OSSERVATORIO PRIVACY

Il trasferimento dei dati personali in Paesi extra UE

| 03/10/2016 16:20


Avv. Cristiano Cominotto – Avv. Anna Minichiello – Dott. Francesco Curtarelli - AssistenzaLegalePremium.it

Il Regolamento UE 679/2016 (GDPR) è entrato in vigore lo scorso 25 maggio ed è rivolto in maniera vincolante a tutti gli Stati membri dell'Unione dal 25 maggio 2018.

Si è già detto in precedenza come lo stesso GDPR tenda ad estendere il proprio ambito di applicazione anche oltre i confini europei in nome di una reale ed effettiva tutela degli interessati, prevedendo che tutti i fornitori di servizi che promuovono la propria attività anche in Stati europei devono rispettare, nelle operazioni di trattamento dei dati personali degli interessati europei, il GDPR.

Tuttavia gli Stati non facenti parte dell'Unione non sono soggetti al rispetto delle disposizioni previste dal Regolamento e, di conseguenza, il livello di sicurezza, di garanzia e di tutela dei personal data può non corrispondere e non equivalere a quello europeo.

L'espansione del commercio e della cooperazione internazionale, la globalizzazione e la diffusione di piattaforme on-line rendono però sempre più comuni e frequenti flussi di dati verso paesi extra UE. Il legislatore europeo, per garantire comunque un livello di sicurezza adeguato, impone con gli artt. 44 e seguenti del GDPR determinate condizioni affinché un trasferimento dati verso paesi terzi possa essere effettuato.

"Qualunque trasferimento di dati personali oggetto di un trattamento o destinati ad essere oggetto di un trattamento dopo il trasferimento verso un paese terzo o un'organizzazione internazionale, compresi trasferimenti successivi di dati personali da un paese terzo verso un altro paese terzo, ha luogo solamente se il titolare del trattamento e il responsabile del trattamento rispettano le condizioni [previste dal Regolamento] … al fine di assicurare che il livello di protezione delle persone fisiche garantito dal GDPR non sia pregiudicato".

Vengono quindi previste tre situazioni "tipo" in cui è possibile trasferire i dati verso paesi terzi.

1.Trasferimento sulla base di una decisione di adeguatezza sul livello di protezione presa dalla Commissione europea. La valutazione di adeguatezza deve tener conto di precisi elementi espressamente previsti dall'art. 45 comma 2 del Regolamento. Deve essere poi svolto un riesame periodico di tale decisione almeno ogni quattro anni, al fine di mantenere sotto controllo l'effettiva esistenza di un livello di protezione adeguato e in linea con quanto previsto dal GDPR. Tali decisioni della Commissione devono essere pubblicate nella Gazzetta Ufficiale dell'UE e pubblicate sul sito della Commissione europea stessa. Una volta riconosciuto adeguato un determinato paese, tutti i trasferimenti verso quello Stato non devono più ottenere autorizzazioni specifiche di alcun tipo.

2.Trasferimento soggetto a garanzie adeguate. In questo caso il titolare o il responsabile del trattamento possono trasferire i dati personali verso un paese terzo solo se hanno fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi. Anche in questo caso vengono elencate dal Regolamento, in modo non tassativo, alcune garanzie che possono considerarsi adeguate: norme vincolanti di impresa, clausole contrattuali standard adottate dalla Commissione o dalle autorità di controllo, codici di condotta o certificazioni…

3.Norme vincolanti d'impresa (BCR – Binding Corporate Rules). Strumento volto a consentire il trasferimento verso paesi extra UE tra società facenti parte dello stesso gruppo d'impresa. Consistono in una serie di clausole contrattuali che dettano principi (in linea con il Regolamento 679/2016 e che assicurano un livello di protezione adeguato) vincolanti per tutte le società facenti parte del gruppo. Le BCR devono essere esaminate e approvate dall'autorità di controllo nazionale o europea che deve verificare la sussistenza dei contenuti minimi espressamente previsti dall'art. 47 del GDPR.

A queste tre situazioni esistono deroghe eccezionali previste tassativamente dal legislatore europeo. In particolare il trasferimento è comunque ammesso solo se l'interessato ha espressamente ed esplicitamente consentito al trasferimento, dopo essere stato informato dei possibili rischi (e del fatto che il trasferimento stesso non rientra in nessuna delle tre situazioni tipo di cui sopra), o quando tale trasferimento è necessario per l'esecuzione di un contratto a favore dell'interessato o per importanti motivi di ordine pubblico, interessi vitali o, infine, per accertare, esercitare o difendere un diritto in sede giudiziaria.

Da ultimo il trasferimento verso paesi extra UE è ammesso solo se non è ripetitivo, riguarda un numero limitato di interessati ed è necessario per il perseguimento di interessi legittimi cogenti del titolare del trattamento, su cui non prevalgono gli interessi o i diritti e le libertà dell'interessato, e qualora il titolare del trattamento abbia valutato tutte le circostanze relative al trasferimento e sulla base di tale valutazione abbia fornito garanzie adeguate relativamente alla protezione dei dati personali. In tali occasioni il titolare informa comunque l'autorità di controllo e, oltre alla solita informativa "standard", mette a conoscenza l'interessato del trasferimento e degli interessi legittimi cogenti perseguiti.

Al di fuori di tali situazioni ordinarie ed eccezionali, il trasferimento dei dati personali verso Paesi terzi non è mai consentito.

Vetrina