L'ABC del GDPR: gli strumenti per il trasferimento extra-UE dei dati personali
- Vanessa Maria Cunico
- 11 set 2024
- Tempo di lettura: 4 min
1. Inquadramento generale
Dal 25 maggio 2018, con l'entrata in vigore del regolamento UE 679/2016, meglio noto come GDPR (General Data Protection Regulation), il trasferimento dei dati personali ha acquisito una rilevanza fondamentale sia dal punto di vista economico che della tutela dei diritti fondamentali. Il Regolamento, applicandosi direttamente senza necessità di adeguamenti nazionali, ha cercato di unificare una regolamentazione che era frammentaria nei vari Stati membri.
I dati personali possono essere trasferiti verso Paesi al di fuori dello Spazio economico europeo (cosiddetti Paesi terzi) o verso organizzazioni internazionali, a condizione che la Commissione europea abbia emesso una decisione che riconosca un livello di protezione adeguato al paese o l'organizzazione in questione, come stabilito dall'articolo 45 del regolamento UE 679/2016.
Il GDPR considera il trasferimento dei dati come un trattamento che può pregiudicare i dati delle persone fisiche. Pertanto, deve essere fondato su una base giuridica, eseguito nel rispetto dei principi del GDPR, inserito nei registri di compliance e comunicato agli interessati.
2. Gli strumenti per il trasferimento
I principali strumenti impiegati per il trasferimento sono i seguenti.
La Decisione di adeguatezza: ai sensi dell’art. 45, la Commissione UE, attraverso l'adozione di una decisione di adeguatezza, certifica che il livello del paese verso cui i dati sono trasferiti è «sostanzialmente equivalente» a quello della UE, dunque, i dati possono essere trasferiti senza ulteriori aggravi.
Le Binding corporate rules (BCR): si tratta di uno strumento, applicabile a grandi gruppi di imprese, che permette il trasferimento di dati personali dal territorio dello stato verso Paesi terzi nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune. Esse si presentano come un documento contenente una serie di clausole che fissano principi vincolanti, espressamente individuati all’art. 47, paragrafi 1 e 2, l GDPR; le clausole devono essere approvate dall’Autorità di controllo. Le BCR rappresentano un sistema che semplifica gli obblighi amministrativi per le multinazionali riguardo ai trasferimenti interni di dati personali.
Le Standard contractual clauses (SCC): sono adottate dalla Commissione o da un’Autorità di controllo e approvate dalla Commissione. Esse sono incorporate in un contratto di trasferimento dati, non ammettono emendamenti e devono essere sottoscritte dall’importatore e dall’esportatore dei dati, i quali devono garantire che questi ultimi saranno trattati conformemente ai principi stabiliti nel Regolamento anche nel paese terzo o all’interno dell’organizzazione di destinazione.
Le deroghe previste dell'art. 49: oltre alle decisioni di adeguatezza e alle garanzie adeguate, l'art. 49 del GDPR prevede ulteriori presupposti legittimanti per il trasferimento dei dati:
1. esplicito consenso dell'interessato, debitamente informato sui rischi connessi al trasferimento;
2. trasferimento necessario per eseguire un contratto;
3. trasferimento eseguito da un registro che fornisce informazioni al pubblico;
4. trasferimento per motivi di interesse pubblico;
5. trasferimento necessario per accertare, esercitare o difendere un diritto in sede giudiziaria;
6. trasferimento necessario per salvaguardare gli interessi vitali dell'interessato.
3. Le clausole contrattuali standard
Nella prassi, le Clausole contrattuali standard (SCC) rappresentano lo strumento maggiormente diffuso, in quanto facilmente incorporabili nei contratti di trasferimento dati. La Commissione europea ha aggiornato le SCC nel mese di giugno del 2021 con la decisione di esecuzione (UE) 2021/914, allineandole maggiormente con il GDPR.
Le principali novità includono:
una revisione complessiva e un aggiornamento generale in linea con il GDPR;
esempi di possibili misure supplementari, come la crittografia, che gli importatori ed esportatori dei dati possono adottare.
Talvolta può capitare che le SCC da sole non siano sufficienti a garantire un adeguato livello di protezione al trasferimento, pertanto, sarà necessario adottare delle misure supplementari. La valutazione di tali misure spetta al titolare del trattamento, che solitamente è il soggetto giuridico che esporta i dati verso il paese terzo. Inoltre, il titolare del trattamento deve essere in grado di dimostrare le scelte effettuate in materia di trasferimento dati, in linea con il principio di accountability.
Misure supplementari
Il 10 novembre 2020, il Comitato europeo per la protezione dei dati personali (EDPB) ha pubblicato le Raccomandazioni 1/2020, ribadendo la necessità di garantire che i dati personali trasferiti godano di un livello di protezione sostanzialmente equivalente. Questo richiede una valutazione caso per caso della situazione nel paese terzo e, l'eventuale adozione di misure integrative (le c.d. misure supplementari).
L'EDPB ha delineato un cronoprogramma dei passi da compiere per ogni titolare del trattamento, attraverso un Transfer Impact Assessment (TIA), per valutare gli esportatori dei dati, debbano implementare misure supplementari per trasferire lecitamente i dati al di fuori dell'Unione europea:
1. mappatura di tutti i trasferimenti di dati personali verso Paesi terzi;
2. identificazione e verifica dello strumento su cui si basa il trasferimento;
3. valutazione del livello di protezione offerto dalla legislazione del paese terzo e dallo strumento di trasferimento individuato;
4. individuazione e adozione di eventuali misure supplementari, sia tecniche che organizzative, per garantire un livello di protezione equivalente a quello dell'UE;
5. esecuzione dei passaggi procedurali in relazione alle misure individuate;
6. rivalutazione periodica del livello di protezione dei dati trasferiti in Paesi terzi e monitoraggio degli sviluppi normativi in quegli ordinamenti.
4. Giurisprudenza sul trasferimento dei dati a Paesi terzi
La maggior parte dei problemi relativi al trasferimento dati si verifica con i servizi cloud con sede e server negli USA, come Google, Amazon, Meta e Microsoft, e ora anche con il mondo dell'IA, come OpenAI .Le differenze tra il quadro normativo UE e quello USA sono rilevanti e hanno portato all'invalidazione di due decisioni di adeguatezza da parte della Corte di giustizia dell'UE: il Safe Harbor e il Privacy Shield.
Per saperne di più su queste storiche pronunce giurisprudenziali, leggi i nostri articoli a riguardo:
Comments