Trasferimento dei dati personali al di fuori dello Spazio Economico Europeo

Trasferimento dei dati personali presso Paesi terzi o organizzazioni internazionali: quali le regole da seguire e gli adempimenti a carico del titolare e del responsabile del trattamento, attraverso il ricorso alla lettura del capo V del regolamento UE 2016/679 e dei Considerando ivi richiamati.

1) I trasferimenti di dati personali fuori dai confini europei nel GDPR: le finalità del legislatore

Al netto delle motivazioni che inducono i soggetti a trasferire i dati personali al di fuori della Unione Europea e della considerazione che la normativa di settore non definisce la nozione di “trasferimento”, il legislatore comunitario ha inteso disciplinare tale fattispecie rincorrendo una duplice finalità, rappresentata: da una parte, dal riconoscimento del valore degli scambi delle informazioni e, dall’altra, dalla necessità di dovere, comunque, tutelare i soggetti i cui dati personali sono trasmessi (gli “interessati” del trattamento), rispetto al rischio che suddetti trattamenti possono produrre sui diritti e sulle libertà delle persone fisiche.

A tale proposito il considerando 101 del GDPR stabilisce che “i flussi di dati personali verso e da paesi al di fuori dell’Unione e organizzazioni internazionali sono necessari per l’espansione del commercio internazionale e della cooperazione internazionale. L’aumento di tali flussi ha posto nuove sfide e problemi riguardanti la protezione dei dati personali. È opportuno però che, quando i dati personali sono trasferiti dall’Unione a titolari del trattamento e responsabili del trattamento o altri destinatari in paesi terzi o a organizzazioni internazionali, il livello di tutela delle persone fisiche assicurato nell’Unione dal presente regolamento non sia compromesso, anche nei casi di trasferimenti successivi dei dati personali dal paese terzo o dall’organizzazione internazionale verso titolari del trattamento e responsabili del trattamento nello stesso o in un altro paese terzo o presso un’altra organizzazione internazionale. In ogni caso, i trasferimenti verso paesi terzi e organizzazioni internazionali potrebbero essere effettuati soltanto nel pieno rispetto del presente regolamento. Il trasferimento potrebbe aver luogo soltanto se, fatte salve le altre disposizioni del presente regolamento, il titolare del trattamento o il responsabile del trattamento rispetta le condizioni stabilite dalle disposizioni del presente regolamento in relazione al trasferimento di dati personali verso paesi terzi o organizzazioni internazionali”.

Dalla lettura del Capo V del Regolamento UE 2016/679 (di seguito, “Regolamento” o “GDPR”) si evincono una serie di regole (rectius, “condizioni”) che il titolare e il responsabile del trattamento devono rispettare in caso di trasferimento di dati personali “oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento verso un paese terzo o un’organizzazione internazionale”. Pertanto le disposizioni normative hanno il fine di assicurare “che il livello di protezione delle persone fisiche garantito dal presente regolamento non sia pregiudicato”. (art. 44 GDPR).

2) Dati personali: i presupposti di legittimità dei trasferimenti extra SEE

1. Secondo il GDPR i trasferimenti di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo (SEE, ossia UE + Norvegia, Liechtenstein, Islanda) o verso un’organizzazione internazionale sono consentiti se l’adeguatezza del Paese terzo o dell’organizzazione sia stata riconosciuta tramite decisione della Commissione europea (art. 45 del Regolamento UE 2016/679). Per conoscere il significato della espressione “decisione di adeguatezza” è il caso di rifarsi alla sentenza della Corte di Giustizia dell’Unione Europea (CGUE) del 6 ottobre 2015, caso Schrems, ove si legge che il termine adeguato “implica che non possa esigersi che un paese terzo assicuri un livello di protezione identico a quello garantito nell’ordinamento giuridico dell’Unione”.

2. In assenza di tale decisione, il trasferimento è consentito solo qualora il titolare o il responsabile del trattamento forniscano garanzie adeguate che prevedano quindi diritti azionabili e mezzi di ricorso effettivi per gli interessati (art. 46 del Regolamento UE 2016/679).

2.1 Al riguardo, possono costituire garanzie adeguate, 

• senza autorizzazione da parte del Garante:

• • gli strumenti giuridici vincolanti ed esecutivi tra soggetti pubblici (art. 46, par. 2, lett. a);
  • le norme vincolanti d’impresa (art. 46, par. 2, lett. b);
  • le clausole tipo (art. 46, par. 2, lett. c e lett. d);
  • i codici di condotta (art. 46, par. 2, lett. e);
  • i meccanismi di certificazione (art. 46, par. 2, lett. f).

