Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata


 

 

Il trasferimento di dati personali da paesi appartenenti all'UE verso Paesi "terzi" (non appartenenti all'UE o allo Spazio Economico Europeo: Norvegia, Islanda, Liechtenstein) è vietato, in linea di principio (articolo 25, comma 1, della Direttiva 95/46/CE), a meno che il Paese in questione garantisca un livello di protezione "adeguato"; la Commissione ha il potere di stabilire tale adeguatezza attraverso una specifica decisione (articolo 25, comma 6, della Direttiva 95/46/CE).

 

In deroga a tale divieto, il trasferimento verso Paesi terzi è consentito anche nei casi menzionati dall'articolo 26, comma 1, della Direttiva 95/46 (consenso della persona interessata, necessità del trasferimento ai fini di misure contrattuali/precontrattuali, interesse pubblico preminente, ecc.), nonché sulla base di strumenti contrattuali che offrano garanzie adeguate (articolo 26, comma 2, della Direttiva 95/46).

 

Decisioni di adeguatezza

Clausole contrattuali standard

BCR - Binding Corporate Rules

 

Decisioni di adeguatezza

torna al sommario

 

La Commissione europea può stabilire, sulla base di un procedimento che prevede, fra l'altro, il parere favorevole del Gruppo ex Articolo 29 della Direttiva 95/46/CE, che il livello di protezione offerto in un determinato Paese è adeguato (articolo 25, comma 6, della dDrettiva 95/46/CE), e che pertanto è possibile trasferirvi dati personali. Di seguito sono riportate le decisioni della Commissione sinora pubblicate in materia di adeguatezza di Paesi terzi.

 

Decisioni di adeguatezza

Andorra

Argentina

Australia – PNR

Canada

Faer Oer

Guernsey

Isola di Man

Israele

Jersey

Nuova Zelanda

Svizzera

Uruguay

USA – Safe Harbor (vedi Provvedimento del 22 ottobre 2015 e comunicato stampa del 6 novembre 2015)

USA – PNR

 

Link

- Autorizzazioni del Garante per il trasferimento di dati verso Paesi terzi

 

Clausole contrattuali standard

torna al sommario

 

La Commissione europea, ai sensi dell'articolo 26(4) della Direttiva 95/46/CE, può stabilire che determinati strumenti contrattuali consentono di trasferire dati personali verso Paesi terzi. Si tratta di una delle deroghe (stabilite nel comma 2 dell'articolo 26 della Direttiva 95/46/CE) al divieto di effettuare il trasferimento verso Paesi che non offrono garanzie "adeguate" ai sensi della Direttiva 95/46/CE.

In pratica, incorporando il testo delle clausole contrattuali in questione in un contratto utilizzato per il trasferimento, l'esportatore dei dati garantisce che questi ultimi saranno trattati conformemente ai principi stabiliti nella Direttiva anche nel Paese terzo di destinazione. Sinora la Commissione ha adottato quattro decisioni in materia.

 

Decisioni

- Decisione Commissione, clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento in paesi terzi, dir. 95-46-CE
5 febbraio 2010

- Decisione della Commissione del 27 dicembre 2004 per l'introduzione di un insieme alternativo di clausole contrattuali tipo per il trasferimento di dati personali a paesi terzi
27 dicembre 2004

- Decisione Commissione, clausole contrattuali tipo per trasferimento dati a carattere personale verso paesi terzi a norma dir. 95-46-CE
5 giugno 2001

- Decisione Commissione, clausole contrattuali tipo per trasferimento dati personali a incaricati del trattamento residenti in paesi terzi, dir. 95-46-CE
27 dicembre 2001

 

BCR - Binding Corporate Rules

torna al sommario

 

Cosa sono le Binding corporate rules?
Si tratta di uno strumento volto a consentire il trasferimento di dati personali dal territorio dello Stato verso Paesi terzi (extra-UE) tra società facenti parti dello stesso gruppo d'impresa.
Si concretizzano in un documento contenente una serie di clausole (rules) che fissano i principi vincolanti (binding) al cui rispetto sono tenute tutte le società appartenenti ad uno stesso gruppo (corporate).
Le Bcr costituiscono un meccanismo in grado di semplificare gli oneri amministrativi a carico delle società di carattere multinazionale con riferimento ai flussi intra-gruppo di dati personali.

