Trasferrimento dati estero

Briciole di pane

Trasferimento di dati personali all'estero

Trasferimento di dati personali all´estero

I trasferimenti di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo (SEE, ossia UE + Norvegia, Liechtenstein, Islanda) o verso un’organizzazione internazionale sono consentiti a condizione che l’adeguatezza del Paese terzo o dell’organizzazione sia riconosciuta tramite decisione della Commissione europea (art. 45 del Regolamento UE 2016/679).

In assenza di tale decisione, il trasferimento è consentito ove il titolare o il responsabile del trattamento forniscano garanzie adeguate che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati (art. 46 del Regolamento UE 2016/679). Al riguardo, possono costituire garanzie adeguate:

senza autorizzazione da parte del Garante:

• gli strumenti giuridici vincolanti ed esecutivi tra soggetti pubblici (art. 46, par. 2, lett. a);
• le norme vincolanti d’impresa (art. 46, par. 2, lett. b)
• le clausole tipo (art. 46, par. 2, lett. c e lett. d)
• i codici di condotta (art. 46, par. 2, lett. e)
• i meccanismi di certificazione (art. 46, par. 2, lett. f)

previa autorizzazione del Garante:

     • le clausole contrattuali ad hoc (art. 46, par. 3, lett. a)
     • gli accordi amministrativi tra autorità o organismi pubblici (art. 46, par. 3, lett. b)

In assenza di ogni altro presupposto, è possibile trasferire i dati personali in base ad alcune deroghe che si verificano in specifiche situazioni (art. 49 del Regolamento UE 2016/679).

 

DOCUMENTI EDPB

- Comitato europeo per la protezione dei dati - EDPB
41a sessione plenaria: Il Comitato adotta raccomandazioni sulle misure supplementari per i trasferimenti di dati, a seguito della sentenza Schrems II

- Comitato europeo per la protezione dei dati - EDPB
Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data

- Comitato europeo per la protezione dei dati - EDPB
Recommendations 02/2020 on the European Essential Guarantees for surveillance measures

- Comitato europeo per la protezione dei dati - EDPB
FAQ relative alla sentenza Schrems e ai suoi effetti

- Comitato europeo per la protezione dei dati - EDPB
Guidelines 04/2021 on codes of conduct as tools for transfers

 

 

Decisioni di adeguatezza (art. 45)

La Commissione europea può stabilire, valutati gli elementi indicati nell’art. 45, par. 2 del Regolamento UE 2016/679 e sulla base di un procedimento che prevede il parere del Comitato europeo per la protezione dei dati, che il Paese terzo (ma anche un territorio o un settore specifico al suo interno) o l’organizzazione internazionale garantiscano un livello di protezione adeguato e che pertanto è possibile trasferirvi dati personali. Il Regolamento prevede un’attività di monitoraggio da parte della Commissione mediante riesame delle decisioni a cadenza periodica, almeno ogni quattro anni. Tale attività può concludersi con una modifica della decisione o in altre circostanze con la sospensione o persino con la sua revoca, (art. 45, paragrafi 3-5 del Regolamento UE 2016/679).

Di seguito sono riportate le decisioni sinora adottate ai sensi della Direttiva 95/46/CE in materia di adeguatezza, in vigore fino a quando non vengano modificate, sostituite o abrogate dalla stessa Commissione (art. 45, par. 9 del Regolamento UE 2016/679).

- Decisione di esecuzione (UE) 2021/1773 della Commissione del 28 giugno 2021 a norma della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio sull’adeguata protezione dei dati personali da parte del Regno Unito

- Andorra

- Argentina

- Australia PNR

- Canada

- Faer Oer

- Giappone

- Guernsey

- Isola di Man

- Israele

- Jersey

- Nuova Zelanda

- Svizzera

- Uruguay

- USA Privacy Shield*

- USA PNR

*La Corte di giustizia dell'Unione europea (CGUE) si è pronunciata il 16 luglio 2020 (c.d. "Sentenza Schrems II") in merito al regime di trasferimento dei dati tra l'Unione europea e gli Stati Uniti invalidando la decisione di adeguatezza del Privacy Shield, adottata nel 2016 dalla Commissione europea in seguito alla decadenza dell'accordo Safe Harbor. Nella stessa sentenza la CGUE ha inoltre ritenuta valida la decisione 2010/87 relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in Paesi terzi. Il Comitato Europeo per la Protezione dei Dati (EDPB) ha predisposto delle FAQ relative alla sentenza Schrems II e ai suoi effetti. PER APPROFONDIMENTI: https://www.garanteprivacy.it/temi/privacy-shield

