decisione di adeguatezza della protezione dei dati offerta dal Privacy Shield, almeno fino al 2020, quando l’accordo trovò la stessa sorte del suo predecessore, il Safe Harbor[6]. In linea a quanto dichiarato nel 2015, con la sentenza Schrems I, infatti, la Corte di Giustizia europea è intervenuta invalidando la decisione di adeguatezza fondata sul Privacy Shield, in ragione del fatto che la normativa americana richiedeva ai provider statunitensi di fornire i dati personali raccolti alle autorità americane di intelligence[7].
La rivoluzione scatenata dalla sentenza Schrems II ha dato il via a una serie di contenziosi di fronte alle Autorità Garanti di tutta l’Unione, denuncianti le violazioni della protezione dei dati personali trasferiti verso gli USA, ad opera di multinazionali come Facebook e Google.
È proprio quest’ultimo ad essere stato coinvolto in una vicenda di fronte al Garante austriaco, in cui si denunciava l’utilizzo da parte di un sito web austriaco del servizio Google Analytics, dal quale derivava il trasferimento di dati verso gli USA senza la garanzia di un livello di protezione adeguato, richiesto dal GDPR. Facendo seguito alla Sentenza Schrems II, l’Autorità Garante austriaca ha riconosciuto che la società americana non risultava conforme alla normativa europea e che quindi l’utilizzo del servizio, da essa offerto, violava il Regolamento.
Ad oggi coloro che trasmettono dati personali negli Stati Uniti si scontrano con uno scenario incerto, che potrà essere superato solamente con un nuovo compromesso tra le parti, su cui fondare una decisione di adeguatezza.
Nuovi accordi per il trasferimento
La speranza di maggiore certezza è stata riaccesa dalla presidente della Commissione Europea, Ursula von der Leyen, con l’annuncio del raggiungimento di un accordo di “principio” che promette flussi di dati affidabili e prevedibili, la tutela della sicurezza nazionale americana e la protezione dei dati personali dei cittadini europei[8]. Per ora, comunque, si tratta solamente di un annuncio politico che troverà concretizzazione solo con la definizione di un effettivo testo normativo, per il quale però si dovrà ancora attendere.
Dall’altro capo del mondo, la Cina ha recentemente approvato la sua Legge sulla protezione delle informazioni personali (PIPL)[9], in vigore dal novembre 2021, a cui le imprese che commerciano con la Repubblica Popolare Cinese devono necessariamente adeguarsi per poter continuare ad operare.
Si tratta di una normativa particolarmente onerosa, tanto che gli stringenti standard imposti dalla PIPL hanno portato diverse aziende, tra cui Yahoo[10], a ritirarsi dai mercati cinesi divenuti estremamente esigenti in termini di compliance.
Ciononostante, la disciplina presenta anche molti punti di contatto con il GDPR e, di conseguenza, non è del tutto impensabile che in futuro essa possa costituire una base su cui fondare una decisione di adeguatezza che agevolerebbe il trasferimento di dati personali dall’UE verso la Cina, sempre che l’Europa sia a sua volta in grado di soddisfare i ferrei requisiti imposti dalla controparte.
[1] Considerando 101 del Regolamento Europeo 2016/679
[2] Linee guida 05/2021 sull’interazione tra l’applicazione dell’art 3 e le disposizioni sui trasferimenti internazionali di cui al capo V del GDPR
[3] Linee guida 2/2018 sulle deroghe di cui all’art 49 del GDPR
[4] Raccomandazioni 01/2020 relative alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE, Adottate il 10 novembre 2020.
[5] “DPO: cosa fa il Data Protection Officer” mondoprivacy.it
[6] Sentenza nella causa C-362/14 Maximillian Schrems/Data Protection Commissioner
[7] Sentenza nella causa C-311/18 Data Protection Commissioner/Maximilian Schrems e Facebook Ireland
[8] “Sta arrivando il nuovo Privacy Shield” mondoprivacy.it
[9] Cfr traduzione inglese della Legge sulla protezione delle informazioni personali della Repubblica Popolare Cinese
[10] L. Lin, “Yahoo Pulls Out of China, Ending Tumultuous Two-Decade Relationship”, The Wall Street Journal (2 novembre 2021)