Trasferimento dei dati personali verso Paesi terzi

Pubblicato da Garante della Privacy in GDPR · 28 Agosto 2019
Tags: trasferimenti, dati, estero, trasferimento, dati, sensibili, fuori, UE

La Commissione europea può stabilire, sulla base di un procedimento che prevede, fra l´altro, il parere favorevole del Gruppo ex Articolo 29 della Direttiva 95/46/CE, che il livello di protezione offerto in un determinato Paese è adeguato (articolo 25, comma 6, della Direttiva 95/46/CE), e che pertanto è possibile trasferirvi dati personali. Di seguito sono riportate le decisioni della Commissione sinora pubblicate in materia di adeguatezza di Paesi terzi.

Decisioni di adeguatezza

- Andorra

- Argentina

- Australia – PNR

- Canada

- Faer Oer

- Guernsey

- Isola di Man

- Israele

- Jersey

- Nuova Zelanda

- Svizzera

- Uruguay

Decisione di esecuzione (UE) 2016/1250 della Commissione, del 12 luglio 2016, a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio, sull´adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy [notificata con il numero C(2016) 4176] (Testo rilevante ai fini del SEE)

(vedi anche la pagina informativa su Privacy Shield)

- USA – PNR

- Decisione di esecuzione (UE) 2016/2295 della Commissione, del 16 dicembre 2016, che modifica le decisioni 2000/518/CE, 2002/2/CE, 2003/490/CE, 2003/821/CE, 2004/411/CE, 2008/393/CE, 2010/146/UE, 2010/625/UE, 2011/61/UE e le decisioni di esecuzione 2012/484/UE, 2013/65/UE riguardanti l´adeguatezza della protezione dei dati personali da parte di taluni paesi, a norma dell´articolo 25, paragrafo 6, della direttiva 95/46/CE del Parlamento europeo e del Consiglio [notificata con il numero C(2016) 8353] (Testo rilevante ai fini del SEE )

- Autorizzazioni del Garante per il trasferimento di dati verso Paesi terzi

Clausole contrattuali standard

La Commissione europea, ai sensi dell´articolo 26(4) della Direttiva 95/46/CE, può stabilire che determinati strumenti contrattuali consentono di trasferire dati personali verso Paesi terzi. Si tratta di una delle deroghe (stabilite nel comma 2 dell´articolo 26 della Direttiva 95/46/CE) al divieto di effettuare il trasferimento verso Paesi che non offrono garanzie "adeguate" ai sensi della Direttiva 95/46/CE.

In pratica, incorporando il testo delle clausole contrattuali in questione in un contratto utilizzato per il trasferimento, l´esportatore dei dati garantisce che questi ultimi saranno trattati conformemente ai principi stabiliti nella Direttiva anche nel Paese terzo di destinazione. Sinora la Commissione ha adottato quattro decisioni in materia.

Trasferimenti trasfrontalieri di dati da titolare a responsabile:

Decisione della Commissione UE n. 2010/87/CE

Autorizzazione ai trasferimenti verso Pesi terzi tramite le clausole contrattuali tipo di cui alla decisione della Commissione n. 2010/87/UE (in caso di importatore stabilito in Paese Terzo) – provvedimento del Garante del 27 maggio 2010 [doc web 1728496]

Autorizzazione ai trasferimenti verso Paesi terzi tramite le clausole contrattuali tipo di cui alla decisione della Commissione n. 2010/87/UE (in caso di importatore stabilito in UE) - provv. del Garante del 15 novembre 2012 [doc. web n. 2191156]

Trasferimenti transfrontalieri di dati da titolare a titolare

Decisione della Commissione UE n. 2001/497/CE

Autorizzazione ai trasferimenti verso Paesi Terzi – provv. del Garante del 16 novembre 2001 [doc. web n. 42156]

Decisione della Commissione UE n. 2004/915/CE

Autorizzazione ai trasferimenti di dati personali verso Paesi terzi – provv. del Garante del 9 giugno 2005 [doc. web n. 1151949]

Decisione di esecuzione (UR) 2016/2297 della Commissione che modifica la decisione 2001/497/CE e la decisione 2010/87/UE

In materia di clausole contrattuali tipo, si richiamano inoltre i seguenti documenti del Gruppo art. 29:

- WP 214 relativamente ad uno schema di clausole contrattuali per trasferimenti transfontalieri da responsabile stabilito in Unione Europea a sub-responsabile stabilito in un Paese terzo

- WP 226 in ordine alla definizione di una procedura di cooperazione europea volta a rilasciare un´opinione comune in merito a clausole "ad hoc" considerate conformi alle clausole contrattuali tipo adottate dalla Commissione

BCR - Binding Corporate Rules

Cosa sono le Binding corporate rules?

