Privacy

Il trasferimento di dati oltre lo Spazio Economico Europeo: regole pratiche e difficoltà applicative

05 Gennaio 2023

Il trasferimento di dati personali oltre lo Spazio Economico Europeo richiede il rispetto delle norme dettate dal capo V del GDPR. Qualora il paese importatore non sia destinatario di una decisione di adeguatezza, il trasferimento potrà esse effettuato solo sulla base di garanzie adeguate, espressamente previste dal Regolamento e sarà onere del titolare svolgere una Transfer Impact Assessment. Particolare attenzione merita l’analisi della disciplina dei trasferimenti di dati verso gli USA a seguito della sentenza “Schrems II”.

Il quadro normativo

Il trasferimento internazionale di dati personali è disciplinato dal capo V del GDPR, che ricomprende gli articoli dal 44 al 50. Ulteriori chiarimenti sulla materia derivano dalle fonti di soft law; in particolare rilevano le “Raccomandazioni 01/2020” e le “Linee guida 05/2021” dell'European Data Protection Board (“EDPB”).

Principi generali

L'art. 44 del GDPR indica i principi generali per il trasferimento di dati personali. Questa norma prevede che il titolare del trattamento rispetti delle disposizioni del capo V del GDPR al fine di assicurare che il livello di protezione delle persone fisiche garantito dal Regolamento non sia pregiudicato.

Tale principio viene ribadito anche dai considerando 101, che estende il principio del livello equivalente di protezione dei dati personali anche ai trasferimenti successivi dal paese terzo verso altri titolari e/o responsabili del trattamento, e 104, che richiede che i paesi destinatari di una decisione di adeguatezza della Commissione garantiscano un livello di protezione dei dati personali sostanzialmente equivalente a quello assicurato dal diritto dell'Unione.

Da ultimo, il concetto di livello sostanzialmente equivalente è ampiamente richiamato dalla sentenza della Corte Giust. (UE) C-311/18, 16 luglio 2020 (nota anche come “Schrems II”), la quale aggiunge che le garanzie adeguate, i diritti azionabili e i mezzi di ricorso effettivi devono garantire che i diritti delle persone i cui dati personali sono trasferiti verso un paese terzo godano di un livello di protezione sostanzialmente equivalente a quello garantito all'interno dell'Unione dal GDPR.

Applicazione del Capo V del GDPR

La disciplina del capo V del GDPR trova applicazione quando (a) un soggetto (esportatore), sottoposto all'applicazione del GDPR, (b) trasferisce dati personali (c) ad un soggetto terzo (importatore) collocato all'esterno del SEE.

La definizione di trasferimento dei dati sopra riportata non è presente all'interno del GDPR ed è frutto dell'elaborazione operata dall'EDPB nelle citate linee guida 05/2021; essa, come evidenziato dalle lettere in parentesi, consta di tre elementi che devono sussistere cumulativamente.

Un'esplicazione di questi concetti è contenuta nei punti seguenti.

  1. Ambito di applicazione territoriale del GDPR e Spazio Economico Europeo

Il GDPR si applica principalmente ai trattamenti di dati personali effettuati dallo stabilimento di un titolare o di un responsabile del trattamento situato all'interno dell'Unione. Per stabilimento deve intendersi qualunque struttura che implichi un trattamento di dati personali effettivo, reale e stabile, indipendentemente dalla forma giuridica assunta.

Pertanto, ogni soggetto che abbia uno stabilimento all'interno dell'unione, indipendentemente dal fatto che tale stabilimento sia una succursale, una filiale o la sede principale, dovrà dare applicazione alle disposizioni relative al trasferimento di dati. È altresì irrilevante il ruolo soggettivo all'interno del trattamento di dati personali, in quanto anche un responsabile del trattamento dovrà dare piena attuazione al Regolamento, anche con riferimento alle norme sul trasferimento internazionale di dati personali.

L'ambito di applicazione territoriale del GDPR è esteso anche allo Spazio Economico Europeo (“SEE”). Pertanto, quando si definisce il perimetro di applicazione territoriale non si deve tenere conto solo degli stati dell'Unione ma anche di quelli che fanno parte del SEE. Il Regolamento, infatti, a far data dal 6 Luglio 2018, è diventato parte integrante dell'accordo sullo Spazio Economico Europeo.

