Comunitario e Internazionale

Il trasferimento di dati personali al di fuori della UE: decisione di adeguatezza, alternative e deroghe

L'adeguatezza del trasferimento è riconsciuta tramite decisione della Commissione europea. Nel caso non sia presente una decisione di adeguatezza, il trasferimento potrà avvenire qualora gli interessati forniscano garanzie adeguate, ma solo a condizione che gli stessi dispongano di diritti azionabili e mezzi di ricorso effettivi

di Riccardo Ajassa*

Al giorno d'oggi i trasferimenti di dati sono una prassi più che quotidiana: basti pensare, in tempi recenti, anche solo all'introduzione delle app che permettono di riconoscere la validità di un Green Pass per entrare nei locali, o anche solo per fare un viaggio in treno. Allo stesso tempo, però, il trasferimento dei dati non avviene soltanto all'interno dei confini del nostro Paese; al contrario, grazie alla globalizzazione informatica, i trasferimenti transfrontalieri (dal nostro paese verso il resto del mondo, tutto il mondo) sono aumentati in modo esponenziale. Pensiamo ai servizi di cloud provider, in cui i dati sono archiviati e sempre a disposizione di tutti, in qualunque momento.

Ma questi dati dove sono archiviati? Letteralmente, i server dove sono?

Il GDPR ci dice che trasferire i file all'interno dell'Unione Europea va bene, ma per inviarli al suo esterno sono necessarie determinate condizioni, quali le decisioni di adeguatezza o che vengano fornite determinate garanzie.

Trasferimento dei dati personali al di fuori dell'Unione Europea (UE): le decisioni di adeguatezza

In particolare, il Garante per la Protezione dei Dati Personali ricorda che il trasferimento dei dati personali a Paesi extra UE o verso organizzazioni internazionali è consentito a condizione che ne sia stata riconosciuta l'adeguatezza tramite decisione della Commissione europea (art 45 GDPR).

Se presente una decisione di adeguatezza, il trasferimento verso quel Paese o quell'organizzazione internazionale non necessita di autorizzazioni specifiche.

Ma per arrivare a tale decisione, la Commissione deve prendere in considerazione molti fattori:
● lo stato di diritto, il rispetto dei diritti e libertà fondamentali, la legislazione generale e settoriale e la sua attuazione, le norme professionali e, ovviamente, le norme in materia di protezione dei dati personali e le misure di sicurezza;
● l'esistenza e l'effettivo funzionamento di un'autorità di controllo indipendente (o più autorità), competente a garantire il rispetto delle norme in materia di dati personali;
● gli impegni internazionali assunti, in particolare con riguardo ai dati personali.

Qualora il Paese o l'organizzazione risulti essere sufficientemente adeguata in materia di sicurezza e protezione dei dati personali, la Commissione (tramite atti di esecuzione) può stabilire che tale Paese o organizzazione garantisca un livello di protezione dei dati adeguato e che quindi il trasferimento dei dati verso di loro non richieda specifiche autorizzazioni.

È da notare che l'articolo in questione prevede anche un meccanismo periodico per il riesame della decisione di adeguatezza, la quale, in caso di mutazioni nei requisiti richiesti, potrà essere modificata, sospesa o revocata, senza effetto retroattivo.

Un esempio è proprio il Privacy Shield americano, invalidato nel 2020.

Trasferimento dei dati personali al di fuori dell'Unione Europea (UE): alternative alla decisione di adeguatezza

Nel caso non sia presente una decisione di adeguatezza, il Regolamento prevede che il trasferimento dei dati all'esterno dell'UE possa avvenire qualora il titolare del trattamento o il responsabile forniscano garanzie adeguate, ma solo a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi.

Tali garanzie, previste nell'art 46, sono divise in due gruppi, ossia quelle per le quali non è necessaria alcuna autorizzazione specifica e quelle per le quali è necessaria una previa autorizzazione del Garante.

Riguardo alle garanzie che n on rendono necessaria l'autorizzazione del Garante vi rientrano gli strumenti giuridici vincolanti con efficacia esecutiva tra le autorità o organismi pubblici, le norme vincolanti d'impresa (se rispettano determinati requisiti e se sono approvate dall'autorità di controllo), le clausole tipo di protezione dei dati, l'esistenza di codici di condotta o l'esistenza di un meccanismo di certificazione.

Invece le garanzie che richiedono la previa autorizzazione del Garante riguardano le clausole contrattuali tra il titolare o responsabile del trattamento e il titolare o responsabile del trattamento o il destinatario e gli accordi amministrativi tra autorità pubbliche comprendenti diritti effettivi e azionabili per gli interessati.

Nota bene: il primo gruppo di garanzie guardano direttamente a norme interne, ossia alla legge interna e alle sue previsioni, mentre il secondo gruppo di garanzie riguarda aspetti meno garantistici per gli interessati, quindi che necessitano di un'autorizzazione da parte del Garante.

Trasferimento dei dati personali al di fuori dell'Unione Europea (UE): deroghe al trasferimento dei dati

In assenza di questi presupposti, il trasferimento dei dati al di fuori dello spazio europeo (UE) non è possibile, salvo si verifichi una delle condizioni previste dall'art 47 del Regolamento, ossia:
● che l'interessato vi abbia dato espresso consenso;
● che il trasferimento sia necessario all'esecuzione di un contratto concluso tra l'interessato e il titolare;-
● che il trasferimento sia necessario per la conclusione o esecuzione di un contratto stipulato tra il titolare e altra persona fisica o giuridica, se a favore dell'interessato;
● che vi siano importanti motivi di interesse pubblico;
● per accertare, esercitare o difendere un diritto in sede giudiziaria;
● per la tutela degli interessi vitali dell'interessato;
● che il trasferimento sia fatto a partire da un registro che miri a fornire informazioni al pubblico.

Trasferimento dei dati personali al di fuori dell'Unione Europea (UE): quando è possibile?

In extrema ratio, nel caso in cui non si rientri nei casi di cui sopra, il trasferimento è possibile:
- previa comunicazione all'autorità di controllo;
- solo se non è ripetitivo;
- solo se riguarda un numero limitato di interessati;
- se è necessario per il perseguimento dell'interesse legittimo del titolare (sul quale non prevalgono i diritti, gli interessi e le libertà dell'interessato);-
infine, se il titolare abbia fornito garanzie adeguate per la protezione dei dati personali.

____


*A cura di Riccardo Ajassa, Consulente privacy e antiriciclaggio presso Nimble Srl

Per saperne di piùRiproduzione riservata ©