LINEE GUIDA EDPB

Trasferimento dati internazionale: criteri operativi per titolari e responsabili del trattamento

Le linee guida 05/2021 adottate dall’EDPB elaborano un nuovo concetto di trasferimento dati internazionale e, grazie a tre criteri cumulativi, consentono a titolari e responsabili di qualificare correttamente il trattamento dei dati stessi. Tutto quello che c’è da sapere per la conformità al GDPR

31 Gen 2022
M
Francesca Mistretta

Specialista in Protezione dei Dati, Funzione Compliance

Lunedì 31 gennaio 2022 scade il termine della consultazione pubblica che ha per oggetto le Linee Guida 05/2021 adottate dall’ EDPB e aventi lo scopo di assistere i titolari del trattamento dei dati in UE nell’ individuare se un trattamento costituisce o meno un trasferimento internazionale e nel fornire un nuovo concetto di trasferimento dati internazionale.

Codici di condotta come tool di trasferimento dati extra-UE: ecco le opportunità

Trasferimento dati internazionale: la lettura del GDPR

A mente dell’articolo 44, contenuto nel Capo V del GDPR e rubricato “Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali”, “qualunque trasferimento di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento verso un paese terzo o un’organizzazione internazionale, compresi trasferimenti successivi di dati personali da un paese terzo o un’organizzazione internazionale verso un altro paese terzo o un’altra organizzazione internazionale, ha luogo soltanto se il titolare del trattamento e il responsabile del trattamento rispettano le condizioni di cui al presente capo, fatte salve le altre disposizioni del presente regolamento. Tutte le disposizioni del presente capo sono applicate al fine di assicurare che il livello di protezione delle persone fisiche garantito dal presente regolamento non sia pregiudicato”.

WEBINAR
8 Giugno 2022 - 12:00
Governance e sicurezza dei dati. Come gestirli al meglio?
Big Data
Sicurezza

Detto articolo enuncia il principio generale del trasferimento avente quale fine primario quello di garantire che il livello di protezione continua previsto dal GDPR non sia compromesso nel caso in cui i dati personali vengono trasferiti a paesi terzi o a organizzazioni internazionali.

Infatti, quando i dati personali sono trattati sul territorio dell’UE sono tutelati dalle norme del GDPR, dalla Carta dell’UE sui diritti e le libertà fondamentali e da altre norme previste a livello europeo. Quando invece i dati personali vengono trasferiti e resi accessibili in un paese non facente parte dello Spazio Economico Europeo (SEE), il quadro giuridico generale previsto all’interno dell’UE non trova più applicazione.

In quest’ultima ipotesi, dunque, è necessario assicurare che i dati trasferiti siano protetti in altri modi come:

  1. attraverso il trasferimento sulla base di una decisione di adeguatezza della Commissione europea in virtù della quale il predetto trasferimento è ammesso se la Commissione ha deciso che un paese terzo, un territorio o uno o più settori specifici all’interno del paese terzo o l’organizzazione internazionale in questione garantiscono un livello di protezione adeguato;
  2. in mancanza di una decisione di adeguatezza, il titolare del trattamento o il responsabile del trattamento possono trasferire dati personali verso un paese terzo o un’organizzazione internazionale solo se hanno fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi. In quest’ultimo caso è necessario valutare se siano necessarie misure supplementari per portare il livello di protezione dei dati trasferiti al livello di equivalenza essenziale previsto nell’UE.

Quanto sopra riportato, trova applicazione anche nelle situazioni in cui il trattamento rientra nell’ambito dell’ articolo 3, comma 2, GDPR ossia nel caso che “un trattamento dei dati personali di interessati che si trovano nell’UE è effettuato da un titolare del trattamento o da un responsabile del trattamento che non è nell’UE trova applicazione il GDPR. In questo caso, le attività di trattamento devono riguardare (i) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato oppure (ii) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione”.

Lo scopo della predetta norma consiste dunque nell’evitare che la protezione fornita dal GDPR venga compromessa da un’altra normativa a cui l’importatore fa capo. Ciò può verificarsi, ad esempio, quando il paese terzo dispone di norme sull’accesso del governo ai dati personali che vanno al di là di quanto necessario e proporzionato in una società democratica. In detto caso è importante salvaguardare uno degli obiettivi fondamentali riconosciuti anche dal diritto dell’Unione o degli Stati membri, come quelli elencati nell’articolo 23, comma 1 del GDPR (e.g. la sicurezza nazionale, la difesa, la sicurezza pubblica).

