Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

DATA PROTECTION

Trasferimento dati da e verso la Svizzera: le formalità da attuare, oltre al GDPR

Per gestire correttamente il trasferimento dati da e verso la Svizzera, alle aziende non basta essere GDPR compliant: si tratta, infatti, di un paese extra UE non assoggettato al Regolamento UE per cui i flussi di dati devono essere sottoposti, in alcuni casi, alla normativa locale. Ecco tutte le formalità da attuare spiegate con alcuni esempi pratici

19 Feb 2020
D
Diego Dimalta

Avvocato


Nel caso di trasferimento dati da e verso paesi extra UE (come la Svizzera) molti ritengono che se l’azienda è GDPR compliant allora non ha nulla da temere.

Uno dei principali errori in cui ci si imbatte nell’adeguamento di imprese con business internazionale è proprio quello di prendere in considerazione la sola normativa europea senza dare sufficiente peso alla normativa degli stati con cui le imprese lavorano frequentemente.

In realtà, questa impostazione è errata perché, come vedremo, esistono diverse casistiche in cui i flussi di dati devono essere sottoposti alla normativa straniera.

Proprio la Svizzera, ad esempio, è uno dei principali stati extra UE con cui le imprese italiane intrattengono rapporti commerciali. La sua vicinanza, tuttavia, spesso tende a far pensare che si tratti di un paese soggetto a GDPR anche se, come ben sappiamo, così non è.

In generale possiamo individuare due casistiche principali: 1- invio di dati da UE a Svizzera; 2- invio di dati da Svizzera a UE.

Trasferimento dati da e verso la Svizzera: l’invio dei dati

Nel caso di invio di dati dalla UE verso la Svizzera si possono verificare due diversi scenari.

È in primo luogo possibile che il titolare sia un soggetto con sede in Europa che decida di ivi raccogliere i dati e di inviarli all’estero. In questo caso si dovrà applicare la disciplina prevista per l’invio di dati all’estero dagli articoli 44 e successivi del GDPR.

A tal proposito, pare il caso di videnziare che, così come indicato anche sul sito del Garante, la Svizzera è ritenuta paese capace di garantire un adeguato grado di protezione per i dati, potendo gli stessi essere qui inviati senza necessità di domandare un consenso apposito.

Uno scenario diverso si verifica invece nel caso in cui il dato non venga inviato all’estero dal titolare/azienda ma dall’interessato/cliente finale. In questo secondo scenario, difatti, è come se il dato lo portasse direttamente il cliente all’estero, senza un vero e proprio intervento del titolare il quale, potenzialmente, potrebbe essere del tutto ignaro del fatto che riceverà dati da cittadini europei.

WHITEPAPER
Cybersecurity: come superare le vulnerabilità delle tecniche di Intelligenza Artificiale
Sicurezza
Sicurezza

Per capire meglio, facciamo due esempi concreti.

Se Tizio si presenta in una clinica privata di Milano e prenota una visita, e questa clinica invia i dati in Svizzera, in questo caso al trasferimento dati si applicherà di sicuro la disciplina del GDPR.

Se invece Tizio si reca autonomamente in Svizzera, o invia una mail ad una clinica qui situata, quest’ultima non sarà necessariamente obbligata ad applicare il GDPR. Il Regolamento, difatti, a norma dell’art. 3 prevede che il GDPR debba ritenersi applicabile a soggetti esteri solo qualora questi abbiano un legame ricorrente con i cittadini/abitanti dell’Unione Europea.

In particolare, la norma, al comma 2, afferma:

Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano(C23, C24):

  1. l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato;
  2. il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione”.

Ritornando all’esempio di prima, se la clinica Svizzera ha come clienti frequenti i cittadini dell’Unione Europea, la stessa sarà tenuta ad applicare il GDPR. Non solo, in base all’art. 27, ricorrendo la fattispecie di cui sopra, il titolare del trattamento sarà tenuto altresì a designare per iscritto un rappresentante nell’Unione. Differentemente, il titolare essendo stabilito in paese extra UE potrà limitarsi ad applicare la normativa in vigore in Svizzera.

Trasferimento dati da e verso la Svizzera: la ricezione dei dati

Cosa accade, invece, nel caso in cui il flusso dei dati parte dalla Svizzera e si dirige verso l’ UE? Anche in questo caso lo scenario cambia completamente a seconda del luogo in cui i dati vengono raccolti. Se difatti il dato è raccolto in Europa (ed è il cittadino svizzero ad ivi inviarlo) allora si applicherà il GDPR, differentemente si applicherà la legge Svizzera.

