Trasferrimento dati estero

Briciole di pane

Trasferimento di dati personali all'estero

Trasferimento di dati personali all´estero

I trasferimenti di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo (SEE, ossia UE + Norvegia, Liechtenstein, Islanda) o verso un’organizzazione internazionale sono consentiti a condizione che l’adeguatezza del Paese terzo o dell’organizzazione sia riconosciuta tramite decisione della Commissione europea (art. 45 del Regolamento UE 2016/679).

In assenza di tale decisione, il trasferimento è consentito ove il titolare o il responsabile del trattamento forniscano garanzie adeguate che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati (art. 46 del Regolamento UE 2016/679). Al riguardo, possono costituire garanzie adeguate:

senza autorizzazione da parte del Garante:

• gli strumenti giuridici vincolanti ed esecutivi tra soggetti pubblici (art. 46, par. 2, lett. a);
• le norme vincolanti d’impresa (art. 46, par. 2, lett. b)
• le clausole tipo (art. 46, par. 2, lett. c e lett. d)
• i codici di condotta (art. 46, par. 2, lett. e)
• i meccanismi di certificazione (art. 46, par. 2, lett. f)

previa autorizzazione del Garante:

     • le clausole contrattuali ad hoc (art. 46, par. 3, lett. a)
     • gli accordi amministrativi tra autorità o organismi pubblici (art. 46, par. 3, lett. b)

In assenza di ogni altro presupposto, è possibile trasferire i dati personali in base ad alcune deroghe che si verificano in specifiche situazioni (art. 49 del Regolamento UE 2016/679).

 

DOCUMENTI EDPB


- 41a sessione plenaria: Il Comitato adotta raccomandazioni sulle misure supplementari per i trasferimenti di dati, a seguito della sentenza Schrems II

- Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data

- Raccomandazioni 2/2020 relative alle garanzie essenziali europee per le misure di sorveglianza

- FAQ relative alla sentenza Schrems e ai suoi effetti

- Linee guida EDPB 4/2021 sui codici di condotta come strumenti per i trasferimenti verso paesi terzi o organizzazioni internazionali

 

 

Decisioni di adeguatezza (art. 45)

La Commissione europea può stabilire, valutati gli elementi indicati nell’art. 45, par. 2 del Regolamento UE 2016/679 e sulla base di un procedimento che prevede il parere del Comitato europeo per la protezione dei dati, che il Paese terzo (ma anche un territorio o un settore specifico al suo interno) o l’organizzazione internazionale garantiscano un livello di protezione adeguato e che pertanto è possibile trasferirvi dati personali. Il Regolamento prevede un’attività di monitoraggio da parte della Commissione mediante riesame delle decisioni a cadenza periodica, almeno ogni quattro anni. Tale attività può concludersi con una modifica della decisione o in altre circostanze con la sospensione o persino con la sua revoca, (art. 45, paragrafi 3-5 del Regolamento UE 2016/679).

Di seguito sono riportate le decisioni sinora adottate ai sensi della Direttiva 95/46/CE in materia di adeguatezza, in vigore fino a quando non vengano modificate, sostituite o abrogate dalla stessa Commissione (art. 45, par. 9 del Regolamento UE 2016/679).

- Decisione di esecuzione (UE) 2021/1773 della Commissione del 28 giugno 2021 a norma della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio sull’adeguata protezione dei dati personali da parte del Regno Unito

- Andorra

- Argentina

- Australia PNR

- Canada

- Faer Oer

- Giappone

- Guernsey

- Isola di Man

- Israele

- Jersey

- Nuova Zelanda

- Svizzera

- Uruguay

- USA PNR

 

- COMMISSION IMPLEMENTING DECISION of 10.7.2023 pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate level of protection of personal data under the EU-US Data Privacy Framework

 

 

Strumenti giuridicamente vincolanti tra autorità pubbliche
(art. 46, par. 2, lett. a)

I trasferimenti possono essere effettuati anche da autorità pubbliche o da organismi pubblici verso altre autorità pubbliche o organismi pubblici, o nei confronti di organizzazioni internazionali con analoghi compiti o funzioni, stabiliti in Paesi terzi. In tal caso i dati personali possono essere trasferiti:

sulla base di uno «strumento giuridicamente vincolante e avente efficacia esecutiva» (art. 46, par. 2, lett. a) del Regolamento UE 2016/679), quale un accordo amministrativo, di natura internazionale e di ambito bilaterale o multilaterale, ovvero

previa autorizzazione dell’autorità di controllo competente, mediante «disposizioni da inserire in accordi amministrativi tra autorità pubbliche o organismi pubblici che comprendono diritti effettivi e azionabili per gli interessati» (art. 46, par. 3, lett. b) del Regolamento UE 2016/679), quali ad esempio i protocolli d’intesa.
 

