Conoscere il quadro normativo in materia di protezione dei dati fuori dall’UE per un trasferimento lecito

Breve analisi delle ultime novità nel Regno Unito, negli Stati Uniti e nella Repubblica popolare cinese

In un precedente articolo, abbiamo fornito una breve panoramica sulle normative in materia di protezione dei dati personali adottate in Paesi diversi dall’Unione Europea.

Negli ultimi mesi, abbiamo assistito ad ulteriori sviluppi che hanno integrato e talvolta modificato gli assetti normativi adottati da Paesi quali Regno Unito, Stati Uniti e Cina che meritano particolare interesse, soprattutto considerando l’impatto che tali novità potrebbero avere su eventuali trasferimenti di dati personali da e verso tali Paesi.

Vediamo allora le ultime novità rilevanti per ciascun Paese di riferimento.

REGNO UNITO

Data protection and digital information bill

Lo scorso 8 marzo il Governo inglese ha presentato il nuovo Data protection and digital information bill, attualmente in prima lettura in Parlamento alla House of Commons.

Consapevole dell’importanza dei dati per alimentare la crescita economica in tutte le aree della società, dallo sblocco delle scoperte mediche al commercio online, allo sviluppo e uso di tecnologie innovative come l’intelligenza artificiale, il disegno di legge si pone come intento dichiarato quello di introdurre un quadro semplice, chiaro e favorevole alle imprese che non dovrà essere difficile o costoso da implementare, prendendo i migliori elementi del GDPR e fornendo alle aziende una maggiore flessibilità su come conformarsi alle nuove leggi sui dati.

Le proposte contenute nel disegno di legge non cambiano i principi dell’attuale regime del Regno Unito mutuato dal GDPR europeo, ma alcuni aspetti vengono toccati in maniera determinante.

Vediamone alcuni.

È previsto un elenco di “interessi legittimi” riconosciuti ex lege, per il cui utilizzo come base giuridica del trattamento il Titolare non dovrà effettuare alcuna valutazione ulteriore.  L’attuale disegno di legge prevede che il marketing diretto e i trasferimenti di dati infragruppo possano essere considerati come interesse legittimo, è comunque richiesto un bilanciamento dei diritti degli interessati con  l’interesse del  Titolare ma in linea di massima l’interesse commerciale è considerato legittimo.

Solo le organizzazioni che svolgono attività di trattamento che possono comportare “un rischio elevato per i diritti e le libertà degli interessati” saranno obbligate a redigere e conservare il registro delle attività di trattamento; anche le occasioni in cui è richiesta una valutazione d’impatto sulla protezione dei dati (DPIA) e le informazioni da fornire sono limitate.

È prevista l’eliminazione della figura del Data Protection Officer (DPO) e al suo posto verrà nominato un Senior Responsible Individual, che non dovrà più essere necessariamente un soggetto dotato di autonomia rispetto al processo decisionale interno dell’organizzazione.

È prevista la possibilità di addebitare una tariffa ragionevole per determinate richieste di accesso dell’interessato laddove le richieste siano vessatorie o eccessive o di rifiutare la richiesta.

La proposta di legge contiene una definizione di “ricerca scientifica” intesa come “qualsiasi ricerca che possa ragionevolmente essere descritta come scientifica, finanziata pubblicamente o privatamente e svolta come attività commerciale o non commerciale“, con il chiarimento che la ricerca in materia di sanità pubblica è ricerca scientifica solo se è nell’interesse pubblico.

Nelle previsioni del Governo britannico la riforma dovrebbe sbloccare 4,7 miliardi di sterline di risparmi e garantire contemporaneamente che  saranno mantenuti gli standard di protezione dei dati e che le imprese del Regno Unito possano continuare a commerciare liberamente con i partner globali, compresa l’UE.

Attualmente il Regno Unito gode, in seguito alla Brexit, di una decisione di adeguatezza adottata dalla Commissione europea nel 2021 e valida per 4 anni.

Vedremo se in seguito all’adozione del Data protection and digital information bill, l’Unione europea riterrà il sistema britannico ancora adeguato.

STATI UNITI D’AMERICA

Gli ultimi aggiornamenti sul trasferimento dei dati in USA

Il trasferimento di dati personali verso gli Stati Uniti è un tema caldo, e tuttora irrisolto.

A distanza di due anni dalla sentenza Schrems II della Corte di giustizia dell’Unione europea (CGUE), infatti, non è stato ancora adottato uno strumento definitivo che permetta il trasferimento dei dati oltreoceano ed assicuri, al contempo, il mantenimento del livello di protezione garantito nell’Unione europea (Per un approfondimento: Whitepaper: Trasferimento dei dati in paesi extra SEE post Schrems II).

Dallo scorso anno, però, i negoziati hanno permesso un nuovo dialogo tra UE-USA, che ha portato la Commissione europea alla redazione di una bozza di Decisione di adeguatezza.

Le principali tappe di questo percorso sono riportate di seguito.

Mentre le conclusioni del Parlamento europeo tendono a “bocciare” la bozza di Decisione di adeguatezza, le osservazioni dell’European Data Protection Board (o EDPB, il Comitato europeo per la protezione dei dati) sembrano più promettenti.