Le disposizioni di cui al capo V sono intese a compensare detto rischio e a delineare l’ambito di applicazione territoriale del GDPR come definito dall’articolo 3 quando i dati personali sono trasferiti in paesi al di fuori dell’UE.

A mente del predetto articolo “il GDPR si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione. Il GDPR si applica altresì al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano (i) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato oppure (ii) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione”.

Inoltre, il presente regolamento si applica al trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell’Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico.

Le Linee Guida adottate dall’EDPB mirano quindi a chiarire l’interazione tra l’articolo 3 e le disposizioni del GDPR sui trasferimenti internazionali di cui al capo V, al fine di aiutare i titolari del trattamento e i responsabili del trattamento nell’UE ad individuare se un trattamento costituisca un trasferimento verso un paese terzo o a un’organizzazione internazionale e di conseguenza, se devono conformarsi alle disposizioni del capo V.

È tuttavia importante tenere presente che, sebbene un determinato flusso di dati possa non costituire un trasferimento ai sensi del capo V, tale trattamento può comunque essere associato a rischi per i quali devono essere previste garanzie.

Indipendentemente dal fatto che il trattamento avvenga o meno nell’UE, i titolari del trattamento e i responsabili del trattamento devono sempre rispettare tutte le disposizioni pertinenti del GDPR, come l’obbligo di cui all’articolo 32 di attuare misure tecniche e organizzative tenendo conto, tra l’altro, dei rischi relativi al trattamento.

I tre criteri cumulativi sanciti dall’EDPB

Con le Linee Guida oggetto della presente analisi, l’EDBP ha individuato tre criteri cumulativi per qualificare un trattamento come un trasferimento di dati personali verso un paese o verso un’organizzazione internazionale, ossia:

  1. il titolare del trattamento o il responsabile del trattamento è soggetto al GDPR per un determinato trattamento;
  2. il titolare del trattamento o il responsabile del trattamento (“esportatore”) comunica mediante trasmissione o in altro modo mette a disposizione i dati personali, oggetto del trattamento, ad un altro titolare del trattamento, a un joint controller o ad un responsabile del trattamento (“importatore”);
  3. l’importatore si trova in un paese terzo o è un’organizzazione internazionale, indipendentemente dal fatto che l’importatore sia o meno soggetto al GDPR per quanto riguarda il trattamento in questione conformemente all’articolo 3.

A tale riguardo, è utile ricordare che, ai sensi del predetto articolo l’applicazione del GDPR deve sempre essere valutata in relazione a un determinato trattamento piuttosto che in relazione a una specifica entità (ad es. una società).

Primo criterio per qualificare il trasferimento dati internazionale

Con riguardo al primo criterio stabilito dall’EDPB con le presenti Linee Guida, lo stesso richiede che il trattamento in questione soddisfi i requisiti sanciti dal sopracitato articolo 3 e quindi che il titolare del trattamento o il responsabile del trattamento sia soggetto al GDPR per un determinato trattamento. Questo concetto è stato ulteriormente elaborato nelle Linee Guida dell’ EDPB 03/2018 sull’ambito territoriale del GDPR (articolo 3).

È opportuno ribadire che il titolare del trattamento e il responsabile del trattamento, che non si trovano nell’UE, possono essere soggetti al GDPR ai sensi dell’articolo 3, comma 2, per un dato trattamento e, pertanto, devono rispettare quanto sancito nel Capo V per ciò che attiene al trasferimento di dati personali a un paese terzo o a un’organizzazione internazionale.

Secondo criterio per qualificare il trasferimento dati internazionale

Il secondo criterio richiede che vi sia un titolare del trattamento o un responsabile del trattamento che comunica mediante trasmissione o altrimenti mettendo i dati a disposizione di un altro titolare o responsabile.

Questi concetti sono stati ulteriormente elaborati nelle Linee Guida 07/2020 dell’ EDPB afferenti i concetti di titolare del trattamento e responsabile del trattamento nel GDPR. Si dovrebbe altresì tenere presente che i concetti di titolare del trattamento, responsabile del trattamento e joint controller sono concetti funzionali in quanto mirano a ripartire le responsabilità secondo il vero ruolo delle parti e sono concetti autonomi nel senso che dovrebbero essere interpretati principalmente secondo la normativa europea sulla protezione dei dati.

