La disciplina del trasferimento dei dati personali verso paesi terzi ha assunto un ruolo sempre più centrale nel contesto degli adempimenti che le organizzazioni sono chiamate ad attuare per garantire un adeguato livello di protezione dei dati personali trattati.
Già in passato, abbiamo fornito un riepilogo sulle vicende riguardanti in particolar modo i trasferimenti di dati verso gli USA, oltre che una panoramica complessiva sulle normative in materia di protezione dei dati attuate in alcuni dei paesi terzi maggiormente impattati dalle regole previste dal GDPR.
Le FAQ che seguono hanno pertanto l’obiettivo di chiarire:
- cosa si intende per trasferimento dei dati personali;
- quali sono le principali regole operative per assicurare il corretto trasferimento dei dati;
- le novità oggi in vigore, in particolar modo il Data Privacy Framework per i trasferimenti di dati verso gli USA.
1. COSA SI INTENDE PER “TRASFERIMENTO DI DATI PERSONALI”?
Il Regolamento UE 679/2016 (“GDPR”) non contiene una definizione giuridica della nozione di “trasferimento dei dati verso paesi terzi o organizzazioni internazionali”. Per chiarire l’applicabilità del Capo V del GDPR, con le Linee guida 05/2021 sull’interazione tra l’art. 3 e la disciplina dei trasferimenti, l’European Data Protection Board (“EDPB”) ha pertanto individuato tre criteri cumulativi in base ai quali un trattamento si considera un trasferimento di dati:
- il titolare del trattamento o il responsabile del trattamento che trasferisce (“esportatore”) è soggetto al GDPR per il trattamento in questione;
- l'esportatore comunica mediante trasmissione o rende altrimenti disponibili a un altro titolare del trattamento, contitolare del trattamento o responsabile del trattamento ("importatore"), i dati personali oggetto del trattamento;
- l'importatore si trova in un paese terzo, indipendentemente dal fatto che l'importatore sia o meno soggetto al GDPR per il trattamento in questione a norma dell'articolo 3, oppure è un'organizzazione internazionale.
Ricordiamo inoltre che per “paese terzo” si intende uno stato situato al di fuori dello Spazio Economico Europeo (“SEE”), costituito dagli Stati membri dell’Unione Europea più l’Islanda, il Liechtenstein e la Norvegia.
A titolo esemplificativo, rientrano tra i paesi terzi gli Stati Uniti, la Cina, il Regno unito, la Svizzera, etc.
Perché si verifichi un trasferimento, inoltre, non occorre necessariamente che avvenga una trasmissione diretta dei dati a paesi extra SEE, in quanto anche l’accesso remoto da parte di un’entità di un paese terzo a dati situati nel SEE è considerato un trasferimento ai sensi del GDPR.
2. QUALI SONO LE NORME CHE DISCIPLINANO IL TRASFERIMENTO DI DATI?
Il trasferimento di dati a livello europeo viene disciplinato dal Capo V del Regolamento UE 679/2016.
L’art. 44 del GDPR, intitolato “Principio generale per il trattamento”, stabilisce che qualsiasi trasferimento di dati personali verso paesi terzi o verso organizzazioni internazionali può avvenire solo se vengono rispettate determinate condizioni, al fine di garantire un livello di protezione dei dati adeguato. In sostanza, l’obiettivo del GDPR è quello di garantire che il livello di protezione delle persone fisiche non sia pregiudicato dai trasferimenti di dati in Paesi in cui il GDPR non trova applicazione.
Il trasferimento dei dati è inoltre uno dei contenuti obbligatori dell’informativa privacy resa ai sensi degli artt. 13 e 14 del GDPR, oltre che del registro dei trattamenti di cui all’art. 30 GDPR.
3. POSSO TRASFERIRE I DATI PERSONALI VERSO UN PAESE TERZO?
Sì. Il trasferimento di dati personali verso un paese extra SEE è lecito solo se vengono rispettate le condizioni stabilite dal Capo V del GDPR.