La prima autorizzazione ai sensi dell’art. 46, par. 3, lett. b), è stata resa dal Garante alla CONSOB  il 23 maggio 2019 per sottoscrivere un accordo amministrativo per il trasferimento di dati personali tra le autorità di vigilanza finanziaria dello Spazio economico europeo (SEE) e le autorità di vigilanza finanziaria al di fuori del SEE (doc. web n. 9119857).

 

Clausole tipo (art. 46, par. 2, lett. c) e lett. d) e clausole  contrattuali ad hoc (art. 46, par. 3, lett. a)

La Commissione europea o l’autorità di controllo competente previa approvazione della Commissione può stabilire che determinati strumenti contrattuali consentono di trasferire dati personali verso Paesi terzi o organizzazioni internazionali (art. 46, par. 2, lett. c) e lett. d).

In pratica, incorporando il testo delle clausole contrattuali in questione in un contratto utilizzato per il trasferimento, l’esportatore dei dati garantisce che questi ultimi saranno trattati conformemente ai principi stabiliti nel Regolamento anche nel Paese terzo o all’interno dell’organizzazione di destinazione. È importante sottolineare che le clausole tipo di protezione dati non ammettono emendamenti e devono essere sottoscritte dalle parti. Tuttavia, esse possono essere incorporate in un contratto più generale e vi si possono aggiungere clausole ulteriori purché non in conflitto, direttamente o indirettamente, con le clausole tipo così adottate (v. Considerando 109).

“Il 4 giugno 2021, la Commissione europea, con decisione n. 2021/914/UE, ha stabilito che le clausole tipo allegate alla decisione rappresentano garanzie adeguate, ai sensi dell’articolo 46, par. 1, e par. 2, lett. c), del Regolamento (UE) 2016/679, ai fini del trasferimento di dati da un titolare o un responsabile del trattamento soggetto al Regolamento UE 2016/679 (esportatore) a un titolare o un (sub-)responsabile del trattamento rispetto al quale non trova applicazione il predetto Regolamento (importatore). La Commissione - che ha contestualmente abrogato, a far data dal 27 settembre 2021, le precedenti decisioni in materia (cfr. decisione 2001/497/CE del 15 giugno 2001 e decisione 2010/87/UE del 5 febbraio 2010) - ha comunque previsto che per quanto concerne i contratti conclusi prima di tale data, essi rimangono validi fino al 27 dicembre 2022, purché i trattamenti ivi indicati restino invariati e il ricorso a tali clausole garantisca che il trasferimento di dati personali sia soggetto a garanzie adeguate”.

 

- Decisione di esecuzione (UE) 2021/914 della Commissione del 4 giugno 2021 relativa alle clausole contrattuali tipo per il trasferimento di dati personali verso paesi terzi a norma del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (Testo rilevante ai fini del SEE)

 

BCR (art. 47)

Si tratta di uno strumento volto a consentire il trasferimento di dati personali dal territorio dello Stato verso Paesi terzi nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune. Le Bcr costituiscono un meccanismo in grado di semplificare gli oneri amministrativi a carico delle società di carattere multinazionale con riferimento ai flussi intra-gruppo di dati personali.

Sono costituite da un documento contenente una serie di clausole (rules) che fissano i principi vincolanti (binding) espressamente individuati all’art. 47, paragrafi 1 e 2, del Regolamento UE 2016/679, al cui rispetto sono tenute tutte le entità (che agiscono in qualità di controller o di processor) appartenenti ad uno stesso gruppo (corporate).

I modelli di riferimento disponibili sono di due tipologie e differiscono a seconda del ruolo ricoperto dalle entità −titolari o responsabili− che esportano ed importano i dati all’interno del gruppo: le Bcr for Controller e le Bcr for Processor. In particolare, in quest’ultima ipotesi il cliente (titolare) sottoscrive un contratto generale di servizi (Service Level Agreement - SLA) con la società multinazionale (responsabile) al quale sono allegate le “Bcr for Processor”.

Per maggiori e più dettagliate informazioni in merito ai contenuti delle Bcr, si rinvia ai seguenti documenti del Gruppo art. 29:

- Wp 256 - Working Document setting up a table with the elements and principles to be found in Binding Corporate Rules - in caso di BCR for controller

- Wp 257 - Working Document setting up a table with the elements and principles to be found in Processor Binding Corporate Rules - in caso di BCR for processor

 

Procedura

Il gruppo richiedente deve compilare l’application form secondo quanto indicato nel documento WP 264, per le Bcr for controller, e nel documento WP 265, in ordine alle Bcr for processor, rivolgendosi alla c.d. Lead Authority, individuata sulla base dei criteri indicati nel paragrafo 1 del WP 263.

