I trasferimenti di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo (SEE, ossia UE + Norvegia, Liechtenstein, Islanda) o verso un’organizzazione internazionale sono consentiti a condizione che l’adeguatezza del Paese terzo o dell’organizzazione sia riconosciuta tramite decisione della Commissione europea (art. 45 del Regolamento UE 2016/679).
In assenza di tale decisione, il trasferimento è consentito ove il titolare o il responsabile del trattamento forniscano garanzie adeguate che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati (art. 46 del Regolamento UE 2016/679). Al riguardo, possono costituire garanzie adeguate:
senza autorizzazione da parte del Garante:
• gli strumenti giuridici vincolanti ed esecutivi tra soggetti pubblici (art. 46, par. 2, lett. a);
• le norme vincolanti d’impresa (art. 46, par. 2, lett. b)
• le clausole tipo (art. 46, par. 2, lett. c e lett. d)
• i codici di condotta (art. 46, par. 2, lett. e)
• i meccanismi di certificazione (art. 46, par. 2, lett. f)
previa autorizzazione del Garante:
• le clausole contrattuali ad hoc (art. 46, par. 3, lett. a)
• gli accordi amministrativi tra autorità o organismi pubblici (art. 46, par. 3, lett. b)
In assenza di ogni altro presupposto, è possibile trasferire i dati personali in base ad alcune deroghe che si verificano in specifiche situazioni (art. 49 del Regolamento UE 2016/679).
NEWS
Trasferimento dati extra-Ue, Scorza (Garante Privacy): "Abbiamo un problema, anzi tre"
Intervento di Guido Scorza, Componente dell’Autorità Garante per la protezione dei dati personali
(AgendaDigitale, 17 novembre2020)
- Comitato europeo per la protezione dei dati - EDPB
41a sessione plenaria: Il Comitato adotta raccomandazioni sulle misure supplementari per i trasferimenti di dati, a seguito della sentenza Schrems II
- Comitato europeo per la protezione dei dati - EDPB
Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data
(in consultazione pubblica)
- Comitato europeo per la protezione dei dati - EDPB
Recommendations 02/2020 on the European Essential Guarantees for surveillance measures
- Comitato europeo per la protezione dei dati - EDPB
FAQ relative alla sentenza Schrems e ai suoi effetti
Decisioni di adeguatezza (art. 45)
La Commissione europea può stabilire, valutati gli elementi indicati nell’art. 45, par. 2 del Regolamento UE 2016/679 e sulla base di un procedimento che prevede il parere del Comitato europeo per la protezione dei dati, che il Paese terzo (ma anche un territorio o un settore specifico al suo interno) o l’organizzazione internazionale garantiscano un livello di protezione adeguato e che pertanto è possibile trasferirvi dati personali. Il Regolamento prevede un’attività di monitoraggio da parte della Commissione mediante riesame delle decisioni a cadenza periodica, almeno ogni quattro anni. Tale attività può concludersi con una modifica della decisione o in altre circostanze con la sospensione o persino con la sua revoca, (art. 45, paragrafi 3-5 del Regolamento UE 2016/679).
Di seguito sono riportate le decisioni sinora adottate ai sensi della Direttiva 95/46/CE in materia di adeguatezza, in vigore fino a quando non vengano modificate, sostituite o abrogate dalla stessa Commissione (art. 45, par. 9 del Regolamento UE 2016/679).
*La Corte di giustizia dell'Unione europea (CGUE) si è pronunciata il 16 luglio 2020 (c.d. "Sentenza Schrems II") in merito al regime di trasferimento dei dati tra l'Unione europea e gli Stati Uniti invalidando la decisione di adeguatezza del Privacy Shield, adottata nel 2016 dalla Commissione europea in seguito alla decadenza dell'accordo Safe Harbor. Nella stessa sentenza la CGUE ha inoltre ritenuta valida la decisione 2010/87 relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in Paesi terzi. Il Comitato Europeo per la Protezione dei Dati (EDPB) ha predisposto delle FAQ relative alla sentenza Schrems II e ai suoi effetti. PER APPROFONDIMENTI: https://www.garanteprivacy.it/temi/privacy-shield
Strumenti giuridicamente vincolanti tra autorità pubbliche (art. 46, par. 2, lett. a)
I trasferimenti possono essere effettuati anche da autorità pubbliche o da organismi pubblici verso altre autorità pubbliche o organismi pubblici, o nei confronti di organizzazioni internazionali con analoghi compiti o funzioni, stabiliti in Paesi terzi. In tal caso i dati personali possono essere trasferiti:
sulla base di uno «strumento giuridicamente vincolante e avente efficacia esecutiva» (art. 46, par. 2, lett. a) del Regolamento UE 2016/679), quale un accordo amministrativo, di natura internazionale e di ambito bilaterale o multilaterale, ovvero
previa autorizzazione dell’autorità di controllo competente, mediante «disposizioni da inserire in accordi amministrativi tra autorità pubbliche o organismi pubblici che comprendono diritti effettivi e azionabili per gli interessati» (art. 46, par. 3, lett. b) del Regolamento UE 2016/679), quali ad esempio i protocolli d’intesa.