 

Strumenti giuridicamente vincolanti tra autorità pubbliche
(art. 46, par. 2, lett. a)

I trasferimenti possono essere effettuati anche da autorità pubbliche o da organismi pubblici verso altre autorità pubbliche o organismi pubblici, o nei confronti di organizzazioni internazionali con analoghi compiti o funzioni, stabiliti in Paesi terzi. In tal caso i dati personali possono essere trasferiti:

sulla base di uno «strumento giuridicamente vincolante e avente efficacia esecutiva» (art. 46, par. 2, lett. a) del Regolamento UE 2016/679), quale un accordo amministrativo, di natura internazionale e di ambito bilaterale o multilaterale, ovvero

previa autorizzazione dell’autorità di controllo competente, mediante «disposizioni da inserire in accordi amministrativi tra autorità pubbliche o organismi pubblici che comprendono diritti effettivi e azionabili per gli interessati» (art. 46, par. 3, lett. b) del Regolamento UE 2016/679), quali ad esempio i protocolli d’intesa.
 

La prima autorizzazione ai sensi dell’art. 46, par. 3, lett. b), è stata resa dal Garante alla CONSOB  il 23 maggio 2019 per sottoscrivere un accordo amministrativo per il trasferimento di dati personali tra le autorità di vigilanza finanziaria dello Spazio economico europeo (SEE) e le autorità di vigilanza finanziaria al di fuori del SEE (doc. web n. 9119857).

 

Clausole tipo (art. 46, par. 2, lett. c) e lett. d) e clausole  contrattuali ad hoc (art. 46, par. 3, lett. a)

La Commissione europea o l’autorità di controllo competente previa approvazione della Commissione può stabilire che determinati strumenti contrattuali consentono di trasferire dati personali verso Paesi terzi o organizzazioni internazionali (art. 46, par. 2, lett. c) e lett. d).

In pratica, incorporando il testo delle clausole contrattuali in questione in un contratto utilizzato per il trasferimento, l’esportatore dei dati garantisce che questi ultimi saranno trattati conformemente ai principi stabiliti nel Regolamento anche nel Paese terzo o all’interno dell’organizzazione di destinazione. È importante sottolineare che le clausole tipo di protezione dati non ammettono emendamenti e devono essere sottoscritte dalle parti. Tuttavia, esse possono essere incorporate in un contratto più generale e vi si possono aggiungere clausole ulteriori purché non in conflitto, direttamente o indirettamente, con le clausole tipo così adottate (v. Considerando 109).

 

- Decisione di esecuzione (UE) 2021/914 della Commissione del 4 giugno 2021 relativa alle clausole contrattuali tipo per il trasferimento di dati personali verso paesi terzi a norma del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (Testo rilevante ai fini del SEE)

 

BCR (art. 47)

Si tratta di uno strumento volto a consentire il trasferimento di dati personali dal territorio dello Stato verso Paesi terzi nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune. Le Bcr costituiscono un meccanismo in grado di semplificare gli oneri amministrativi a carico delle società di carattere multinazionale con riferimento ai flussi intra-gruppo di dati personali.

Sono costituite da un documento contenente una serie di clausole (rules) che fissano i principi vincolanti (binding) espressamente individuati all’art. 47, paragrafi 1 e 2, del Regolamento UE 2016/679, al cui rispetto sono tenute tutte le entità (che agiscono in qualità di controller o di processor) appartenenti ad uno stesso gruppo (corporate).

I modelli di riferimento disponibili sono di due tipologie e differiscono a seconda del ruolo ricoperto dalle entità −titolari o responsabili− che esportano ed importano i dati all’interno del gruppo: le Bcr for Controller e le Bcr for Processor. In particolare, in quest’ultima ipotesi il cliente (titolare) sottoscrive un contratto generale di servizi (Service Level Agreement - SLA) con la società multinazionale (responsabile) al quale sono allegate le “Bcr for Processor”.

Per maggiori e più dettagliate informazioni in merito ai contenuti delle Bcr, si rinvia ai seguenti documenti del Gruppo art. 29:

- Wp 256 - Working Document setting up a table with the elements and principles to be found in Binding Corporate Rules - in caso di BCR for controller

- Wp 257 - Working Document setting up a table with the elements and principles to be found in Processor Binding Corporate Rules - in caso di BCR for processor

 

Procedura

Il gruppo richiedente deve compilare l’application form secondo quanto indicato nel documento WP 264, per le Bcr for controller, e nel documento WP 265, in ordine alle Bcr for processor, rivolgendosi alla c.d. Lead Authority, individuata sulla base dei criteri indicati nel paragrafo 1 del WP 263.