Si tratta di uno strumento volto a consentire il trasferimento di dati personali dal territorio dello Stato verso Paesi terzi (extra-UE) tra società facenti parti dello stesso gruppo d´impresa.

Si concretizzano in un documento contenente una serie di clausole (rules) che fissano i principi vincolanti (binding) al cui rispetto sono tenute tutte le società appartenenti ad uno stesso gruppo (corporate).

Le Bcr costituiscono un meccanismo in grado di semplificare gli oneri amministrativi a carico delle società di carattere multinazionale con riferimento ai flussi intra-gruppo di dati personali.

Quali sono i principali vantaggi delle BCR?

Il rilascio di un´autorizzazione al trasferimento di dati personali tramite Bcr consente alle filiali della multinazionale che ne abbia fatto richiesta, anche se stabilite in diversi Paesi, di trasferire, all´interno del gruppo d´impresa, i dati personali oggetto delle Bcr, senza ulteriori adempimenti (quali ad esempio la sottoscrizione di Clausole contrattuali tipo, l´adesione all´accordo Safe Harbour, il rilascio di specifiche autorizzazioni ai sensi del Codice).

Da quale strumento normativo traggono efficacia?

Le Bcr traggono efficacia dalla concessione di una autorizzazione del Garante al trasferimento dei dati personali verso Paesi terzi (articolo 44, lettera a), del decreto legislativo 196/2003 – " Codice").

L´autorizzazione è rilasciata dietro espressa richiesta della società interessata, con riferimento a trasferimenti di dati personali dall´Italia verso Paesi terzi che si svolgano nel rispetto di quanto stabilito all´interno del testo di Bcr e per le sole finalità ivi indicate.

Quali sono i principali contenuti del testo di Bcr?

Il testo di Bcr contiene i principi fondamentali in materia di protezione dei dati personali sanciti dal Codice e dalla Direttiva 95/46/CE, secondo lo schema elaborato dal Gruppo "Articolo 29" dei Garanti Europei (cfr. il WP 74, il WP 204, il WP 153 e il WP 195).

In particolare: i principi di correttezza e legittimità del trattamento, di finalità, necessità e proporzionalità dei dati, l´obbligo del titolare di rilasciare idonea informativa all´interessato, i diritti dell´interessato, le misure di sicurezza prescritte dalla legge, il diritto dell´interessato ad ottenere il risarcimento del danno connesso al mancato rispetto delle Bcr da parte di una società del gruppo (c.d. clausola del terzo beneficiario).

Oneri ulteriori, inoltre, sono imposti al gruppo multinazionale d´impresa che deve garantire tra l´altro: la predisposizione di un programma di training del personale in materia di protezione dei dati personali; l´implementazione di un meccanismo di gestione del contenzioso e delle segnalazioni connesse alle Bcr; la conduzione periodica di audit al fine di verificare il rispetto delle Bcr da parte delle società del gruppo; la creazione di un network di privacy officers o di uno staff che si occupi di monitorare il rispetto delle Bcr e di gestire le segnalazioni degli interessati.

Per maggiori e più dettagliate informazioni, si rinvia alle FAQ predisposte dal gruppo dei Garanti Europei (WP 155).

Per un modello esemplificativo di testo di Bcr, si rinvia al documento WP 154.

Come viene predisposto il testo di Bcr?

La procedura per la definizione del testo di Bcr prevede una fase "europea" ed una fase "nazionale"; quest´ultima è finalizzata al rilascio dell´autorizzazione nazionale (ove necessaria, come in Italia).

Procedura a livello europeo

Dal momento che le Bcr hanno ad oggetto i flussi di dati personali tra società appartenenti a un unico gruppo di impresa e dislocate in diversi paesi del mondo, l´autorizzazione al trasferimento transfrontaliero di dati tramite Bcr trova una sua utilità esclusivamente se rilasciata da tutte le Autorità di protezione dei dati (Data Protection Authorities – "DPAs") competenti negli Stati Membri da cui hanno origine i trasferimenti.

Per questo motivo, il Gruppo Articolo 29 ha elaborato una procedura di cooperazione a livello europeo (cfr. WP 107) in grado di assicurare la predisposizione di un testo di Bcr condiviso da tutte le Autorità e valevole per tutti i trasferimenti oggetto delle Bcr medesime.