La prima autorizzazione ai sensi dell’art. 46, par. 3, lett. b), è stata resa dal Garante alla CONSOB il 23 maggio 2019 per sottoscrivere un accordo amministrativo per il trasferimento di dati personali tra le autorità di vigilanza finanziaria dello Spazio economico europeo (SEE) e le autorità di vigilanza finanziaria al di fuori del SEE (doc. web n. 9119857).
Clausole tipo (art. 46, par. 2, lett. c) e lett. d) e clausole contrattuali ad hoc (art. 46, par. 3, lett. a)
La Commissione europea o l’autorità di controllo competente previa approvazione della Commissione può stabilire che determinati strumenti contrattuali consentono di trasferire dati personali verso Paesi terzi o organizzazioni internazionali (art. 46, par. 2, lett. c) e lett. d).
In pratica, incorporando il testo delle clausole contrattuali in questione in un contratto utilizzato per il trasferimento, l’esportatore dei dati garantisce che questi ultimi saranno trattati conformemente ai principi stabiliti nel Regolamento anche nel Paese terzo o all’interno dell’organizzazione di destinazione. È importante sottolineare che le clausole tipo di protezione dati non ammettono emendamenti e devono essere sottoscritte dalle parti. Tuttavia, esse possono essere incorporate in un contratto più generale e vi si possono aggiungere clausole ulteriori purché non in conflitto, direttamente o indirettamente, con le clausole tipo così adottate (v. Considerando 109).
Sinora la Commissione in base alla Direttiva 95/46/CE ha adottato tre decisioni in materia recanti alcuni schemi di clausole tipo. Si tratta nel caso di:
trasferimenti da titolare a responsabile:
• decisione della Commissione UE n. 2010/87/CE del 5 febbraio 2010
• autorizzazione ai trasferimenti verso Paesi terzi tramite le clausole contrattuali tipo di cui alla decisione della Commissione n. 2010/87/UE (in caso di importatore stabilito in Paese Terzo) – provvedimento del Garante del 27 maggio 2010 (doc. web n. 1728496)
• autorizzazione ai trasferimenti verso Paesi terzi tramite le clausole contrattuali tipo di cui alla decisione della Commissione n. 2010/87/UE (in caso di importatore stabilito in UE) - provv. del Garante del 15 novembre 2012 (doc. web n. 2191156)
trasferimenti da titolare a titolare:
• decisione della Commissione UE n. 2001/497/CE (I insieme), del 15 giugno 2011
• autorizzazione ai trasferimenti verso Paesi terzi – provv. del Garante del 16 novembre 2001 (doc. web n. 42156)
• decisione della Commissione UE n. 2004/915/CE (II insieme), del 27 dicembre 2004
• autorizzazione ai trasferimenti di dati personali verso Paesi terzi – provv. del Garante del 9 giugno 2005 (doc. web n. 1151949)
Le decisioni nn. 2001/497/CE e 2010/87/UE sono state modificate dalla Commissione con la Decisione di esecuzione (UE) 2016/2297, del 16 dicembre 2016.
In materia di clausole contrattuali tipo, si richiamano inoltre i seguenti documenti del Gruppo art. 29 (ora, Comitato europeo per la protezione dei dati):
Resta fermo che ogni modifica o emendamento delle clausole tipo ne comporta la trasformazione in clausole contrattuali ad hoc. Anche queste ultime possono offrire garanzie adeguate alla luce della specifica situazione in cui si versa. Prima di procedere al trasferimento, esse necessitano però dell’autorizzazione della competente autorità di controllo nazionale, preceduta in ogni caso dal parere del Comitato europeo della protezione dei dati (art. 46, par. 3, lett. a).