  1. Trasferimento di dati

Il trasferimento consiste non solo nella trasmissione dei dati ma anche nella mera messa a disposizione delle informazioni. Nell'ipotesi in cui la Società Alfa, con sede in Europa, permetta l'accesso ai propri dati ai dipendenti della società Beta, che opera nel Regno Unito, per operazioni di assistenza tecnica, si avrà un trasferimento di dati personali. È considerato un trasferimento di dati oltre lo Spazio Economico Europeo anche l'archiviazione dei dati in un cloud offerto da un prestatore di servizi estero.

Anche sotto questo profilo, è irrilevante il ruolo soggettivo dell'esportatore, che può essere tanto un titolare quanto un responsabile del trattamento. Poniamo il caso in cui la società Alfa, con sede legale in Brasile e senza stabilimenti in Europa, trasferisca dati personali riferiti a cittadini non europei alla società Beta, con sede legale in Francia, per svolgere operazioni di trattamento per suo conto. Nel momento in cui Beta mandasse i dati personali indietro ad Alfa, l'operazione sarebbe considerata un trasferimento internazionale di dati.

Il trasferimento di dati può realizzarsi anche tra un responsabile ed un sub-responsabile. Ad esempio, la società Beta, con sede in Italia, è responsabile del trattamento di Alfa, società tedesca, per alcune operazioni legate alla gestione di un database contenete indirizzi mail di potenziali clienti. Per svolgere le proprie attività, Beta di avvale dei servizi offerti da Gamma, prestatore di servizi informatici con sede in India e le trasferisce i dati personali in oggetto. Il capo V del GDPR trova applicazione: Beta agirà come esportatore e Gamma come importatore dei dati.

Le differenti entità di un gruppo societario devono essere considerate come autonomi titolari del trattamento; pertanto, il trasferimento da un controllata europea alla casa madre (o viceversa) deve essere considerato un trasferimento soggetto alle disposizioni del capo V.

Esistono anche una serie di ipotesi che esulano dalla definizione di trasferimento di dati personali. L'ipotesi più rilevante è quella della mera circolazione di dati. Nel caso in cui il trasferimento prenda piede tra due entità all'interno dell'UE e, nel corso di questa operazione, i dati transitino su un server collocato in India, non troverà applicazione il capo V del GDPR.

Non si ha un trasferimento di dati personali quando i dati sono condivisi di propria iniziativa dall'interessato all'importatore o resi da questo pubblici su un sito web liberamente accessibile.

  1. Soggetto importatore collocato al di fuori dello Spazio Economico Europeo

Perché il terzo criterio sia soddisfatto è sufficiente che l'importatore sia collocato oltre lo Spazio Economico Europeo. A tal fine, non è rilevante che l'importatore sia soggetto al GDPR.

Trasferimenti "liberi" di dati personali e decisioni di adeguatezza

Date queste premesse, è possibile distinguere i trasferimenti di dati personali “liberi”, cioè che non richiedono alcuna azione da parte dell'esportatore, e trasferimenti di dati personali soggetti all'adozione di garanzie adeguate e contromisure da parte dell'esportatore.

Sono trasferimenti di dati personali liberi quelli:

  • effettuati all'interno dell'Unione Europea
  • effettuati all'esterno dell'Unione Europea verso paesi destinatari di una decisione di adeguatezza della Commissione ai sensi dell'art. 45 del GDPR.

I trasferimenti di dati personali liberi possono essere effettuati senza porre in esser alcuna azione aggiuntiva e in assenza di autorizzazioni specifiche.

Le decisioni di adeguatezza possono avere carattere totale oppure parziale. Nel secondo caso sono riferite a solo una frazione di trasferimenti, individuata sulla base di differenti fattori, come l'applicazione di una determinata normativa, l'appartenenza al settore privato, l'adesione ad un programma di conformità.

Trasferimenti di dati personali soggetti all'adozione di garanzie adeguate

I trasferimenti verso paesi non destinatari di una decisione di adeguatezza devono essere svolti in presenza di garanzie adeguate. L'esportatore, in particolare, è chiamato ad adottare misure di salvaguardia adeguate a garantire un livello di protezione dei dati personali sostanzialmente equivalente a quello previsto nell'Unione Europea.

Le misure di garanzia sono tassative e indicate dall'art. 46 del GDPR. L'adozione di una misura di garanzia permette di effettuare il trasferimento dei dati su base continuativa. Quelle individuate dal Regolamento sono:

  • uno strumento giuridicamente vincolante avente efficacia tra autorità pubbliche (non applicabile al settore privato)
  • le norme vincolanti d'impresa
  • le clausole tipo adottate dalla Commissione
  • le clausole tipo adottate da un'autorità di controllo e approvate dalla Commissione
  • un codice di condotta approvato da un'autorità di controllo e sottoscritto dall'importatore
  • un meccanismo di certificazione approvato e sottoscritto dall'importatore.

