Trasferimento di dati personali all'estero
Trasferimento di dati personali
all´estero
I trasferimenti di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo (SEE, ossia UE + Norvegia, Liechtenstein, Islanda) o verso un’organizzazione internazionale sono consentiti a condizione che l’adeguatezza del Paese terzo o dell’organizzazione sia riconosciuta tramite decisione della Commissione europea (art. 45 del Regolamento UE 2016/679).
In assenza di tale decisione, il trasferimento è consentito ove il titolare o il responsabile del trattamento forniscano garanzie adeguate che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati (art. 46 del Regolamento UE 2016/679). Al riguardo, possono costituire garanzie adeguate:
senza autorizzazione da parte del Garante:
• gli strumenti giuridici vincolanti ed esecutivi tra soggetti pubblici (art. 46, par. 2, lett. a);
• le norme vincolanti d’impresa (art. 46, par. 2, lett. b)
• le clausole tipo (art. 46, par. 2, lett. c e lett. d)
• i codici di condotta (art. 46, par. 2, lett. e)
• i meccanismi di certificazione (art. 46, par. 2, lett. f)
previa autorizzazione del Garante:
• le clausole contrattuali ad hoc (art. 46, par. 3, lett. a)
• gli accordi amministrativi tra autorità o organismi pubblici (art. 46, par. 3, lett. b)
In assenza di ogni altro presupposto, è possibile trasferire i dati personali in base ad alcune deroghe che si verificano in specifiche situazioni (art. 49 del Regolamento UE 2016/679).
DOCUMENTI EDPB
- Raccomandazioni 2/2020 relative alle garanzie essenziali europee per le misure di sorveglianza
- FAQ relative alla sentenza Schrems e ai suoi effetti
Decisioni di adeguatezza (art. 45)
La Commissione europea può stabilire, valutati gli elementi indicati nell’art. 45, par. 2 del Regolamento UE 2016/679 e sulla base di un procedimento che prevede il parere del Comitato europeo per la protezione dei dati, che il Paese terzo (ma anche un territorio o un settore specifico al suo interno) o l’organizzazione internazionale garantiscano un livello di protezione adeguato e che pertanto è possibile trasferirvi dati personali. Il Regolamento prevede un’attività di monitoraggio da parte della Commissione mediante riesame delle decisioni a cadenza periodica, almeno ogni quattro anni. Tale attività può concludersi con una modifica della decisione o in altre circostanze con la sospensione o persino con la sua revoca, (art. 45, paragrafi 3-5 del Regolamento UE 2016/679).
Di seguito sono riportate le decisioni sinora adottate ai sensi della Direttiva 95/46/CE in materia di adeguatezza, in vigore fino a quando non vengano modificate, sostituite o abrogate dalla stessa Commissione (art. 45, par. 9 del Regolamento UE 2016/679).
EU-US Data Privacy Framework
La Commissione europea ha adottato il 10 luglio 2023 una decisione in merito al cosiddetto EU-US Data Privacy Framework, l’accordo che regolamenta il trasferimento di dati personali tra Unione europea e USA.
Quest’ultimo tutela i diritti fondamentali degli individui nell´UE le cui informazioni personali vengano trasferite negli Stati Uniti ad imprese che si sono certificate aderendo al Data Privacy Framework.
La nuova disciplina prevede:
- obblighi di protezione stringenti per le imprese nell’UE/EEA che trasferiscono i dati personali;
- garanzie vincolanti in materia di accesso ai dati da parte dei soggetti pubblici statunitensi per finalità di intelligence e law enforcement;
- strumenti di tutela per gli interessati quali il ricorso gratuito a organismi indipendenti di risoluzione delle controversie o la possibilità di rivolgersi alle Autorità europee di protezione dei dati. Gli interessati, inoltre, indipendentemente dallo strumento utilizzato per trasferire i dati personali negli Stati Uniti, possono presentare un reclamo al Garante per avvalersi del nuovo meccanismo di ricorso nel settore della sicurezza nazionale;
- il riesame congiunto, a cadenza periodica, dell’accordo per monitorarne l’attuazione.