BCR (art. 47)
Si tratta di uno strumento volto a consentire il trasferimento di dati personali dal territorio dello Stato verso Paesi terzi nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune. Le Bcr costituiscono un meccanismo in grado di semplificare gli oneri amministrativi a carico delle società di carattere multinazionale con riferimento ai flussi intra-gruppo di dati personali.
Sono costituite da un documento contenente una serie di clausole (rules) che fissano i principi vincolanti (binding) espressamente individuati all’art. 47, paragrafi 1 e 2, del Regolamento UE 2016/679, al cui rispetto sono tenute tutte le entità (che agiscono in qualità di controller o di processor) appartenenti ad uno stesso gruppo (corporate).
I modelli di riferimento disponibili sono di due tipologie e differiscono a seconda del ruolo ricoperto dalle entità −titolari o responsabili− che esportano ed importano i dati all’interno del gruppo: le Bcr for Controller e le Bcr for Processor. In particolare, in quest’ultima ipotesi il cliente (titolare) sottoscrive un contratto generale di servizi (Service Level Agreement - SLA) con la società multinazionale (responsabile) al quale sono allegate le “Bcr for Processor”.
Per maggiori e più dettagliate informazioni in merito ai contenuti delle Bcr, si rinvia ai seguenti documenti del Gruppo art. 29:
Procedura
Il gruppo richiedente deve compilare l’application form secondo quanto indicato nel documento WP 264, per le Bcr for controller, e nel documento WP 265, in ordine alle Bcr for processor, rivolgendosi alla c.d. Lead Authority, individuata sulla base dei criteri indicati nel paragrafo 1 del WP 263.
La procedura di approvazione delle Bcr, come definita nel WP 263, è infatti condotta dalla Lead Authority la quale dialoga, in rappresentanza delle Autorità di controllo, con il gruppo multinazionale interessato al fine di predisporre un progetto di decisione condiviso da sottoporre al Comitato europeo per la protezione dei dati ai sensi dell’art. 64, par. 1, lett. f) del Regolamento UE 2016/679.
Qualora il Garante sia la Lead Authority della procedura, l’istanza −cui deve essere allegato il testo di cui si compongono le Bcr con i rispettivi allegati in lingua inglese e in lingua italiana (quest´ultima asseverata da traduzione giurata)− è trasmessa all’Autorità ai sensi dell’art. 46, par. 1, lett. b) e non è previsto il versamento di alcun diritto di segreteria.
La fase istruttoria presso l’Autorità può comportare la richiesta di maggiori informazioni o di ulteriore documentazione o rendere opportuna l’organizzazione di un incontro presso l´Autorità.
Al termine del procedimento, la cui durata è di 18 mesi fatto salvo quanto previsto dall’art. 11 del reg. n. 2/2019, il Garante comunica al richiedente e alle altre Autorità di controllo interessate la decisione adottata.
Per quanto riguarda la procedura, occorre fare riferimento ai seguenti documenti del Gruppo art. 29:
- Provvedimenti Bcr adottati già presenti sul sito del Garante
- EDPB - Register of approved binding corporate rules
Codici di condotta e meccanismi di certificazione (art. 46, lett. e) e lett. d)
Il Regolamento introduce nuovi strumenti per i trasferimenti internazionali: i titolari e i responsabili del trattamento potranno avvalersi, infatti, a determinate condizioni, anche di codici di condotta o meccanismi di certificazione senza che ciò comporti alcuna autorizzazione da parte dell’autorità competente. I primi, purché approvati a norma dell’art. 40, possono costituire adeguati strumenti per il trasferimento, qualora accompagnati dall’«impegno vincolante ed esecutivo da parte del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati» (art. 46, par.2, lett. e) del Regolamento UE 2016/679); i meccanismi di certificazione purchè approvati a norma dell’art. 42, «unitamente all’impegno vincolante ed esigibile del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati» (art. 46, par.2, lett. f) del Regolamento UE 2016/679).
Si tratta di strumenti giuridici innovativi e il Comitato europeo della protezione dei dati sta elaborando alcune linee-guida allo scopo di individuare procedure e requisiti armonizzati in rapporto al loro impiego.