Inoltre, questo secondo criterio non può essere considerato soddisfatto quando i dati sono comunicati direttamente e di propria iniziativa da parte del data subject al destinatario. In detto caso, non vi è alcun titolare del trattamento o responsabile del trattamento che invia o mette a disposizione dei dati.

È inoltre importante evidenziare che l’articolo 44 del GDPR – rubricato “principio generale per il trasferimento – prevede chiaramente che un trasferimento potrebbe non essere effettuato da un titolare ma da un responsabile del trattamento. Pertanto, si può verificare un trasferimento anche quando un responsabile del trattamento trasmette i dati ad un altro responsabile o persino ad un titolare del trattamento secondo le istruzioni impartite dal proprio titolare.

Joint controllers: linee guida per la trasparenza nell’accordo tra contitolari del trattamento

Il secondo criterio implica che il concetto di “trasferimento di dati personali a un paese terzo o a organizzazione internazionale” si applica solo alla divulgazione di dati personali quando sono coinvolte due parti diverse (ciascuno di essi un titolare del trattamento, un joint controller o un responsabile del trattamento).

Al fine di qualificarsi come un trasferimento, ci deve essere un titolare o un responsabile del trattamento a rivelare i dati (l’esportatore) e un diverso titolare del trattamento o responsabile del trattamento che li riceve o ne ha accesso (l’importatore).

Quindi, se il mittente e il destinatario non sono diversi titolari/responsabili, la divulgazione di dati personali non deve essere considerata come un trasferimento ai sensi del capitolo V del GDPR, poiché detti dati sono trattati dallo stesso titolare/responsabile del trattamento. In tale contesto, occorre tenere presente che i titolari del trattamento e i responsabili del trattamento sono tuttavia tenuti ad attuare misure tecniche e organizzative considerando i rischi relativi ai loro trasferimenti, a norma dell’articolo 32 del GDPR.

Va inoltre evidenziato che le entità che fanno parte dello stesso gruppo societario possono essere considerate come diversi titolari del trattamento o responsabili del trattamento. Di conseguenza, la comunicazione dei dati tra le predette entità – la cosiddetta comunicazione di dati infragruppo – può costituire un trasferimento di dati personali.

Ad ogni modo, si ricorda che, quando un determinato flusso di dati non può essere considerato un trasferimento verso un paese terzo conformemente a quanto previsto nel capitolo V del GDPR, il predetto trattamento può ancora essere associato a rischi a causa per esempio di una situazione di conflitto le leggi nazionali in un paese terzo nonché della difficoltà di ottenere una riparazione dei danni subiti da parte dell’ entità sita al di fuori dell’UE.

Il titolare de trattamento è difatti responsabile per le proprie attività di trattamento, indipendentemente dal luogo in cui le stesse hanno luogo, e deve essere conforme al GDPR. A tale riguardo, assumono particolare importanza gli articoli 24 (“responsabilità del titolare del trattamento”), 32 (“sicurezza del trattamento”), 33 (“notifica di un violazione dei dati personali”), 35 (“valutazione d’impatto sulla protezione dei dati”), 48 (“trasferimenti o comunicazioni non autorizzate dal diritto dell’Unione”).

Inoltre, in virtù dell’obbligo di attuare misure tecniche e organizzative che tengano conto “dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”, un titolare del trattamento potrebbe concludere che siano necessarie ampie misure di sicurezza o anche che non sarebbe lecito effettuare una specifica operazione di trattamento in un terzo paese.

Terzo criterio per qualificare il trasferimento dati internazionale

Il terzo criterio stabilito dalle Linee Guida oggetto della presente disamina richiede che l’importatore si trovi geograficamente in un paese terzo o sia un’organizzazione internazionale, a prescindere dal fatto che il trattamento in questione rientri o meno nell’ambito del GDPR.

Trasferimento dati internazionale: alcune riflessioni

Il trasferimento verso un paese terzo o verso un’organizzazione internazionale si verifica quando tutti i tre criteri individuati dall’ EDPB vengono soddisfatti.

Pertanto, un trasferimento implica che i dati personali siano inviati o resi disponibili da un titolare del trattamento o responsabile del trattamento (esportatore) che – per quanto riguarda il trattamento dato è soggetto al GDPR ai sensi dell’articolo 3 – a un altro titolare del trattamento o responsabile del trattamento (importatore) in un paese terzo, indipendentemente dal fatto che detto importatore sia o meno soggetto al GDPR in relazione al trattamento in questione.