Il trasferimento è lecito quando ricorre almeno una delle seguenti condizioni:
- la Commissione Europea ha deciso che il paese terzo, un territorio o uno o più settori specifici all'interno del paese terzo, o l'organizzazione internazionale in questione garantiscono un livello di protezione adeguato (cd. “decisione di adeguatezza”);
- l’adozione tra le parti di misure di garanzie adeguate come le Clausole Contrattuali Standard (“SCC”) adottate dalla Commissione Europea e/o l’adozione di Norme Vincolanti d’Impresa (“BCR”);Vedi FAQ 5
- la presenza di altri strumenti come i codici di condotta, meccanismi di certificazione, clausole contrattuali ad hoc etc.
4. CHE COS’È UNA DECISIONE DI ADEGUATEZZA?
La decisone d’adeguatezza è il provvedimento con cui la Commissione Europea stabilisce se un paese terzo, un territorio o uno o più settori specifici all’interno del paese terzo, oppure un’organizzazione internazionale, garantiscono un livello di protezione dei dati personali equivalente a quello previsto dal GDPR.
Tale decisione è disciplinata dall’art. 45 del GDPR che indica i criteri con cui la Commissione valuta l’adeguatezza del paese importatore, quali:
- il rispetto dei diritti fondamentali;
- il quadro normativo del paese terzo;
- l’esistenza e il funzionamento di un’autorità di controllo;
- la possibilità per gli interessati di esercitare i propri diritti.
Quando viene adottata, la decisione di adeguatezza consente ai soggetti cui si applica il GDPR di effettuare un trasferimento libero e sicuro dei dati personali verso soggetti o organizzazioni che si trovano fuori dal SEE e riconosciuti come “adeguati”, senza la necessità di richiedere specifiche autorizzazioni o garanzie aggiuntive.
Tuttavia, per gli USA la decisione di adeguatezza presenta un funzionamento differente rispetto agli altri paesi terzi.Vedi FAQ 8
Le decisioni di adeguatezza attualmente adottate dalla Commissione Europea sono disponibili anche sulla pagina del Garante per la Protezione dei Dati Personali (“GPDP”).
5. POSSO TRASFERIRE DATI PERSONALI SENZA UNA DECISIONE DI ADEGUATEZZA?
Sì. Nei casi in cui un paese terzo non sia stato giudicato “adeguato” dalla Commissione Europea, il titolare o il responsabile del trattamento può trasferire dati personali verso un paese terzo o un'organizzazione internazionale solo se ha fornito garanzie adeguate e sempre a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi.
Le “garanzie adeguate” previste dal GDPR sono le seguenti:
- le Clausole Contrattuali Standard (“SCC”): si tratta di modelli di clausole contrattuali approvate dalla Commissione Europea che vengono inserite negli accordi contrattuali in essere tra le parti coinvolte, cioè tra il soggetto esportatore e l’importatore situato nel paese terzo; tali clausole definiscono gli obblighi contrattuali relativi alle misure di sicurezza, ai diritti degli interessati e ai meccanismi di controllo, utili ai fini dell’adeguamento del trasferimento al livello di protezione previsto dal GDPR.
Le SCC sono adattabili alle diverse circostanze del trasferimento derivanti dai differenti ruoli ricoperti dall’esportatore e dall’importatore in relazione al trattamento di dati personali interessato. Esse infatti prevedono differenti moduli, adottabili a seconda che si verifichi un trasferimento:
- da titolare a titolare;
- da titolare a responsabile;
- da responsabile a responsabile;
- da responsabile a titolare del trattamento, nel caso in cui il responsabile del trattamento si trovi nell'UE e il titolare del trattamento si trovi in un paese terzo.