La procedura di approvazione delle Bcr, come definita nel WP 263, è infatti condotta dalla Lead Authority la quale dialoga, in rappresentanza delle Autorità di controllo, con il gruppo multinazionale interessato al fine di predisporre un progetto di decisione condiviso da sottoporre al Comitato europeo per la protezione dei dati ai sensi dell’art. 64, par. 1, lett. f) del Regolamento UE 2016/679.

Qualora il Garante sia la Lead Authority della procedura, l’istanza −cui deve essere allegato il testo di cui si compongono le Bcr con i rispettivi allegati in lingua inglese e in lingua italiana (quest´ultima asseverata da traduzione giurata)− è trasmessa all’Autorità ai sensi dell’art. 46, par. 1, lett. b) e non è previsto il versamento di alcun diritto di segreteria.

La fase istruttoria presso l’Autorità può comportare la richiesta di maggiori informazioni o di ulteriore documentazione o rendere opportuna l’organizzazione di un incontro presso l´Autorità.

Al termine del procedimento, la cui durata è di 18 mesi fatto salvo quanto previsto dall’art. 11 del reg. n. 2/2019, il Garante comunica al richiedente e alle altre Autorità di controllo interessate la decisione adottata.

Per quanto riguarda la procedura, occorre fare riferimento ai seguenti documenti del Gruppo art. 29:

- Wp 263 rev. 01 - Working Document Setting Forth a Co-Operation Procedure for the approval of “Binding Corporate Rules” for controllers and processors under the GDPR

- Wp 264 - Recommendation on the Standard Application for Approval of Controller Binding Corporate Rules for the Transfer of Personal Data

- Wp 265 - Recommendation on the Standard Application form for Approval of Processor Binding Corporate Rules for the Transfer of Personal Data

- Provvedimenti Bcr adottati già presenti sul sito del Garante

- EDPB - Register of approved binding corporate rules

 

Codici di condotta e meccanismi di certificazione (art. 46, lett. e) e lett. d)

Il Regolamento introduce nuovi strumenti per i trasferimenti internazionali: i titolari e i responsabili del trattamento potranno avvalersi, infatti, a determinate condizioni, anche di codici di condotta o meccanismi di certificazione senza che ciò comporti alcuna autorizzazione da parte dell’autorità competente.  I primi, purché approvati a norma dell’art. 40, possono costituire adeguati strumenti per il trasferimento, qualora accompagnati dall’«impegno vincolante ed esecutivo da parte del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati» (art. 46, par.2, lett. e) del Regolamento UE 2016/679); i meccanismi di certificazione purchè approvati a norma dell’art. 42, «unitamente all’impegno vincolante ed esigibile del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati» (art. 46, par.2, lett. f) del Regolamento UE 2016/679).

Si tratta di strumenti giuridici innovativi e il Comitato europeo della protezione dei dati ha adottato le linee-guida di seguito indicate allo scopo di individuare procedure e requisiti armonizzati in rapporto al loro impiego.

 

- Comitato europeo per la protezione dei dati - EDPB
Guidelines 04/2021 on codes of conduct as tools for transfers

- Comitato europeo per la protezione dei dati - EDPB
Linee guida 7/2022 sulla certificazione come strumento per i trasferimenti

 

Deroghe in specifiche situazioni (art. 49)

In via residuale e solo a determinate condizioni (specificatamente individuate per singola situazione), è possibile trasferire dati personali nell’ambito delle c.d. “deroghe” di cui all’art. 49 del del Regolamento UE 2016/679 (consenso, contratto, interesse pubblico, difesa in giudizio, interesse vitale, registro pubblico, cogente interesse legittimo del titolare). In merito, è opportuno considerare che il termine “deroga” include di per sé una connotazione di eccezionalità rispetto al principio dell’adeguatezza e alle altre garanzie e che, pertanto, l’ambito di operatività delle suddette deroghe deve essere soggetto ad un’interpretazione restrittiva. Un’analisi dettagliata dei presupposti di applicazione di tali deroghe è contenuta nel documento del Comitato europeo per la protezione dei dati che segue e al quale si rinvia.

Linee guida 2/2018 sulle deroghe di cui all’articolo 49 del Regolamento 2016/679, del 25 maggio 2018.

 

Mappa del sito

Temi