Quando occorre individuare garanzie supplementari:

  1. Insufficienza delle garanzie adeguate, implicazioni della sentenza Schrems II e “Transfer Impact Assessment

La sola adozione di una delle garanzie di cui all'art. 46 del GDPR non è di per sé sufficiente per rendere legittimo il trasferimento di dati all'estero. Lo stesso art. 46 richiede, infatti, che gli interessati debbano comunque disporre di diritti azionabili e mezzi di ricorso effettivi.

In questo senso, sono stati significativi gli impatti della Sentenza Schrems II, la quale ha chiarito che l'art. 46 vada interpretato nel senso che le garanzie adeguate, i diritti azionabili e i mezzi di ricorso debbano garantire un livello di protezione sostanzialmente equivalente a quello previsto all'interno dell'Unione Europea.

A livello operativo, l'esportatore, prima di procedere al trasferimento di dati verso un paese non destinatario di una decisione di adeguatezza dovrà effettuare una valutazione d'impatto sul trasferimento di dati (nota come “Transfer Impact Assessment” o “TIA”). Lo scopo della TIA sarà quello di stabilire se l'utilizzo di una delle garanzie individuate ai sensi dell'art. 46 del GDPR risulti sufficiente a garantire un livello di protezione sostanzialmente equivalente a quello unionale. Tale valutazione dovrà tenere conto della possibilità di accessi ai dati da parte delle autorità pubbliche del paese di importazione, indipendentemente dal fatto che tale accesso sia effettuato con o  senza  la  consapevolezza  dell'importatore, considerando la possibilità che tali accessi possano essere effettuati anche per tramite dei fornitori di servizi di telecomunicazione o altri service provider (ad esempio, cloud provider).

In caso di esito positivo, il trasferimento potrà prendere piede. In caso di esito negativo, l'esportatore dovrà valutare se è possibile adottare misure supplementari e se queste risultino sufficienti a rispettare i requisiti indicati.

Le misure supplementari possono essere distinte in misure di carattere legale (accordi contrattuali ulteriori), organizzativo (legate alle modalità di gestione del dato a livello procedurale) e tecnico (soluzioni che garantiscano la riservatezza dei dati personali trasferiti come la crittografia del dato in transito e a riposo). Le Raccomandazioni 01/2020 dell'EDPB contengono un elenco esaustivo di possibili misure supplementari.

L'esportatore, dopo aver individuato le misure supplementari, dovrà ripetere la TIA per verificare se le contromisure siano sufficienti a prevenire accessi abusivi e a garantire un livello di protezione equivalente.

  1. Clausole tipo (“SCC”)

Le clausole tipo, note anche come Clausole Contrattuali Standard o in inglese Standard Contractual Clauses (“SCC”), sono clausole contrattuali approvate dalla Commissione che, se sottoscritte ed attuate da entrambe le parti, possono costituire una garanzia adeguata per il trasferimento di dati oltre lo Spazio Economico Europeo. Si tratta dello strumento più comune per il trasferimento di dati oltre lo Spazio Economico Europeo. L'attuale versione delle SCC è stata rilasciata dalla Commissione nel 2021 e sostituisce le precedenti.

Le SCC devono essere utilizzate nella loro integrità e non sono ammesse modifiche se non quelle necessarie a completare il testo (laddove richiesto), a selezionare i moduli e a compilare gli allegati.

Le nuove SCC sono composte di 4 moduli. A seconda del ruolo soggettivo ricoperto dalle parti che le sottoscrivono, deve essere individuato e selezionato il modulo pertinente. I moduli forniti sono applicabili ai trasferimenti:

  • tra titolari del trattamento
  • tra un titolare e un responsabile
  • tra un responsabile e un sub-responsabile
  • tra un responsabile e un titolare.

Le clausole standard tra titolare e responsabile e quelle tra responsabile e sub-responsabile del trattamento contengono al loro interno anche le previsioni contrattuali richieste dall'art. 28 del GDPR; pertanto, quando due soggetti sottoscrivono le SCC ai sensi dell' art. 46 non sono richiesti di sottoscrivere anche il contratto ai sensi dell'art. 28.

La Commissione non ha chiarito, nonostante la richiesta formulata nell' parere congiunto di EDPB e EDPS n. 02/2021, se le clausole tra titolari del trattamento possono essere utilizzate anche nel caso di contitolarità. In assenza di una presa di posizione chiara, occorre propendere per la soluzione negativa; le stesse autorità, nel formulare la richiesta alla Commissione, hanno spiegato che le clausole “sembrano” riguardare i trasferimenti tra titolari autonomi.

