Trasferimento internazionale di dati: in consultazione le linee guida

Il 31 gennaio 2022 si è conclusa la consultazione pubblica sulle linee guida 05/2021 adottate dal Comitato Europeo per la Protezione dei Dati ("EDPB") che chiariscono la definizione di trasferimento internazionale di dati ai sensi del Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (GDPR).

Tali linee guida hanno lo scopo di supportare le organizzazioni soggette al Regolamento generale sulla protezione dei dati nell'interpretazione del combinato disposto dell'art. 3 del GDPR , che ne stabilisce la portata territoriale, e delle disposizioni del Capo V del medesimo GDPR, volto ad assicurare che il livello di protezione garantito dal Regolamento non sia compromesso durante la trasmissione dei dati personali verso Paesi terzi o organizzazioni internazionali.

Tale esigenza è emersa dalla necessità di colmare la lacuna normativa sulla definizione giuridica di "trasferimento di dati personali verso un Paese terzo o un'organizzazione internazionale" – non esplicitamente definita dal GDPR – nonché al fine di garantire che i dati personali siano protetti anche in tali circostanze.

Le linee guida in consultazione stabiliscono i tre seguenti criteri cumulativi per qualificare un trattamento di dati come un trasferimento internazionale ai sensi del GDPR:

• Il titolare del trattamento o il responsabile del trattamento è soggetto al GDPR per tale trattamento .
Tale criterio richiede che il trattamento in questione soddisfi i requisiti di cui all'art. 3 del GDPR [1] . È utile ricordare in questa sede che, ai sensi dell'art. 3, l'applicazione del GDPR deve sempre essere valutata in relazione a un determinato trattamento piuttosto che in relazione a un'entità specifica (ad es. una società).

• Tale titolare o responsabile del trattamento ("esportatore") trasmette o rende disponibili i dati personali oggetto del trattamento ad un altro titolare, contitolare o responsabile del trattamento ("importatore").
Tale secondo criterio non può essere considerato soddisfatto quando i dati sono comunicati direttamente e di propria iniziativa dalla persona interessata al destinatario, poiché in tal caso non vi è un titolare o un responsabile del trattamento che invia o rende disponibili i dati.
Per qualificarsi come trasferimento internazionale, quindi, due parti separate devono esservi coinvolte.
A tal riguardo, va ricordato che le entità che fanno parte dello stesso gruppo societario possono qualificarsi come titolari o responsabili del trattamento separati. Di conseguenza, la divulgazione di dati tra entità appartenenti allo stesso gruppo societario (divulgazione di dati infragruppo) può in taluni casi costituire un trasferimento internazionale di dati personali.

• L'importatore è stabilito in un Paese terzo o è un'organizzazione internazionale, indipendentemente dal fatto che tale importatore sia personalmente soggetto al GDPR per quanto riguarda tale trattamento ai sensi dell'art. 3.
Si ha, quindi, un trasferimento internazionale di dati anche quando un titolare del trattamento UE trasmette i dati personali a un titolare o responsabile del trattamento che non è stabilito nell'Unione Europea, ma che rientra nel campo di applicazione del GDPR in quanto – ad esempio – offre beni e servizi al mercato dell'Unione Europea. Tale flusso di dati costituisce un trasferimento internazionale di dati, anche se entrambe le parti rientrano nel campo di applicazione del GDPR.

Il flusso di dati è, pertanto, considerato un trasferimento internazionale ai sensi del GDPR se i criteri identificati dal Comitato Europeo per la Protezione dei Dati sono contestualmente soddisfatti. Di conseguenza, il titolare del trattamento o il responsabile del trattamento sono tenuti a rispettare le disposizioni del Capo V del GDPR, al fine di proteggere i dati personali preventivamente, durante e successivamente al loro trasferimento verso un Paese terzo o un'organizzazione internazionale.

In tal caso, la protezione dei dati personali può essere garantita previo riconoscimento dell'esistenza di un adeguato livello di protezione dei dati nel Paese terzo o nell'organizzazione internazionale ove i dati sono trasferiti ( art. 45 GDPR ) o, in mancanza di tale adeguato livello di protezione, con l'attuazione da parte dell'esportatore di garanzie adeguate come previsto dall'art. 46 del GDPR [2] che, tra i principali tipi di strumenti di trasferimento, annovera le clausole contrattuali standard e ad hoc, le normative aziendali vincolanti, i codici di condotta, i meccanismi di certificazione, gli accordi internazionali e gli accordi amministrativi.

A tale riguardo, occorre altresì precisare che il Comitato Europeo per la Protezione dei Dati si è già reso disponibile a collaborare allo sviluppo di uno strumento di trasferimento, ovverosia una nuova serie di clausole contrattuali standard da adottare nei casi in cui l'importatore è soggetto al GDPR per il dato trattamento.

Le linee guida chiariscono, in ultimo, che le garanzie attuate nell'ambito del trasferimento internazionale di dati devono essere adattate allo specifico trattamento. Pertanto, qualora i dati personali vengano trasferiti ad un titolare del trattamento o responsabile del trattamento già soggetto al GDPR, tale trattamento richiederà generalmente garanzie minori. In tal caso, infatti, lo strumento di trasferimento utilizzato dovrebbe maggiormente focalizzarsi sulle misure da adottare in caso di conflitto tra il GDPR e la legislazione locale del Paese terzo.

Allo stato attuale, tuttavia, tale progetto di linee guida è ancora in fase consultiva. Considerando che la consultazione pubblica si è conclusa il 31 gennaio 2022 e che molteplici società, enti e associazioni di categoria hanno trasmesso i propri pareri a riguardo, la versione definitiva del documento dovrebbe essere pubblicata non prima della seconda metà del 2022.

Nonostante il grande supporto fornito dalle linee guida – ancorché in fase di consultazione – occorre, tuttavia, ricordare che in ogni caso il titolare e il responsabile del trattamento sono sempre responsabili della totalità dei trattamenti che gestiscono, indipendentemente da dove avvengono, e che il trattamento dei dati in Paesi terzi può comunque comportare rischi ulteriori che devono essere identificati e gestiti affinché tale trattamento sia conforme al GDPR.

____

*A cura di Vittorio Buonaguidi, Partner 24 ORE e Cristina Scarpinato

[1] Per maggiori approfondimenti in merito all'ambito territoriale del GDPR (articolo 3) si rimanda alle linee guida EDPB 3/2018
[2] Ai sensi dell'art. 49 GDPR i dati personali possono essere trasferiti verso un Paese terzo o a un'organizzazione internazionale senza l'esistenza di un livello di protezione adeguato o l'attuazione di garanzie adeguate solo in situazioni specifiche e a determinate condizioni