• 2.2 Previa autorizzazione del Garante:
  • le clausole contrattuali ad hoc (art. 46, par. 3, lett. a);
  • gli accordi amministrativi tra autorità o organismi pubblici (art. 46, par. 3, lett. b).

3. In assenza di ogni altro presupposto (rif. punti: 1, 2, 2.1 e 2.2), è possibile trasferire i dati personali in base ad alcune deroghe (consenso, contratto, interesse pubblico, difesa in giudizio, interesse vitale, registro pubblico, cogente interesse legittimo del titolare) che secondo l’art. 49 del Regolamento UE 2016/679 si verificano in specifiche situazioni.

Tali deroghe vanno, quindi, considerate residuali e occasionali, secondo quanto precisato nel considerando 111, laddove si afferma testualmente che “è opportuno prevedere la possibilità di trasferire dati in alcune circostanze se l’interessato ha esplicitamente acconsentito, se il trasferimento è occasionale e necessario in relazione a un contratto o un’azione legale, che sia in sede giudiziale, amministrativa o stragiudiziale, compresi i procedimenti dinanzi alle autorità di regolamentazione. È altresì opportuno prevedere la possibilità di trasferire dati se sussistono motivi di rilevante interesse pubblico previsti dal diritto dell’Unione o degli Stati membri o se i dati sono trasferiti da un registro stabilito per legge e destinato a essere consultato dal pubblico o dalle persone aventi un legittimo interesse. In quest’ultimo caso, il trasferimento non dovrebbe riguardare la totalità dei dati personali o delle categorie di dati contenuti nel registro; inoltre, quando il registro è destinato a essere consultato dalle persone aventi un legittimo interesse, i dati possono essere trasferiti soltanto se tali persone lo richiedono o ne sono destinatarie, tenendo pienamente conto degli interessi e dei diritti fondamentali dell’interessato”.

Pertanto, se la decisione di adeguatezza della Commissione consente all’esportatore di dati di muoversi nelle sue valutazioni come se si fosse all’interno dello Spazio economico Europeo, in assenza di tale decisione di adeguatezza occorre svolgere una serie di analisi supplementari, pur muovendosi nell’ambito delle garanzie ritenute adeguate dal GDPR.

Tale impostazione interpretativa trova pieno riscontro nella lettura del considerando 104 del GDPR laddove si precisa che “in linea con i valori fondamentali su cui è fondata l’Unione, in particolare la tutela dei diritti dell’uomo, è opportuno che la Commissione, nella sua valutazione del paese terzo, o di un territorio o di un settore specifico all’interno di un paese terzo, tenga conto del modo in cui tale paese rispetta lo stato di diritto, l’accesso alla giustizia e le norme e gli standard internazionali in materia di diritti dell’uomo, nonché la legislazione generale e settoriale riguardante segnatamente la sicurezza pubblica, la difesa e la sicurezza nazionale, come pure l’ordine pubblico e il diritto penale. L’adozione di una decisione di adeguatezza nei confronti di un territorio o di un settore specifico all’interno di un paese terzo dovrebbe prendere in considerazione criteri chiari e obiettivi come specifiche attività di trattamento e l’ambito di applicazione delle norme giuridiche e degli atti legislativi applicabili in vigore nel paese terzo. Il paese terzo dovrebbe offrire garanzie di un adeguato livello di protezione sostanzialmente equivalente a quello assicurato all’interno dell’Unione, segnatamente quando i dati personali sono trattati in uno o più settori specifici. In particolare, il paese terzo dovrebbe assicurare un effettivo controllo indipendente della protezione dei dati e dovrebbe prevedere meccanismi di cooperazione con autorità di protezione dei dati degli Stati membri e agli interessati dovrebbero essere riconosciuti diritti effettivi e azionabili e un mezzo di ricorso effettivo in sede amministrativa e giudiziale”.

In poche parole, laddove questa puntuale valutazione di adeguatezza non sia stata fatta dalla Commissione, devono essere i titolari e i responsabili del trattamento a provvedere direttamente a compensare tale carenza di protezione dei dati personali in un paese terzo attraverso l’utilizzo di adeguate garanzie a tutela dell’interessato.

