Menu
Il trasferimento di dati personali al di fuori del territorio nazionale si verifica molto più spesso di quanto si possa pensare.
Sebbene non sia frequente che una P.A. decida autonomamente di trasferire informazioni personali verso un paese straniero od un’organizzazione internazionale, la fattispecie si verifica assai spesso nel momento in cui si faccia ricorso, direttamente od indirettamente, a servizi “cloud”.
I maggiori fornitori di questi servizi hanno una dimensione quantomeno europea, se non, addirittura, globale (si pensi, ad esempio, ai servizi Google, Amazon, Cisco, Microsoft, ecc.).
Trasferire dati personali all’estero è un’attività di trattamento disciplinata dal Regolamento UE 2016/679 (RGPD).
Mentre il trasferimento all’interno dell’Unione euroepa e dello Spazio economico europeo (SEE) è sempre consentito, il trasferimento al di fuori di questi perimetri è ammesso solamente ricorrendo specifiche condizioni previste proprio dal RGPD.
E’ consentito il trasferimento di dati personali al di fuori dell’Unione europea?
I trasferimenti di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo (SEE, ossia UE + Norvegia, Liechtenstein, Islanda) o verso un’organizzazione internazionale sono consentiti a condizione che l’adeguatezza del Paese terzo o dell’organizzazione sia riconosciuta tramite decisione della Commissione europea (art. 45 del RGPD).
In assenza di tale decisione, il trasferimento è consentito ove il titolare o il responsabile del trattamento forniscano garanzie adeguate che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati (art. 46 del RGPD). Al riguardo, possono costituire garanzie adeguate:
A) senza autorizzazione da parte del Garante:
• gli strumenti giuridici vincolanti ed esecutivi tra soggetti pubblici (art. 46, par. 2, lett. a);
• le norme vincolanti d’impresa (art. 46, par. 2, lett. b)
• le clausole tipo (art. 46, par. 2, lett. c e lett. d)
• i codici di condotta (art. 46, par. 2, lett. e)
• i meccanismi di certificazione (art. 46, par. 2, lett. f)
B) previa autorizzazione del Garante:
• le clausole contrattuali ad hoc (art. 46, par. 3, lett. a)
• gli accordi amministrativi tra autorità o organismi pubblici (art. 46, par. 3, lett. b)
In assenza di ogni altro presupposto, è possibile trasferire i dati personali in base ad alcune deroghe che si verificano in specifiche situazioni (art. 49 del RGPD).Sono consentiti trasferimenti di dati personali al di fuori dell’Unione europea
L’utilizzo di servizi cloud erogati da aziende statunitensi comporta sempre un trasferimento di dati verso gli Stati Uniti?
La risposta a questa domanda è stata molto dibattuta, in passato.
Nella sua decisione pubblicata il 13 luglio 2023, il Garante Europeo per la Protezione dei Dati Personali (EDPS) ha ritenuto che l’uso della videoconferenza Cisco Webex e dei servizi correlati, da parte della Corte di giustizia dell’Unione europea, soddisfacesse le norme sulla protezione dei dati ai sensi del regolamento 2018/1725 applicabile alle istituzioni, enti, uffici e agenzie dell’UE (norma sostanzialmente identica al RGPD).
Proprio in relazione al possibile accesso ai dati conservati presso data center europei, ma di proprietà di operatori economici soggetti alla normativa statunitense, il EDPS ha osservato che i medesimi, che sono meramente potenziali e in nessun modo prevedibili alla luce del contenuto o scopo di un contratto o di un altro rapporto stabile tra le parti, non rientrano nell’ambito di applicazione del capo V del RGPD.
Di seguito il link alla decisione del EDPS: https://edps.europa.eu/data-protection/our-work/publications/authorisation-decisions-transfers/2023-07-13-edps-cjeus-use-cisco-webex-video-and-conferencing-tools_en
Dunque, le ipotesi di trasferimento possono essere:
a) il fornitore, per erogare tutti o parte dei servizi richiesti, trasferisce dati verso propri data center negli Statu Uniti, ove vengono ad essere trattati;
b) il fornitore, per erogare tutti o parte dei servizi richiesti, trasferisce dati verso data center di propri fornitori negli Statu Uniti, ove vengono ad essere trattati;
c) il fornitore, su richiesta delle Autorità del proprio paese, trasferisce negli Stati uniti i dati.