Quali sono i principali vantaggi delle BCR?
Il rilascio di un'autorizzazione al trasferimento di dati personali tramite Bcr consente alle filiali della multinazionale che ne abbia fatto richiesta, anche se stabilite in diversi Paesi, di trasferire, all'interno del gruppo d'impresa, i dati personali oggetto delle Bcr, senza ulteriori adempimenti (quali ad esempio la sottoscrizione di Clausole contrattuali tipo, l'adesione all'accordo Safe Harbour, il rilascio di specifiche autorizzazioni ai sensi del Codice).

Da quale strumento normativo traggono efficacia?
Le Bcr traggono efficacia dalla concessione di una autorizzazione del Garante al trasferimento dei dati personali verso Paesi terzi (articolo 44, lettera a), del decreto legislativo 196/2003 – " Codice").
L'autorizzazione è rilasciata dietro espressa richiesta della società interessata, con riferimento a trasferimenti di dati personali dall'Italia verso Paesi terzi che si svolgano nel rispetto di quanto stabilito all'interno del testo di Bcr e per le sole finalità ivi indicate.

Quali sono i principali contenuti del testo di Bcr?
Il testo di Bcr contiene i principi fondamentali in materia di protezione dei dati personali sanciti dal Codice e dalla Direttiva 95/46/CE, secondo lo schema elaborato dal Gruppo "Articolo 29" dei Garanti Europei (cfr. il WP 74 e il WP 153).
In particolare: i principi di correttezza e legittimità del trattamento, di finalità, necessità e proporzionalità dei dati, l'obbligo del titolare di rilasciare idonea informativa all'interessato, i diritti dell'interessato, le misure di sicurezza prescritte dalla legge, il diritto dell'interessato ad ottenere il risarcimento del danno connesso al mancato rispetto delle Bcr da parte di una società del gruppo (c.d. clausola del terzo beneficiario).
Oneri ulteriori, inoltre, sono imposti al gruppo multinazionale d'impresa che deve garantire tra l'altro: la predisposizione di un programma di training del personale in materia di protezione dei dati personali; l'implementazione di un meccanismo di gestione del contenzioso e delle segnalazioni connesse alle Bcr; la conduzione periodica di audit al fine di verificare il rispetto delle Bcr da parte delle società del gruppo; la creazione di un network di privacy officers o di uno staff che si occupi di monitorare il rispetto delle Bcr e di gestire le segnalazioni degli interessati.
Per maggiori e più dettagliate informazioni, si rinvia alle FAQ predisposte dal gruppo dei Garanti Europei (WP 155).
Per un modello esemplificativo di testo di Bcr, si rinvia al documento WP 154.

Come viene predisposto il testo di Bcr?
La procedura per la definizione del testo di Bcr prevede una fase "europea" ed una fase "nazionale"; quest'ultima è finalizzata al rilascio dell'autorizzazione nazionale (ove necessaria, come in Italia).

Procedura a livello europeo
Dal momento che le Bcr hanno ad oggetto i flussi di dati personali tra società appartenenti a un unico gruppo di impresa e dislocate in diversi paesi del mondo, l'autorizzazione al trasferimento transfrontaliero di dati tramite Bcr trova una sua utilità esclusivamente se rilasciata da tutte le Autorità di protezione dei dati (Data Protection Authorities – "DPAs") competenti negli Stati Membri da cui hanno origine i trasferimenti.
Per questo motivo, il Gruppo Articolo 29 ha elaborato una procedura di cooperazione a livello europeo (cfr. WP 107) in grado di assicurare la predisposizione di un testo di Bcr condiviso da tutte le Autorità e valevole per tutti i trasferimenti oggetto delle Bcr medesime.
Tale procedura è condotta da una sola Autorità (c.d. "lead Authority") la quale dialoga, in rappresentanza di tutte le altre DPA, con la società capogruppo.

In particolare, la lead Authority esamina la bozza di Bcr presentata dalla società (c.d. "consolidated draft"), la invia alle altre Autorità per riceverne eventuali commenti (Fase 1) e dialoga con la società per la predisposizione di un testo che accolga tutte le osservazioni formulate (c.d. "final draft" - Fase 2).