Deroghe al trasferimento di dati personali

Quando non è possibile ricorrere ad una delle garanzie previste dall'art. 46 del GDPR per effettuare il trasferimento, l'esportatore potrà, in via di subordine, verificare l'applicabilità di una delle deroghe previste dall'art. 49 del GDPR.

Le deroghe dell'art. 49 rappresentano un'ipotesi eccezionale e scarsamente rilevante nella pratica. L'EDPB nelle linee guida n. 2/2018 ha precisato che l'art. 49 rappresenta un'eccezione al principio generale contenuto nell'art. 44 e, proprio per il suo carattere eccezionale, le deroghe devono essere applicate “in maniera restrittiva, affinché l'eccezione non diventi una regola”.

Le deroghe previste sono:

  • il consenso dell'interessato;
  • l'esecuzione di un contratto sottoscritto tra il titolare e l'interessato;
  • l'esecuzione di un contratto sottoscritto tra il titolare e un terzo in favore dell'interessato;
  • l'adempimento di motivi di interesse pubblico (non applicabile al settore privato);
  • l'esercizio di un diritto in sede giudiziaria;
  • la tutela degli interessi vitali dell'interessato;
  • l'esecuzione di un trasferimento a partire da un registro pubblico;
  • il perseguimento di interessi legittimi del titolare del trattamento.

Trasferimento di dati verso gli USA

Merita infine attenzione la questione riguardante il trasferimento di dati personali negli USA. La tematica è di particolare interesse in quanto la quasi totalità dei fornitori di servizi della società dell'informazione processa i dati personali necessari a rendere i propri servizi in territorio statunitense. Ne consegue che molte aziende effettuano – anche inconsapevolmente – trasferimenti di dati verso gli USA. A titolo esemplificativo, si consideri che l'installazione di strumenti fondamentali per la gestione dei siti web, come i servizi offerti da Google comportano un tale trasferimento di dati.

Fino al luglio 2020 il trasferimento di dati verso gli USA si basava sull'adesione di molte società importatrici al Privacy Shield, ossia un framework di norme che, sulla base di un accordo tra la Commissione Europea e le autorità locali, garantiva il rispetto delle garanzie essenziali in tema di trasferimento di dati da parte delle società aderenti.

La già citata sentenza Schrems II ha posto un freno a questo meccanismo. In tale occasione, la Corte di Giustizia ha stabilito che, alla luce della normativa statunitense che permette accessi ai dati personali alle autorità di contrasto, il Privacy Shield non offrisse un livello di garanzia conforme a quanto richiesto dal Capo V del GDPR.

Il trasferimento negli USA ricade ora tra i trasferimenti che richiedono l'adozione di misure di garanzie adeguate. Tuttavia, la lettura della sentenza e i successivi interventi dell'EDPB hanno evidenziato che la sola sottoscrizione delle SCC non risulta sufficiente a rendere legittimo il trasferimento di dati verso questo paese.

Pertanto, la norma richiederebbe l'adozione di garanzie ulteriori per il trasferimento dei dati personali. Tali garanzie, sempre in considerazione del tenore della sentenza Schrems II, non possono che consistere in soluzioni di natura tecnica, tali da rendere il dato criptato sia durante il transito sia durante la conservazione negli USA. Questa soluzione, tuttavia, impedirebbe all'importatore di svolgere qualsiasi operazione di trattamento su di esso.

Alla di data di redazione di questo contribuito i trasferimenti di dati verso gli USA rimangono pertanto sostanzialmente vietati. Il 13 dicembre la Commissione ha approvato una bozza di decisione di adeguatezza concernete il “Trans-Atlantic Data Privacy Framework”, lo schema che dovrebbe sostituire il Privacy Shield. L'iter approvativo è in corso ma non è stata annunciata una data certa di conclusione, né è stata concessa una deroga al divieto di trasferimenti nelle more della decisione.

In conclusione

La disciplina del trasferimento di dati personali prevede un approccio a più livelli. In assenza di una decisione di adeguatezza è necessario adottare misure di garanzia ulteriore. Ricade sull’esportatore il compito di svolgere una TIA per valutare il rischio connesso al trasferimento dei dati, valutare le misure di garanzia e le eventuali misure supplementari. L’utilizzo di una deroga per il trasferimento dei dati è ammesso quando non sia possibile individuare misure adeguate ma è limitato a casi eccezionali. I trasferimenti di dati verso gli USA devono considerarsi al momento come sostanzialmente illegittimi.

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.

Sommario