Nei soli casi sub a) e b), si verifica un trasferimento rilevante ai sensi del RGPD.
La decisione di adeguatezza adottata dalla Commissione europea
Il 10 luglio 2023, la Commissione Europea ha adottato una nuova decisione che riguarda la protezione dei dati personali negli Stati Uniti d’America.
Questa decisione ritiene che il livello di protezione degli interessati dal trattamento di dati personali, offerto dagli Stati Uniti, sia equivalente a quello dell’Unione Europea.
Ciò significa che, a partire dall’11 luglio 2023, è nuovamente possibile trasferire dati personali dall’Unione Europea verso soggetti privati e pubblici statunitensi, partecipanti al “EU-U.S. Data Privacy Framework” senza l’obbligo di alcun ulteriore adempimento o garanzia previsti dal Regolamento (UE) 2016/679 (“RGPD”).
La decisione presa rappresenta un passo importante per quanto riguarda la trasmissione dei dati personali tra l’Unione Europea e gli Stati Uniti. Dopo tre anni di discussioni con il governo statunitense, finalmente si è raggiunto un accordo che supera l’incertezza generata dalla Corte di Giustizia dell’Unione Europea nel caso “Schrems II”, che aveva invalidato il precedente meccanismo denominato Privacy Shield.
A questo link, il testo della decisione di adeguatezza: https://ec.europa.eu/commission/presscorner/detail/it/ip_23_3721
Cosa fare nell’ipotesi di trasferimento verso gli Stati uniti?
Per trasferire dati personali verso gli Stati Uniti è necessario accertarsi che i destinatari del trasferimento di dati personali aderiscano ad un meccanismo di certificazione basato sull’autocertificazione delle imprese statunitensi, validata dal Department of Commerce (“DoC”).
Questo meccanismo richiede alle imprese di impegnarsi a rispettare alcuni principi ed obblighi fondamentali per l’Unione Europea in materia di protezione dei dati personali, come la trasparenza, la limitazione della finalità e la responsabilità. Inoltre, se il destinatario dei dati personali è tra le organizzazioni certificate inserite nella “Data Privacy Framework List” (“Elenco”), non sono necessari ulteriori adempimenti o garanzie per il trasferimento dei dati personali.
Il DoC ha predisposto e aggiornato l’Elenco delle imprese certificate, disponibile sul sito https://www.dataprivacyframework.gov/s/, per garantire la massima tutela alle aziende europee.
E’ sufficiente verificare l’Elenco del “DoC”?
No, non è sufficiente!
Occorre anche verificare che il responsabile del trattamento metta in atto le misure di sicurezza adeguate per garantire la conformità del trattamento e la tutela dei diritti degli interessati.
Inoltre è necessario annotare il trasferimento nel Registro delle attività di trattamento di cui all’articolo 30 del RGPD e fornire agli interessati le necessarie informazioni circa il trasferimento, attraverso le c.d. informative privacy, redatte ai sensi degli articoli 13 e 14 del RGPD.
E se i responsabili non sono nell’elenco?
Considerando le conseguenze e gli oneri derivanti dall’inclusione nel Framework, come ad esempio la sottomissione ai poteri della Federal Trade Commission del Department of Transportation, è probabile che alcuni trasferimenti di dati personali verso gli Stati Uniti possano non rientrare nell’ambito di applicazione della decisione di adeguatezza della Commissione europea, a causa della mancata adesione di alcune aziende americane alla nuova disciplina.
In questo caso, valgono le regole generali contenute nel RGPD, descritte nel paragrafo “E’ consentito il trasferimento di dati personali al di fuori dell’Unione europea?”.
