Regolamento UE

Trasferimento di dati personali verso paesi terzi: gli strumenti contrattuali a norma GDPR

Per effettuare il trasferimento di dati personali verso paesi terzi è necessario adottare alcuni strumenti contrattuali che diano agli interessati le necessarie garanzie di sicurezza sul trattamento dei dati. Ecco le linee guida per regolare i trasferimenti internazionali di dati

30 Gen 2019
A
Federico Alessandri

Avvocato, Founding Partner Alessandri Studio Legale

L’art. 44 del Regolamento UE 2016/679 (“GDPR”) fissa il principio generale secondo il quale un trasferimento di dati personali oggetto di un trattamento oppure destinati ad esserlo dopo il trasferimento verso un paese terzo o un’organizzazione internazionale (compresi i trasferimenti successivi da un paese terzo o un’organizzazione internazionale verso un altro paese terzo o un’altra organizzazione internazionale), possa aver luogo, fatte salve altre disposizioni del GDPR, soltanto se il titolare ed il responsabile rispettino le condizioni di cui al capo V del GDPR: cioè, principalmente, sulla base delle regole fissate rispettivamente per:

  • i trasferimenti sulla base di una decisione di adeguatezza;
  • i trasferimenti soggetti a garanzie adeguate;
  • i trasferimenti sulla base delle cosiddette norme vincolanti d’impresa (Binding Corporate Rules o “BCR”).

Lo scopo principale di questi meccanismi è garantire che quando i dati personali dei cittadini europei vengono trasferiti all’estero, la protezione si sposti con i dati (si veda la Scheda informativa Mercato unico digitale – Comunicazione sullo scambio e la protezione dei dati personali in un mondo globalizzato Domande e risposte della Commissione Europea del 10 gennaio 2017).

Ognuna di queste diverse fattispecie serve per regolare i trasferimenti internazionali di dati verso paesi terzi che avvengono però in circostanze diverse.

Soprattutto nei contesti dei trasferimenti non basati su decisioni di adeguatezza, dunque per trasferimenti che devono essere soggetti a garanzie adeguate o che avvengono sulla base delle BCR, sono di fondamentale importanza le clausole che gli operatori dei dati (titolari e responsabili) utilizzino nei contratti con i quali si definiscono i termini dei loro rapporti e, soprattutto, i termini che definiscono la “allocazione” delle rispettive responsabilità.

Di seguito un breve cenno sui trasferimenti di dati che avvengono sulla base di una decisione di adeguatezza al fine di meglio contestualizzare l’oggetto del presente lavoro: in tali ipotesi la Commissione UE, si pronuncia positivamente circa il fatto che un “paese terzo, un territorio o uno o più settori specifici all’interno del paese terzo, o un’organizzazione internazionale” garantiscono un livello di protezione adeguato dei dati trasferiti con l’effetto che, solo in casi del genere, non siano necessarie specifiche autorizzazioni (art. 45.1 GDPR).

Sinora la Commissione UE ha pubblicato le decisioni in materia di adeguatezza nei confronti dei seguenti paesi: Andorra, Argentina, Australia – PNR, Canada, Faer Oer, Guernsey, Isola di Man, Israele, Jersey, Nuova Zelanda, Svizzera e Uruguay.

Trasferimento dati: quali strumenti usare senza decisioni di adeguatezza

Quando un paese terzo, secondo la Commissione UE, non offre un adeguato livello di protezione dei dati il trasferimento di questi ultimi non è però precluso definitivamente.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy

Infatti, si potrà procedere comunque, tra le altre, con l’osservanza delle disposizioni relative ai trasferimenti soggetti a garanzie adeguate e per i trasferimenti sulla base delle BCR.

In tal senso possono essere definite una serie di circostanze idonee a permettere al titolare o al responsabile di ritenere esistenti garanzie adeguate nel paese terzo anche in assenza di una specifica autorizzazione da parte dell’Autorità di controllo.

Tra le suddette circostanze che in questa sede ci interessano particolarmente si trovano:

  • le BCR;
  • le clausole tipo di protezione dei dati adottate dalla Commissione UE secondo la procedura d’esame;
  • le clausole tipo di protezione dei dati adottate da un’autorità di Controllo e approvate dalla commissione UE secondo la procedura d’esame.