La procedura di approvazione delle Bcr, come definita nel WP 263, è infatti condotta dalla Lead Authority la quale dialoga, in rappresentanza delle Autorità di controllo, con il gruppo multinazionale interessato al fine di predisporre un progetto di decisione condiviso da sottoporre al Comitato europeo per la protezione dei dati ai sensi dell’art. 64, par. 1, lett. f) del Regolamento UE 2016/679.

Qualora il Garante sia la Lead Authority della procedura, l’istanza −cui deve essere allegato il testo di cui si compongono le Bcr con i rispettivi allegati in lingua inglese e in lingua italiana (quest´ultima asseverata da traduzione giurata)− è trasmessa all’Autorità ai sensi dell’art. 46, par. 1, lett. b) e non è previsto il versamento di alcun diritto di segreteria.

La fase istruttoria presso l’Autorità può comportare la richiesta di maggiori informazioni o di ulteriore documentazione o rendere opportuna l’organizzazione di un incontro presso l´Autorità.

Al termine del procedimento, la cui durata è di 18 mesi fatto salvo quanto previsto dall’art. 11 del reg. n. 2/2019, il Garante comunica al richiedente e alle altre Autorità di controllo interessate la decisione adottata.

Per quanto riguarda la procedura, occorre fare riferimento ai seguenti documenti del Gruppo art. 29:

- Wp 263 rev. 01 - Working Document Setting Forth a Co-Operation Procedure for the approval of “Binding Corporate Rules” for controllers and processors under the GDPR

- Wp 264 - Recommendation on the Standard Application for Approval of Controller Binding Corporate Rules for the Transfer of Personal Data

- Wp 265 - Recommendation on the Standard Application form for Approval of Processor Binding Corporate Rules for the Transfer of Personal Data

- Provvedimenti Bcr adottati già presenti sul sito del Garante

- EDPB - Register of approved binding corporate rules

 

Codici di condotta e meccanismi di certificazione (art. 46, lett. e) e lett. d)

Il Regolamento introduce nuovi strumenti per i trasferimenti internazionali: i titolari e i responsabili del trattamento potranno avvalersi, infatti, a determinate condizioni, anche di codici di condotta o meccanismi di certificazione senza che ciò comporti alcuna autorizzazione da parte dell’autorità competente.  I primi, purché approvati a norma dell’art. 40, possono costituire adeguati strumenti per il trasferimento, qualora accompagnati dall’«impegno vincolante ed esecutivo da parte del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati» (art. 46, par.2, lett. e) del Regolamento UE 2016/679); i meccanismi di certificazione purchè approvati a norma dell’art. 42, «unitamente all’impegno vincolante ed esigibile del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati» (art. 46, par.2, lett. f) del Regolamento UE 2016/679).

Si tratta di strumenti giuridici innovativi e il Comitato europeo della protezione dei dati ha adottato le linee-guida di seguito indicate allo scopo di individuare procedure e requisiti armonizzati in rapporto al loro impiego.

 

- Comitato europeo per la protezione dei dati - EDPB
Guidelines 04/2021 on codes of conduct as tools for transfers

 

Deroghe in specifiche situazioni (art. 49)

In via residuale e solo a determinate condizioni (specificatamente individuate per singola situazione), è possibile trasferire dati personali nell’ambito delle c.d. “deroghe” di cui all’art. 49 del del Regolamento UE 2016/679 (consenso, contratto, interesse pubblico, difesa in giudizio, interesse vitale, registro pubblico, cogente interesse legittimo del titolare). In merito, è opportuno considerare che il termine “deroga” include di per sé una connotazione di eccezionalità rispetto al principio dell’adeguatezza e alle altre garanzie e che, pertanto, l’ambito di operatività delle suddette deroghe deve essere soggetto ad un’interpretazione restrittiva. Un’analisi dettagliata dei presupposti di applicazione di tali deroghe è contenuta nel documento del Comitato europeo per la protezione dei dati che segue e al quale si rinvia.

Linee guida 2/2018 sulle deroghe di cui all’articolo 49 del Regolamento 2016/679, del 25 maggio 2018.

 

Mappa del sito

Temi