Deroghe in specifiche situazioni (art. 49)
In via residuale e solo a determinate condizioni (specificatamente individuate per singola situazione), è possibile trasferire dati personali nell’ambito delle c.d. “deroghe” di cui all’art. 49 del del Regolamento UE 2016/679 (consenso, contratto, interesse pubblico, difesa in giudizio, interesse vitale, registro pubblico, cogente interesse legittimo del titolare). In merito, è opportuno considerare che il termine “deroga” include di per sé una connotazione di eccezionalità rispetto al principio dell’adeguatezza e alle altre garanzie e che, pertanto, l’ambito di operatività delle suddette deroghe deve essere soggetto ad un’interpretazione restrittiva. Un’analisi dettagliata dei presupposti di applicazione di tali deroghe è contenuta nel documento del Comitato europeo per la protezione dei dati che segue e al quale si rinvia.
Linee guida 2/2018 sulle deroghe di cui all’articolo 49 del Regolamento 2016/679, del 25 maggio 2018.
Brexit: il punto sulle conseguenze per la protezione dei dati
Dal 1° gennaio 2021 il Regno Unito ha lasciato definitivamente l’Unione europea: si è completato il processo cosiddetto di "Brexit". Quali sono le conseguenze in termini di protezione dati?
Per quanto riguarda i flussi di dati verso il Regno Unito, che è diventato dunque un Paese terzo, bisogna fare riferimento all’Accordo commerciale e di cooperazione stipulato il 30 dicembre 2020 fra Regno Unito e Unione europea. Tale accordo prevede, tra l’altro, che il Regno Unito continui ad applicare il Regolamento europeo sulla protezione dei dati per un ulteriore periodo di massimo 6 mesi (quindi fino al 30 giugno 2021). Di conseguenza, in questo periodo qualsiasi comunicazione di dati personali verso il Regno Unito potrà avvenire secondo le medesime regole valevoli al 31 dicembre 2020 e non sarà considerata un trasferimento di dati verso un paese terzo.
Nel frattempo la Commissione europea e il Governo UK si sono impegnati, sempre in base all’Accordo, a lavorare su reciproche decisioni di adeguatezza che consentano di proseguire i flussi di dati senza interruzioni, anche successivamente al periodo transitorio sopra ricordato. Se così non fosse, si applicheranno tutte le disposizioni del Capo V del GDPR, che richiedono l’esistenza di garanzie adeguate (clausole contrattuali tipo, norme vincolanti d’impresa, accordi amministrativi, certificazioni, codici di condotta) per trasferire dati dall’Ue (più esattamente dal SEE, lo spazio economico europeo) verso un Paese terzo non adeguato, oppure ammettono alcune deroghe in assenza di garanzie adeguate (consenso esplicito dell’interessato, interesse pubblico di uno Stato membro del SEE, ecc.), ma solo in via residuale e secondo un approccio molto restrittivo.
Per quanto riguarda eventuali contenziosi o reclami transfrontalieri in materia di protezione dei dati con titolari o responsabili del trattamento stabiliti nel Regno Unito, dal 1° gennaio 2021 al Regno Unito in quanto Paese terzo non sarà più applicabile il meccanismo dello “sportello unico” (one stop shop) che disciplina questi contenziosi fra i paesi del SEE. In sostanza, le imprese con sede nel Regno Unito non potranno più beneficiare della possibilità di rapportarsi con un’unica Autorità “capofila” (ossia, l’Autorità competente per lo stabilimento principale o unico nel SEE) per i vari obblighi previsti dal Regolamento europeo. Per poter continuare a godere dei benefici dello sportello unico, dovrebbero infatti individuare un nuovo stabilimento principale in uno Stato membro del SEE.
In ogni caso, dal 1° gennaio 2021 i titolari e i responsabili del trattamento con sede nel Regno Unito che siano soggetti all'applicazione del GDPR ai sensi dell'articolo 3, paragrafo 2, sono tenuti a designare un “rappresentante” nel SEE a norma dell'articolo 27 sempre del GDPR. Tale rappresentante può essere contattato dalle Autorità di controllo e dalle persone interessate per qualsiasi questione relativa alle attività di trattamento al fine di garantire il rispetto del GDPR. Resta sempre ferma la possibilità per gli interessati che si trovano all’interno nostro Paese - ed i cui dati sono trattati per l’offerta di beni e servizi o per il monitoraggio del loro comportamento da parte di titolari stabiliti nel Regno Unito - di rivolgersi al Garante per la tutela dei loro diritti.
DOCUMENTI
The EU-UK Trade and Cooperation Agreement
Nota informativa sul trasferimento dei dati personali ai sensi del RGPD verso il Regno Unito dopo il periodo di transizione
ICO - Statement on data protection and Brexit implementation – what you need to do
Normativa