L’EDPB, infatti, ha valutato positivamente i miglioramenti sostanziali che l’Executive Order offre rispetto al quadro giuridico precedente. Tuttavia, viste le preoccupazioni che l’EO ha sollevato e visti i dubbi interpretativi e applicativi, l’EDPB ha chiesto alla Commissione di fornire chiarimenti al fine di consolidare le basi del progetto di Decisione di adeguatezza e di garantire un attento monitoraggio dell’attuazione concreta di questo nuovo quadro giuridico.

Il prossimo passo spetta quindi alla Commissione europea.

REPUBBLICA POPOLARE CINESE

Il trasferimento dei dati al di fuori del territorio cinese

Come già anticipato in un nostro precedente articolo, nel 2021 la Repubblica popolare Cinese ha adottato la Personal Information Protection Law (“PIPL”), normativa in materia di protezione dei dati personali che, per alcuni aspetti, ricalca la normativa europea in materia di protezione dei dati.

Il Capitolo III (artt. 38-43) della PIPL disciplina in particolare i trasferimenti di dati al di fuori del territorio cinese, stabilendo le condizioni e gli adempimenti necessari a potervi procedere.

L’art. 38 PIPL stabilisce in particolar modo gli adempimenti che le organizzazioni che intendano trasferire dati devono rispettare, in alternativa:

1. Superare un security assessment condotto dal Cyberspace Administration of China (“CAC”), conformemente all’art. 40 della PIPL e alle misure per la valutazione sulla sicurezza del trasferimento dei dati (“Measures for Data Export Security Assessment”), in vigore dal 1° settembre 2022;
2. Ottenere una certificazione da parte di un ente specializzato che attesti la conformità con le disposizioni CAC in materia di data protection;
3. Sottoscrivere il “Contratto Standard” con il destinatario dei dati, come elaborato dal CAC, assimilabile alle Clausole Contrattuali Standard previste nel GDPR;
4. Rispettare altre condizioni previste da leggi e regolamenti del CAC.

Relativamente al punto 3, il CAC ha recentemente pubblicato le misure contrattuali standard per il trasferimento dei dati, applicabili dal 1° giugno 2023, specificando le condizioni e le modalità della loro stipula. I titolari che abbiano avviato trasferimenti di dati prima di tale scadenza dovranno adeguarsi entro il 1° dicembre 2023. 

I titolari del trattamento potranno esportare dati personali all'estero ricorrendo al contratto standard solo laddove soddisfino contemporaneamente le seguenti condizioni:

1. non siano operatori di infrastrutture informatiche critiche;
2. trattino dati personali di meno di 1 milione di persone;
3. Dal 1° gennaio dell'anno precedente, non abbiano trasferito dati personali riferiti a più di 100.000 interessati;
4. Dal 1° gennaio dell'anno precedente, non abbiano trasferito dati personali “particolari” riferiti a più di 10.000 interessati.

A differenza delle SCC europee, lo standard cinese non prevede moduli applicabili ai diversi ruoli privacy eventualmente assunti dall’importatore e dall’esportatore come è invece previsto dalle Clausole Contrattuali Standard (“SCC”) recentemente adottate dalla Commissione Europea per i trasferimenti di dati in Paesi extra SEE.   

Le società che intendano stipulare il contratto standard per trasferire dati dovranno effettuare in via preliminare la Personal Information Protection Impact Assessment. Tale valutazione d’impatto ricalca a grandi linee il Transfer Impact Assesment che i titolari/responsabili del trattamento europeo sono chiamati a svolgere prima di ricorrere alle clausole contrattuali standard, come previsto nella Sentenza Schrems II della Corte di Giustizia europea e dalle successive Raccomandazioni 01/2020 e 02/2020 dell’European Data Protection Board.

L’autovalutazione sull’impatto del trasferimento dei dati previsto dalla disciplina cinese dovrà riguardare in particolar modo:

• la legalità, la legittimità e la necessità dell’esportazione dei dati e lo scopo, l'ambito e il metodo del trattamento dei dati da parte del destinatario all'estero;
• la portata, l'ambito, il tipo e la sensibilità dei dati oggetto di trasferimento e i rischi che possono derivare per la sicurezza nazionale, gli interessi pubblici e i diritti e gli interessi legittimi degli interessati;
• le responsabilità e gli obblighi assunti dal destinatario dei dati e le misure tecniche e organizzative che il destinatario deve adottare per garantire l’adempimento di tali obblighi e la sicurezzadel trasferimento;
• i rischi che i dati vengano manomessi, distrutti, divulgati, persi, trasferiti o acquisiti o utilizzati illegalmente durante e dopo l'esportazione dei dati;
• l’impatto che le normative applicabili al destinatario dei dati possono avere sull’esecuzione e sull’efficacia del contratto standard.

È inoltre previsto che i titolari ottengano il consenso specifico degli interessati al trasferimento dei loro dati personali (art. 39 PIPL).

L’analisi dell’impatto del trasferimento unitamente allo Standard Contract sottoscritto devono essere depositati presso l’ufficio provinciale del CAC entro 10 giorni dalla sottoscrizione dello stesso.