RIFERIMENTI NORMATIVI E DOCUMENTI RILEVANTI
- Regolamento interno del Panel delle autorità di protezione dei dati in UE secondo il EU-US Data Privacy Framework - versione inglese
- Rules of Procedure on the cooperation and respective roles of national SAs and the EDPB Secretariat
FAQ
MODELLI E INFORMAZIONI UTILI
Reclami relativi agli aspetti commerciali
- Modello per i reclami relativi ai trattamenti in ambito commerciale
- Informativa ex art. 13 del Regolamento UE 2016/679
Reclami relativi ad accessi ai dati per finalità di intelligence
- Information Note on the redress mechanism for national security purposes
- Modello per i reclami relativi ai trattamenti effettuati per finalità di intelligence
- Modello per i reclami relativi ai trattamenti effettuati per finalità di intelligence
- Informativa ex art. 13 del Regolamento UE 2016/679
ALTRI RIFERIMENTI UTILI
Strumenti giuridicamente vincolanti tra autorità pubbliche
(art. 46, par. 2, lett. a)
I trasferimenti possono essere effettuati anche da autorità pubbliche o da organismi pubblici verso altre autorità pubbliche o organismi pubblici, o nei confronti di organizzazioni internazionali con analoghi compiti o funzioni, stabiliti in Paesi terzi. In tal caso i dati personali possono essere trasferiti:
sulla base di uno «strumento giuridicamente vincolante e avente efficacia esecutiva» (art. 46, par. 2, lett. a) del Regolamento UE 2016/679), quale un accordo amministrativo, di natura internazionale e di ambito bilaterale o multilaterale, ovvero
previa autorizzazione dell’autorità di controllo competente, mediante «disposizioni da inserire in accordi amministrativi tra autorità pubbliche o organismi pubblici che comprendono diritti effettivi e azionabili per gli interessati» (art. 46, par. 3, lett. b) del Regolamento UE 2016/679), quali ad esempio i protocolli d’intesa.
La prima autorizzazione ai sensi dell’art. 46, par. 3, lett. b), è stata resa dal Garante alla CONSOB il 23 maggio 2019 per sottoscrivere un accordo amministrativo per il trasferimento di dati personali tra le autorità di vigilanza finanziaria dello Spazio economico europeo (SEE) e le autorità di vigilanza finanziaria al di fuori del SEE (doc. web n. 9119857).
Clausole tipo (art. 46, par. 2, lett. c) e lett. d) e clausole contrattuali ad hoc (art. 46, par. 3, lett. a)
La Commissione europea o l’autorità di controllo competente previa approvazione della Commissione può stabilire che determinati strumenti contrattuali consentono di trasferire dati personali verso Paesi terzi o organizzazioni internazionali (art. 46, par. 2, lett. c) e lett. d).
In pratica, incorporando il testo delle clausole contrattuali in questione in un contratto utilizzato per il trasferimento, l’esportatore dei dati garantisce che questi ultimi saranno trattati conformemente ai principi stabiliti nel Regolamento anche nel Paese terzo o all’interno dell’organizzazione di destinazione. È importante sottolineare che le clausole tipo di protezione dati non ammettono emendamenti e devono essere sottoscritte dalle parti. Tuttavia, esse possono essere incorporate in un contratto più generale e vi si possono aggiungere clausole ulteriori purché non in conflitto, direttamente o indirettamente, con le clausole tipo così adottate (v. Considerando 109).
“Il 4 giugno 2021, la Commissione europea, con decisione n. 2021/914/UE, ha stabilito che le clausole tipo allegate alla decisione rappresentano garanzie adeguate, ai sensi dell’articolo 46, par. 1, e par. 2, lett. c), del Regolamento (UE) 2016/679, ai fini del trasferimento di dati da un titolare o un responsabile del trattamento soggetto al Regolamento UE 2016/679 (esportatore) a un titolare o un (sub-)responsabile del trattamento rispetto al quale non trova applicazione il predetto Regolamento (importatore). La Commissione - che ha contestualmente abrogato, a far data dal 27 settembre 2021, le precedenti decisioni in materia (cfr. decisione 2001/497/CE del 15 giugno 2001 e decisione 2010/87/UE del 5 febbraio 2010) - ha comunque previsto che per quanto concerne i contratti conclusi prima di tale data, essi rimangono validi fino al 27 dicembre 2022, purché i trattamenti ivi indicati restino invariati e il ricorso a tali clausole garantisca che il trasferimento di dati personali sia soggetto a garanzie adeguate”.
BCR (art. 47)
Si tratta di uno strumento volto a consentire il trasferimento di dati personali dal territorio dello Stato verso Paesi terzi nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune. Le Bcr costituiscono un meccanismo in grado di semplificare gli oneri amministrativi a carico delle società di carattere multinazionale con riferimento ai flussi intra-gruppo di dati personali.
Sono costituite da un documento contenente una serie di clausole (rules) che fissano i principi vincolanti (binding) espressamente individuati all’art. 47, paragrafi 1 e 2, del Regolamento UE 2016/679, al cui rispetto sono tenute tutte le entità (che agiscono in qualità di controller o di processor) appartenenti ad uno stesso gruppo (corporate).
I modelli di riferimento disponibili sono di due tipologie e differiscono a seconda del ruolo ricoperto dalle entità −titolari o responsabili− che esportano ed importano i dati all’interno del gruppo: le Bcr for Controller e le Bcr for Processor. In particolare, in quest’ultima ipotesi il cliente (titolare) sottoscrive un contratto generale di servizi (Service Level Agreement - SLA) con la società multinazionale (responsabile) al quale sono allegate le “Bcr for Processor”.