Il nostro metodo di lavoro richiede di selezionare accuratamente e raccogliere le sole informazioni necessarie a valutare se una fattispecie rientri o meno nel campo di applicazione di una norma determinata. Spesso ricorriamo alla tecnologia (e-mail, questionari e formulari online) per consentire agli operatori di organizzare al meglio il proprio tempo.
Pensiamo noi a predisporre documenti e modulistica personalizzati e “fruibili” da ciascun cliente.
Quando tutto è pronto, formiamo il personale affinché sia consapevole degli strumenti che abbiamo fornito, ne abbia compreso l’esigenza sottostante e sia in grado di utilizzarli nel contesto delle attività quotidiane.
Il panorama del trasferimento dei dati al di fuori dei paesi appartenenti allo Spazio Economico Europeo (SEE) è cambiato notevolmente dopo la sentenza della Corte Europea di Giustizia nel caso Schrems II.
La decisione ha invalidato il c.d. Privacy Shield UE-USA ed ha messo in dubbio l’efficacia delle clausole contrattuali standard esistenti della Commissione europea (SCCs).
In seguito alla decisione, la Commissione europea ha emesso una serie riveduta di SCCs per le organizzazioni da utilizzare e l’European Data Protection Board (EDPB) ha rilasciato la sua guida definitiva sulle misure supplementari per garantire un livello europeo di protezione dei dati durante il trasferimento dei dati personali.
Il testo ufficiale (in lingua italiana) delle nuove SCCs è disponibile al seguente link: https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32021D0914&qid=1693402898749
Come parte della propria guida, l’EDPB ha evidenziato la necessità per le aziende di eseguire un Transfer Impact Assessment (TIA) per valutare lo strumento di trasferimento dell’articolo 46 alla luce del quadro giuridico e dell’applicazione pratica della legge nel paese di destinazione.
Di seguito il link alla pagina del Garante privacy dedicata all’argomento: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9482909
Un corretto approccio alla gestione dei rapporti con i fornitori dell’Ente, richiede di non fermarsi al mero aspetto formale della sussistenza di un documento di “designazione” del responsabile del trattamento ma, piuttosto, impone di analizzare i rapporti con il fornitore stesso per capire quale ruolo operativo egli assuma a seguito dell’affidamento del servizio e, conseguentemente, come vadano ripartiti i compiti e le responsabilità, anche dal punto di vista del trattamento dei dati personali.
Il trasferimento dei dati personali all’estero richiede di prestare la massima attenzione, soprattutto in relazione a quei trasferimenti che non avvengano direttamente ad opera del titolare ma, piuttosto, ad opera di responsabili e sub-responsabili del trattamento.
L’art. 30 del RGPD prevede tra gli adempimenti principali del titolare e del responsabile del trattamento la tenuta del registro delle attività di trattamento.
E’ un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del RGPD) relative alle operazioni di trattamento svolte dal titolare e, se nominato, dal responsabile del trattamento.
Costituisce uno dei principali elementi di accountability del titolare, in quanto strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività.
Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.
Il RGPD prevede che, in base alle finalità del trattamento, il titolare debba fornire agli interessati, prima del trattamento stesso, le informazioni richieste dalle norme (art. 13 e 14 del RGPD). Ciò avviene tramite l’informativa.
L’informativa è una comunicazione rivolta all’interessato che ha lo scopo di rendere edotto il cittadino, anche prima che diventi interessato (cioè prima che inizi il trattamento), sulle finalità e le modalità dei trattamenti operati dal titolare del trattamento, Essa è condizione, non tanto del rispetto del diritto individuale ad essere informato, quanto del dovere del titolare del trattamento di assicurare la trasparenza e correttezza dei trattamenti fin dalla fase di progettazione dei trattamenti stessi, e di essere in grado di comprovarlo in qualunque momento (principio di accountability).
L’informativa ha anche lo scopo di permettere che l’interessato possa rendere un valido consenso, se richiesto come base giuridica del trattamento. In questo caso l’informativa non è solo dovuta in base al principio di trasparenza e correttezza, ma è anche una condizione di legittimità del trattamento.
Stanti le implicazioni che il trasferimento di dati personali all’estero può portare con sè, l’informativa assume una peculiare valenza.