3) Dati personali: adempimenti a carico del Titolare/Responsabile del trattamento

Il titolare deve compiere una serie di adempimenti per potere trasferire legalmente i dati al di fuori del SEE:

1. Mappare i trasferimenti di dati personali in Paesi terzi.
2. Mappare e registrare tutti i trasferimenti (nel registro dei trattamenti), individuando anche la presenza di Contitolari/Responsabili.
3. Individuare gli strumenti di trasferimento su cui viene fatto affidamento. Si rinvia a quanto illustrato ai punti 1, 2, 2.1 e 3 .
4. Valutare se lo strumento di trasferimento di cui all’art. 46 GDPR su cui si fa affidamento è efficace alla luce di tutte le circostanze del trasferimento. Lo strumento di trasferimento selezionato, ai sensi dell’art. 46 GDPR, deve essere efficace nel garantire che il livello di protezione assicurato dal GDPR non sia pregiudicato dal trasferimento nella pratica.
5. Adottare misure supplementari. Se la valutazione degli strumenti di trasferimento (art. 46 GDPR) non è efficace, si deve considerare l’eventuale esistenza di misure supplementari che, aggiunte alle garanzie contenute negli strumenti di trasferimento, potrebbero garantire che i dati trasferiti godano, nel paese terzo, di un livello di protezione sostanzialmente equivalente a quello garantito all’interno della UE
6. Procedura da seguire a seconda delle misure supplementari individuate. I passaggi procedurali da adottare nel caso in cui siano state individuate misure supplementari efficaci da porre in essere variano a seconda dello strumento di trasferimento utilizzato, ai sensi dell’art. 46 GDPR.
7. Rivalutare il tutto nel corso del tempo. Vanno costantemente monitorati gli sviluppi che, nel paese terzo ove sono stati trasferiti i dati personali, potrebbero influenzare la valutazione iniziale del livello di protezione e le decisioni che sono state prese.
8. Eseguire una analisi dei rischi (Privacy Impact Assessment – P.I.A.). In applicazione di quanto prescritto all’art. 24 GDPR “Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.”
9. Eseguire una valutazione di impatto. In applicazione di quanto prescritto all’art. 35 GDPR “Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.”

4) Trasferimento dei dati personali al di fuori dello Spazio Economico Europeo: conclusioni

In estrema sintesi, l’European Data Protection Board (EDPB) ha precisato che, in assenza di decisione di adeguatezza rispetto al paese terzo in cui si intende effettuare il trasferimento, il titolare del trattamento può adottare una delle misure di garanzia previste dall’art. 46 del GDPR, ma deve anche assicurarsi che il livello di protezione del paese terzo sia sostanzialmente equivalente a quello offerto dall’ordinamento europeo, anche favorendo l’implementazione delle cd. misure supplementari riportate nella Raccomandazione 01/2020 dell’EDPB.

Si suggerisce, infine, al titolare del trattamento di sviluppare il cd. transfer impact assesment, un modello organizzativo ben documentato che di fatto consenta una valutazione concreta e approfondita dello strumento scelto dal titolare per legittimare il trasferimento dei dati personali nel Paese Terzo. 

Tale valutazione va fatta anche alla luce del quadro giuridico e dell’applicazione concreta della legge di riferimento del paese terzo di destinazione. Si tratta di un assessment che dovrà essere calzante al contesto di riferimento attraverso la realizzazione di una mappa dei flussi di dati e monitorando costantemente l’adeguatezza offerta dalle misure tecniche e organizzative individuate nell’analisi.

Come sappiamo bene, la Raccomandazione dell’EDPB 01/2020 è stata motivata dalla sentenza C-311/18 (cd. «Schrems II») con la quale la Corte di giustizia dell’Unione europea ha dichiarato l’invalidità della decisione 2016/1250 della Commissione europea sull’adeguatezza della protezione offerta dal regime del cd. “Privacy Shield”. Ma gli autorevoli contenuti della sentenza della Corte e della Raccomandazione dell’EDPB hanno una portata generale e devono essere accolti con favore nell’analisi interpretativa di qualsiasi trasferimento dei dati extra SEE.

Tutti i titolari di dati personali che intendono trasferire dati verso Paesi che non sono stati oggetto di positiva valutazione di adeguatezza da parte della Commissione (o verso organizzazioni che non rientrano nella “Data Privacy Framework List”)12 devono, quindi, in via preliminare valutare le circostanze concrete dei trasferimenti dei dati e le misure supplementari eventualmente azionabili. Devono cioè preoccuparsi di garantire un livello adeguato di protezione delle persone fisiche in relazione ai loro diritti e libertà fondamentali. In ossequio al principio di accountability, l’adeguatezza del livello di protezione deve essere verificata e assicurata in modo attivo e continuo, attuando misure legali, tecniche e organizzative che ne garantiscano l’effettività e comprovando il rispetto dei principi di protezione dei dati personali.