Facciamo due esempi concreti. Se il titolare ha un sito in Europa indirizzato principalmente a soggetti, ad esempio, italiani, egli dovrà applicare il GDPR. Se invece egli ha sede in Italia e un piccolo negozio in Svizzera, i dati che verranno ivi raccolti e portati in Italia (per soddisfare l’ordine del cliente) dovranno essere trattati sulla base della normativa svizzera non risultando assolutamente sufficiente l’applicazione del GDPR.

A tal riguardo è opportuno quindi sapere che la Legge Federale sulla Protezione dei Dati (LPD) all’articolo 6 prevede che:

“I dati personali non possono essere comunicati all’estero qualora la personalità della persona interessata possa subirne grave pregiudizio, dovuto in particolare all’assenza di una legislazione che assicuri una protezione adeguata”.

In alternativa, il trasferimento dati può avvenire al ricorrere di una delle seguenti casistiche:

  1. “garanzie sufficienti, segnatamente contrattuali, assicurano una protezione adeguata all’estero;
  2. la persona interessata ha dato il suo consenso nel caso specifico;
  3. il trattamento è in relazione diretta con la conclusione o l’esecuzione di un contratto e i dati trattati concernono l’altro contraente;
  4. nel caso specifico la comunicazione è indispensabile per tutelare un interesse pubblico preponderante oppure per accertare, esercitare o far valere un diritto in giustizia;
  5. nel caso specifico la comunicazione è necessaria per proteggere la vita o l’incolumità fisica della persona interessata;
  6. la persona interessata ha reso i dati accessibili a chiunque e non si è opposta formalmente al loro trattamento;
  7. la comunicazione ha luogo all’interno della stessa persona giuridica o società oppure tra persone giuridiche o società sottostanti a una direzione unica, sempreché emittente e destinatario sottostiano a regole sulla protezione dei dati che assicurano una protezione adeguata”.

Anche nella legislazione svizzera sono previste quindi delle situazioni in cui l’invio dei dati è ammesso (clausole contrattuali, paese adeguato, consenso ecc.) risultando invece vietato in tutti gli altri casi.

Soffermandosi in particolare sulla possibilità di inviare i dati all’estero in presenza di un paese che garantisca una protezione dei dati adeguata, è utile rilevare come l’Autorità elvetica abbia pubblicato una apposita guida per fornire una migliore interpretazione della normativa, nella quale viene specificato che, di norma, si può presumere che uno Stato che abbia ratificato la Convenzione del Consiglio d’Europa del 28 gennaio 1981 sulla protezione delle persone nei confronti del trattamento automatizzato dei dati di carattere personale e che abbia sottoscritto il relativo protocollo addizionale, garantisca una protezione adeguata.

Considerazioni finali

È quindi da ritenere che gli Stati dell’Unione Europea siano tutti considerati conformi non essendo, tra l’altro, richiesto il consenso per ivi inviare i dati personali dei clienti svizzeri. Non solo, l’invio di dati dalla Svizzera all’Unione Europea non necessiterà nemmeno della notifica all’Autorità richiesta invece nel caso di BCR (Binding Corporate Rules) o di calusole contrattuali standard.

Resta comunque sottointeso che l’applicabilità della normativa Svizzera non si limita alla corretta gestione dei flussi oltre confine, risultando necessario adeguarsi a tutto quanto richiesto dalla LPD che, peraltro, a breve verrà del tutto revisionata al fine di armonizzare la normativa elvetica a quella europea.

Come visto, in conclusione, la Svizzera risulta uno stato con legislazione piuttosto simile a quella Europea, non destando particolari problemi l’applicazione della normativa estera da parte delle aziende UE. Ma questo è solo uno dei numerosi casi di applicazione di diritto straniero e non tutti gli stati hanno normative così armoniche con la nostra. Esistono stati in cui la mancanza del consenso costituisce illecito penale, anche se magari per il GDPR il consenso non appare necessario.

WHITEPAPER
Mobile security: come proteggere gli smartphone dai malware
Mobility
Sicurezza

Bisogna quindi fare molta attenzione nella gestione dei flussi, per evitare spiacevoli inconvenienti ai propri clienti ed ai loro dipendenti in loco.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5