Procedura
Il gruppo richiedente deve compilare l’application form secondo quanto indicato nel documento Raccomandazioni 1/2022 , per le Bcr for controller, e nel documento WP 265, in ordine alle Bcr for processor, rivolgendosi alla c.d. Lead Authority, individuata sulla base dei criteri indicati nel paragrafo 1 del WP 263.
La procedura di approvazione delle Bcr, come definita nel WP 263, è infatti condotta dalla Lead Authority la quale dialoga, in rappresentanza delle Autorità di controllo, con il gruppo multinazionale interessato al fine di predisporre un progetto di decisione condiviso da sottoporre al Comitato europeo per la protezione dei dati ai sensi dell’art. 64, par. 1, lett. f) del Regolamento UE 2016/679.
Qualora il Garante sia la Lead Authority della procedura, l’istanza − cui deve essere allegato il testo di cui si compongono le Bcr con i rispettivi allegati in lingua inglese e in lingua italiana (quest´ultima asseverata da traduzione giurata) − è trasmessa all’Autorità ai sensi dell’art. 46, par. 1, lett. b) e non è previsto il versamento di alcun diritto di segreteria. Il gruppo richiedente deve compilare un apposito modello di domanda (denominato “Application form”) secondo quanto indicato nelle “Raccomandazioni 1/2022”, per le Bcr for controller, e nel documento WP 265, in ordine alle Bcr for processor. All’Application form deve essere allegata una check list recante gli elementi e i principi che devono figurare nelle Bcr, contenuta, per le Bcr for controller, nell’All. 2 delle “Raccomandazioni 1/2022” e, per le Bcr for processor, nel WP 257.
La fase istruttoria presso l’Autorità può comportare la richiesta di maggiori informazioni o di ulteriore documentazione o rendere opportuna l’organizzazione di un incontro presso l´Autorità.
Al termine del procedimento, la cui durata è di 18 mesi fatto salvo quanto previsto dall’art. 11 del reg. n. 2/2019, il Garante comunica al richiedente e alle altre Autorità di controllo interessate la decisione adottata.
Per quanto riguarda la procedura, occorre fare riferimento ai seguenti documenti:
Per maggiori e più dettagliate informazioni in merito ai contenuti delle Bcr, si rinvia ai seguenti documenti:
Per le Bcr for controller
Per le Bcr for processor
Altri riferimenti utili
- Provvedimenti Bcr adottati già presenti sul sito del Garante
- EDPB - Register of approved binding corporate rules
Codici di condotta e meccanismi di certificazione (art. 46, lett. e) e lett. d)
Il Regolamento introduce nuovi strumenti per i trasferimenti internazionali: i titolari e i responsabili del trattamento potranno avvalersi, infatti, a determinate condizioni, anche di codici di condotta o meccanismi di certificazione senza che ciò comporti alcuna autorizzazione da parte dell’autorità competente. I primi, purché approvati a norma dell’art. 40, possono costituire adeguati strumenti per il trasferimento, qualora accompagnati dall’«impegno vincolante ed esecutivo da parte del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati» (art. 46, par.2, lett. e) del Regolamento UE 2016/679); i meccanismi di certificazione purchè approvati a norma dell’art. 42, «unitamente all’impegno vincolante ed esigibile del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati» (art. 46, par.2, lett. f) del Regolamento UE 2016/679).
Si tratta di strumenti giuridici innovativi e il Comitato europeo della protezione dei dati ha adottato le linee-guida di seguito indicate allo scopo di individuare procedure e requisiti armonizzati in rapporto al loro impiego.
- Comitato europeo per la protezione dei dati - EDPB
Guidelines 04/2021 on codes of conduct as tools for transfers
- Comitato europeo per la protezione dei dati - EDPB
Linee guida 7/2022 sulla certificazione come strumento per i trasferimenti
Deroghe in specifiche situazioni (art. 49)
In via residuale e solo a determinate condizioni (specificatamente individuate per singola situazione), è possibile trasferire dati personali nell’ambito delle c.d. “deroghe” di cui all’art. 49 del del Regolamento UE 2016/679 (consenso, contratto, interesse pubblico, difesa in giudizio, interesse vitale, registro pubblico, cogente interesse legittimo del titolare). In merito, è opportuno considerare che il termine “deroga” include di per sé una connotazione di eccezionalità rispetto al principio dell’adeguatezza e alle altre garanzie e che, pertanto, l’ambito di operatività delle suddette deroghe deve essere soggetto ad un’interpretazione restrittiva. Un’analisi dettagliata dei presupposti di applicazione di tali deroghe è contenuta nel documento del Comitato europeo per la protezione dei dati che segue e al quale si rinvia.
Linee guida 2/2018 sulle deroghe di cui all’articolo 49 del Regolamento 2016/679, del 25 maggio 2018.