Di conseguenza, il titolare del trattamento o il responsabile del trattamento in una situazione di “trasferimento” (secondo i criteri sopra descritti) deve rispettare le condizioni di cui al capo V e inquadrare il trasferimento utilizzando gli strumenti volti a proteggere i dati personali dopo che sono stati trasferiti in un paese terzo o a un’organizzazione internazionale. I predetti strumenti comprendono il riconoscimento dell’esistenza di un livello adeguato di protezione nel paese terzo o nell’organizzazione internazionale a cui i dati sono trasferiti (articolo 45) o, in mancanza di detto livello adeguato di protezione, l’attuazione da parte dell’esportatore (titolare del trattamento o responsabile del trattamento) di adeguate garanzie come sancite dall’articolo 46.

Ai sensi dell’articolo 49, i dati personali possono essere trasferiti a un paese terzo o a un’organizzazione internazionale senza l’esistenza di un livello adeguato di protezione o l’attuazione di garanzie adeguate solo in situazioni specifiche e a determinate condizioni.

I principali tipi di strumenti di trasferimento previsti dall’articolo 46 sono:

  • le clausole contrattuali standard (SCC);
  • le regole societarie vincolanti (BCR);
  • i codici di condotta;
  • i meccanismi di certificazione;
  • le clausole contrattuali ad hoc;
  • gli accordi internazionali/accordi amministrativi.

Ad ogni modo, il contenuto delle misure di salvaguardia deve essere customizzato a seconda della situazione.

Clausole contrattuali standard, la Svizzera le riconosce: quali garanzie per il trasferimento dati

A titolo di esempio, le garanzie prodotte per il trasferimento di dati personali da parte di un responsabile del trattamento non sono le stesse che devono essere fornite per il trasferimento da parte di un titolare del trattamento.

Analogamente, per il trasferimento di dati personali a un titolare del trattamento in un paese terzo sono necessarie minori garanzie/protezione se detto titolare del trattamento è già soggetto al GDPR per il trattamento in questione.

Pertanto, quando si sviluppano strumenti di trasferimento pertinenti (che attualmente sono disponibili solo in teoria), quali le clausole contrattuali standard o le clausole contrattuali ad hoc, la fattispecie descritta dall’articolo 3, coma 2, dovrebbe essere presa in considerazione non per duplicare gli obblighi del GDPR quanto piuttosto per affrontare gli elementi e i principi che sono “mancanti” e, pertanto, per colmare le lacune relative alle leggi nazionali contrastanti e all’accesso del governo nel paese terzo, nonché alla difficoltà di far rispettare e ottenere riparazione nei confronti di un’entità al di fuori dell’UE.

Per chiarire, i sopracitati strumenti dovrebbero, ad esempio, prendere in considerazione le misure da adottare in caso di conflitto di leggi tra la legislazione dei paesi terzi e il GDPR e in caso di richieste giuridicamente vincolanti di divulgazione di dati da parte di paesi terzi.

L’EDPB incoraggia e si dichiara pronto a collaborare allo sviluppo di uno strumento di trasferimento, come una nuova serie di clausole contrattuali standard, nei casi in cui l’importatore sia soggetto al GDPR per un determinato trattamento in virtù di quanto sancito dall’ articolo 3, comma 2.

Conclusioni

Se i criteri individuati dall’EDPB non sono soddisfatti, non vi è alcun “trasferimento” e il capitolo V del GDPR non si applica.

Come già detto, il titolare del trattamento è comunque responsabile di tutti i trattamenti che controlla, indipendentemente dal luogo in cui avvengono, e il trattamento dei dati in paesi terzi potrebbe comportare rischi che devono essere identificati e trattati – attenuati o eliminati, a seconda delle circostanze – affinché detto trattamento sia lecito ai sensi del GDPR.

È opportuno sottolineare che i titolari del trattamento e i responsabili del trattamento il cui trattamento è soggetto al GDPR ai sensi dell’articolo 3 devono sempre conformarsi al capo V del GDPR quando comunicano i dati personali a un titolare del trattamento o responsabile del trattamento in un paese terzo o a un’ organizzazione internazionale.

Ciò vale anche per la divulgazione di dati personali effettuata da titolari del trattamento o responsabili del trattamento che non sono stabiliti nell’UE ma sono soggetti al GDPR ai sensi dell’articolo 3, comma 2, a un titolare del trattamento o a un responsabile del trattamento nello stesso paese o in un altro paese terzo.

dal 14 al 17 giugno 2022
FORUM PA 2022: Le sfide globali della cybersecurity e della sovranità digitale
Sicurezza
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 3