- Le Norme vincolanti d’impresa (“BCR”): si tratta di uno strumento che permette il trasferimento di dati personali tra società facenti parte dello stesso gruppo imprenditoriale, anche se situate in paesi terzi. Le BCR consistono in un insieme di clausole contrattuali che stabiliscono le regole obbligatorie per tutte le società del gruppo. Ai fini della loro validità, tali norme vincolanti devono essere sottoposte all’approvazione dell’autorità di controllo competente.
6. LE CLAUSOLE CONTRATTUALI STANDARD O LE NORME VINCOLANTI D’IMPRESA SONO DA SOLE SUFFICIENTI PER IL TRASFERIMENTO DEI DATI?
No. Le Clausole contrattuali standard e le Norme vincolanti d’impresa non sono da sole sufficienti per garantire la conformità al GDPR dei trasferimenti di dati verso paesi terzi.
L’EDPB con le Raccomandazioni 1/2020 ha infatti ricordato che le SCC, come anche le BCR, costituiscono previsioni di natura contrattuale che hanno quindi valenza tra le parti che le stipulano. A tale riguardo, quando si intende svolgere un trasferimento di dati in paesi non giudicati adeguati, occorre che il Titolare o il responsabile svolga un cd. “Transfer Impact Assessment” (“TIA”) volto a valutare la conformità del trasferimento al GDPR sulla base dei seguenti elementi:
- circostanze specifiche del trasferimento (tipologia di dati; categorie di interessati; misure di sicurezza tecniche ed organizzative adottate etc.);
- leggi del paese di destinazione: il titolare verifica se nel paese destinatario esistono norme o prassi in grado di inficiare l’applicabilità in concreto delle clausole contrattuali;
- le garanzie aggiuntive messe in atto per proteggere i dati personali.
La TIA in sostanza rappresenta un utilissimo strumento per valutare se i trasferimenti di dati personali effettuati presso la propria organizzazione siano conformi a quanto stabilito dalla disciplina applicabile.
7. POSSO TRASFERIRE DATI PERSONALI SENZA UNA DECISIONE DI ADEGUATEZZA, LE CLAUSOLE CONTRATTUALI STANDARD O LE NORME VINCOLANTI D’IMPRESA?
Sì, in base a quando stabilito dall’art. 49 del GDPR, in mancanza di una decisione d’adeguatezza, di SCC o di BCR, è possibile effettuare il trasferimento verso paesi terzi solo in presenza di specifiche e limitate deroghe, quali:
- il consenso esplicito dell’interessato al trasferimento, informato dei rischi del trattamento;
- il trasferimento è necessario per l’esecuzione di un contratto tra Titolare e Responsabile del trattamento, oppure per l’esecuzione di misure precontrattuali;
- il trasferimento è necessario per la conclusione o l’esecuzione di un contratto stipulato tra Titolare del trattamento e un’altra persona giuridica a favore dell’interessato;
- il trasferimento è necessario per motivi di interesse pubblico;
- il trasferimento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria;
- il trasferimento è necessario per la tutela degli interessi vitali dell’interessato o di altre persone, qualora l’interessato non sia capace di prestare il consenso;
- il trasferimento è effettuato sulla base di un registro che, in base alla normativa dell’Unione o degli Stati membri, è destinato ad offrire informazioni al pubblico ed è consultabile da chiunque dimostri un interesse legittimo;
- nel caso in cui non sia possibile trasferire dati sulla base di una decisione di adeguatezza o in presenza di una delle garanzie adeguate di cui sopra (es. SCC o BCR), e nessuna delle deroghe di cui al presente punto risulti applicabile, il trasferimento verso un paese terzo o un'organizzazione internazionale è ammesso soltanto se non è ripetitivo, riguarda un numero limitato di interessati, è necessario per il perseguimento degli interessi legittimi cogenti del titolare del trattamento, su cui non prevalgano gli interessi o i diritti e le libertà dell'interessato, e qualora il titolare e del trattamento abbia valutato tutte le circostanze relative al trasferimento e sulla base di tale valutazione abbia fornito garanzie adeguate relativamente alla protezione dei dati personali.