Tale procedura è condotta da una sola Autorità (c.d. "lead Authority") la quale dialoga, in rappresentanza di tutte le altre DPA, con la società capogruppo.

In particolare, la lead Authority esamina la bozza di Bcr presentata dalla società (c.d. "consolidated draft"), la invia alle altre Autorità per riceverne eventuali commenti (Fase 1) e dialoga con la società per la predisposizione di un testo che accolga tutte le osservazioni formulate (c.d. "final draft" - Fase 2).

Il documento così redatto è inviato alle Autorità partecipanti alla procedura, al fine di ottenerne una valutazione positiva in termini di adeguatezza del livello di protezione dei dati personali.

Di recente, alcune Autorità (fra cui il Garante) hanno aderito ad una dichiarazione di intenti, c.d. "dichiarazione di Mutuo riconoscimento", al fine di semplificare la procedura di approvazione del testo di Bcr a livello europeo, velocizzandone la relativa tempistica.

Ai sensi di tale nuovo modello, la lead Authority, con il supporto di altre due Autorità, dialoga con la società capogruppo al fine di giungere alla predisposizione di un testo ritenuto in linea con i principi fissati dai documenti del Gruppo Articolo 29 in materia di Bcr (WP 74; WP 108; WP 204; WP 153; WP 195) (Fase 1)

Il parere con il quale la lead Authority attesta la conformità del testo di Bcr ai principi sopra indicati è considerato dalle altre Autorità aderenti al sistema di Mutuo riconoscimento quale fondamento sufficiente al rilascio della rispettiva autorizzazione nazionale (Fase 2).

Procedura a livello nazionale

Qualora la singola Autorità si esprima a favore del testo di Bcr, ovvero una volta raggiunta la definizione di un testo di Bcr giudicato conforme dalla lead Authority in base alla procedura semplificata sopra descritta, l´Autorità nazionale potrà procedere al rilascio di un´autorizzazione nazionale al trasferimento dei dati personali oggetto del testo medesimo, ove prevista (Fase 3).

Le due procedure sono schematizzate nel documento allegato.

Come si articola la procedura nazionale di autorizzazione dinanzi al Garante per la protezione dei dati personali?

Il titolare del trattamento stabilito sul territorio dello Stato italiano deve trasmettere al Garante una specifica richiesta di autorizzazione ai trasferimenti di dati personali dal territorio dello Stato verso Paesi Terzi tramite Bcr.

La richiesta deve evidenziare in particolare:

- le tipologie di dati personali oggetto delle attività di trasferimento per cui si chiede l´autorizzazione (es. dati relativi al personale dipendente, ai clienti, ai fornitori ecc.);

- le finalità oggetto delle attività di trasferimento, specificandole per tipologia di dato trasferito (es. i dati relativi al personale dipendente saranno trasferiti per finalità amministrativo-contabili; i dati relativi ai clienti saranno trasferiti per finalità di marketing ecc.);

- i rapporti esistenti tra la società capogruppo e la società che presenta la richiesta di autorizzazione al fine di dimostrare che quest´ultima ha assunto un impegno giuridicamente vincolante al rispetto delle Bcr medesime.

La richiesta deve contenere i seguenti allegati:

il testo di cui si compongono le Bcr con i rispettivi allegati in lingua inglese e in lingua italiana (quest´ultima asseverata da traduzione giurata);

l´application form (WP 133) predisposta dalla società capogruppo in lingua inglese e in lingua italiana (per tale documento non è richiesta la traduzione giurata);

l´attestazione dell´avvenuto pagamento dei diritti di segreteria, il cui ammontare, con riferimento ai procedimenti relativi alle richieste di autorizzazione al trasferimento dei dati verso Paesi non appartenenti all´Unione europea, è stato quantificato, con determinazione dell´Ufficio del 15 gennaio 2005, nella misura di euro 1000,00 (mille) per ciascun titolare del trattamento stabilito nel territorio dello Stato. Il versamento di tale importo può essere effettuato mediante versamento postale sul conto corrente postale n. 51620359 intestato a: "Garante per la protezione dei dati personali, Piazza di Monte Citorio, 121, 00186 Roma"

I termini del procedimento sono di 45 gg. dalla ricezione della richiesta.

La fase istruttoria presso l´Autorità può comportare la richiesta di maggiori informazioni o di ulteriore documentazione al titolare o rendere opportuna l´organizzazione di un incontro con titolare presso l´Autorità.

Al termine del procedimento, il Garante comunica al richiedente la decisione adottata.