Ferma restando l’autorizzazione dell’Autorità di controllo competente, possono costituire altresì una garanzia adeguata le clausole contrattuali tra il titolare o il responsabile e il titolare, il responsabile o il destinatario dei dati nel paese terzo o nell’organizzazione internazionale.

Binding Corporate Rules (“BCR”): cosa sono e a cosa servono

Le cosiddette norme vincolanti d’impresa hanno lo scopo di semplificare gli oneri amministrativi delle società, anche aventi sede in Stati diversi, che appartengono ad un medesimo gruppo. Tutte le società del Gruppo che ne facciano richiesta potranno trasferire all’interno del gruppo d’impresa, i dati personali senza adempimenti ulteriori quali, ad esempio, la sottoscrizione di clausole contrattuali tipo ed il rilascio di specifiche autorizzazioni.

Le BCR sono promosse secondo il meccanismo di coerenza secondo il quale le diverse Autorità di controllo cooperano tra loro per applicare coerentemente il GDPR.

Le BCR si concretizzano in un documento contenente una serie di regole di condotta, garanzie, principi e clausole (rules) che fissano i principi vincolanti (binding) da osservare in caso di trasferimenti intra gruppo di dati personali ed al cui rispetto sono tenute tutte le società appartenenti allo stesso gruppo (corporate).

In pratica diventano disposizioni giuridicamente vincolanti e dunque applicabili a tutti gli attori del “gruppo di imprese”, inclusi i dipendenti, idonee inoltre a dotare gli interessati di diritti azionabili relativamente al trattamento dei loro dati personali.

Le BCR dovranno essere conformi a tutti i principi cardine del GDPR quali i principi di correttezza e legittimità del trattamento, di finalità, di minimizzazione, di limitazione del periodo di conservazione, di necessità e proporzionalità dei dati. Esse dovranno inoltre contenere le dovute specificazioni in materia di misure di sicurezza prescritte dalla legge e dei diritti dell’interessato quali l’obbligo da parte del titolare di rilasciare idonea informativa, diritto dell’interessato a non essere sottoposto a decisioni basate unicamente sul trattamento automatizzato (inclusa la profilazione), il diritto di proporre reclamo all’Autorità di controllo competente, fino al diritto dell´interessato ad ottenere il risarcimento del danno connesso al mancato rispetto delle BCR da parte di una società del gruppo (cosiddetta clausola del terzo beneficiario).

Sono imposti inoltre al gruppo d’impresa multinazionale ulteriori oneri quali:

  • la predisposizione di un programma di formazione del personale in materia di protezione dei dati personali;
  • l’implementazione di un meccanismo di gestione del contenzioso e delle segnalazioni connesse alle BCR;
  • la conduzione periodica di audit finalizzati alla verifica del rispetto delle BCR da parte delle società del gruppo;
  • la creazione di un network di privacy officers o di uno staff che si occupi di monitorare il rispetto delle BCR e di gestire le segnalazioni degli interessati.

Le FAQ predisposte dal Gruppo dei Garanti Europei (WP 155) forniscono maggiori e dettagliate informazioni mentre per un modello esemplificativo di testo di BCR si rinvia al documento WP 154.

Clausole contrattuali tipo per il trasferimento dati verso paesi terzi

Si tratta di “strumenti contrattuali” che, come anticipato, consentono di trasferire dati personali verso Paesi terzi.

La Commissione UE, ma anche le Autorità di controllo dei singoli Stati, possono adottare le clausole tipo in questione (come quelle indicate nell’elenco delle decisioni adottate in materia dal Garante privacy italiano), valide ai sensi dell’art. 46 del GDPR. Il cosiddetto “esportatore dei dati” dovrà incorporare, e rispettare, tali clausole contrattuali nel contratto utilizzato per il trasferimento dei dati, garantendo così che tali dati saranno trattati conformemente ai principi stabiliti nel GDPR anche nel Paese terzo di destinazione. Queste decisioni della Commissione UE sono vincolanti per gli Stati dell’Unione. I titolari possono predisporre clausole contrattuali ad hoc da sottoporre alle Autorità di controllo.

Occorre sottolineare che tali clausole, a pena di nullità, non posso essere modificate in alcun modo dalle parti stipulanti, le quali dovranno “prenderle e utilizzarle” così come formulate.

Gli elementi essenziali saranno, comunque, la possibilità per gli interessati di esercitare i propri diritti, e l’assoggettamento del destinatario all’Autorità di controllo nazionale.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 4