Il documento così redatto è inviato alle Autorità partecipanti alla procedura, al fine di ottenerne una valutazione  positiva in termini di adeguatezza del livello di protezione dei dati personali.

Di recente, alcune Autorità (fra cui il Garante) hanno aderito ad una dichiarazione di intenti, c.d. "dichiarazione di Mutuo riconoscimento", al fine di semplificare la procedura di approvazione del testo di Bcr a livello europeo, velocizzandone la relativa tempistica.

Ai sensi di tale nuovo modello, la lead Authority, con il supporto di altre due Autorità, dialoga con la società capogruppo al fine di giungere alla predisposizione di un testo ritenuto in linea con i principi fissati dai documenti del Gruppo Articolo 29 in materia di Bcr (WP 74; WP 108; WP 153) (Fase 1)

Il parere con il quale la lead Authority attesta la conformità del testo di Bcr ai principi sopra indicati è considerato dalle altre Autorità aderenti al sistema di Mutuo riconoscimento quale fondamento sufficiente al rilascio della rispettiva autorizzazione nazionale (Fase 2).

Procedura a livello nazionale
Qualora la singola Autorità si esprima a favore del testo di Bcr, ovvero una volta raggiunta la definizione di un testo di Bcr giudicato conforme dalla lead Authority in base alla procedura semplificata sopra descritta, l'Autorità nazionale potrà procedere al rilascio di un'autorizzazione nazionale al trasferimento dei dati personali oggetto del testo medesimo, ove prevista (Fase 3).

Le due procedure sono schematizzate nel documento allegato.

Come si articola la procedura nazionale di autorizzazione dinanzi al Garante per la protezione dei dati personali?
Il titolare del trattamento stabilito sul territorio dello Stato italiano deve trasmettere al Garante una specifica richiesta di autorizzazione ai trasferimenti di dati personali dal territorio dello Stato verso Paesi Terzi tramite Bcr.

La richiesta deve evidenziare in particolare:
-  le tipologie di dati personali oggetto delle attività di trasferimento per cui si chiede l'autorizzazione (es. dati relativi al personale dipendente, ai clienti, ai fornitori ecc.);
- le finalità oggetto delle attività di trasferimento, specificandole per tipologia di dato trasferito (es. i dati relativi al personale dipendente saranno trasferiti per finalità amministrativo-contabili; i dati relativi ai clienti saranno trasferiti per finalità di marketing ecc.);
- i rapporti esistenti tra la società capogruppo e la società che presenta la richiesta di autorizzazione al fine di dimostrare che quest'ultima ha assunto un impegno giuridicamente vincolante al rispetto delle Bcr medesime.

La richiesta deve contenere i seguenti allegati:

  • il testo di cui si compongono le Bcr con i rispettivi allegati in lingua inglese e in lingua italiana (quest'ultima asseverata da traduzione giurata);
  • l'application form (WP 133) predisposta dalla società capogruppo in lingua inglese e in lingua italiana (per tale documento non è richiesta la traduzione giurata);
  • l'attestazione dell'avvenuto pagamento dei diritti di segreteria, il cui ammontare, con riferimento ai procedimenti relativi alle richieste di autorizzazione al trasferimento dei dati verso Paesi non appartenenti all'Unione europea, è stato quantificato, con determinazione dell'Ufficio del 15 gennaio 2005, nella misura di euro 1000,00 (mille) per ciascun titolare del trattamento stabilito nel territorio dello Stato. Il versamento di tale importo può essere effettuato mediante versamento postale sul conto corrente postale n. 51620359 intestato a: "Garante per la protezione dei dati personali, Piazza di Monte Citorio, 121, 00186 Roma"


I termini del procedimento sono di 45 gg. dalla ricezione della richiesta.

La fase istruttoria presso l'Autorità può comportare la richiesta di maggiori informazioni o di ulteriore documentazione al titolare o rendere opportuna l'organizzazione di un incontro con titolare presso l'Autorità.

Al termine del procedimento, il Garante comunica al richiedente la decisione adottata.

 

Link

- Autorizzazioni del Garante per il trasferimento di dati all'estero secondo le modalità fissate nelle Bcr