Si precisa che le deroghe di cui all’art. 49 del GDPR rappresentano un caso di eccezionalità e non possono pertanto diventare, nella pratica, "la regola” di legittimità dei trasferimenti dei dati. Per un approfondimento, ecco le linee guida 2/2018 dell’EDPB.
8. E SE TRASFERISCO DATI PERSONALI NEGLI USA?
Ad oggi, i trasferimenti di dati verso gli USA sono “coperti” dal Data Privacy Framework (“DPF”), una decisione di adeguatezza approvata dalla Commissione Europea il 10 luglio 2023 che prevede un particolare meccanismo di funzionamento. Infatti, la decisione permette alle organizzazioni europee di trasferire dati personali verso società statunitensi a patto che queste ultime abbiano aderito al DPF, garantendo così il rispetto degli standard di protezione dei dati previsti dal GDPR.
Questo accordo ha sostituito il precedente “Privacy Shileld”, invalidato dalla Corte di Giustizia dell’UE con la sentenza “Schrems II” del 16 luglio 2020 che aveva ritenuto insufficienti le tutele poste in essere dagli Stati Uniti, in particolare riguardo all’accesso ai dati da parte delle agenzie di intelligence americane.
Quindi, laddove sorga la necessità di trasferire i dati personali verso gli USA, occorrerà verificare innanzitutto che il destinatario abbia una certificazione attiva e valida, verificando quindi che abbia aderito al Data Privacy Framework (le adesioni sono verificabili sul sito web https://www.dataprivacyframework.gov).
9. AD ESEMPIO, HO UN CLOUD PROVIDER CON SEDE LEGALE IN USA: COSA DEVO FARE?
Innanzitutto, devi verificare se il trattamento oggetto del servizio comporta anche un trasferimento di dati extra SEE.
Ad esempio, può capitare di ricorrere a fornitori di servizi cloud o ad altri responsabili del trattamento che hanno sede legale in USA. Spesso tali fornitori concedono la possibilità di conservare i dati presso server ubicati in UE. Al fine di comprendere se viene attuato un trasferimento di dati personali, occorrerà verificare se il servizio demandato al provider prevede anche che acceda ai dati personali, anche da remoto, pur se conservati in UE.
In caso affermativo, trattandosi di trasferimento di dati personali presso gli USA, dovremo valutare se il fornitore statunitense ha aderito al Data Privacy Framework, come da FAQ 8.
In caso contrario, il trasferimento non potrà essere considerato lecito e sarà compito del Titolare del trattamento individuare e adottare uno strumento alternativo previsto dal GDPR per garantire un adeguato livello di protezione dei dati personali o, in assenza, interrompere il trasferimento e ricorrere ad un altro fornitore.
10. CHE COSA SUCCEDE IN CASO DI TRASFERIMENTO ILLECITO?
In caso di violazione delle norme di cui al Capo V del GDPR si possono configurare conseguenze molto gravi, sia di natura amministrativa che penale.
Le sanzioni pecuniarie previste per la violazione delle norme sul trasferimento possono arrivare fino a 20 milioni di euro o al 4% del fatturato annuo mondiale dell’impresa, a seconda della gravità della violazione (art. 83 GDPR).
Inoltre, ai sensi dell’art. 167 co. 3 del “Codice Privacy”, è prevista la reclusione da uno a tre anni per chi, al fine di trarre per sé o per altri profitto o per arrecare un danno all’interessati, procede al trasferimento illecito dei dati personali verso un paese terzo.
Oltre a queste sanzioni, l’Autorità di controllo può imporre misure correttive, come la sospensione del trasferimento verso il paese terzo, e il titolare del trattamento può essere obbligato a risarcire i danni subiti dagli interessati.