La trasmissione di dati personali verso società aventi sede al di fuori del territorio europeo è un tema che riguarda non solo i Paesi appartenenti all’Unione Europea: recentemente è stato infatti affrontato dalla Svizzera, Paese a noi vicino geograficamente e culturalmente ma non appartenente all’Unione Europea, che ha riconosciuto le clausole contrattuali standard.
Vediamo, quindi, come la Confederazione Elvetica, i cui legami con l’UE sono particolarmente stretti, ha affrontato il tema dei trasferimenti all’estero di dati personali e gli impatti della Sentenza Schrems 2 sulla disciplina dei trasferimenti da e verso questo Paese.
Trasferimenti dati extra UE dopo Schrems II: tutti gli elementi normativi da conoscere
Indice degli argomenti
La normativa privacy Svizzera
Ricordiamo preliminarmente che la Svizzera ha una propria normativa nazionale che disciplina il trattamento dei dati personali. Si tratta di una normativa risalente al 1992 (FADP) che verrà presto soppiantata dalla nuova legge (cd. LPD) che è stata adottata nel settembre 2020 e che entrerà in vigore il primo gennaio del 2023.
La nuova normativa si avvicina molto, strutturalmente e nei contenuti, al Regolamento UE 2016/679 (GDPR). Tra le varie disposizioni dell’LPD basti infatti pensare all’introduzione di una figura assimilabile al Data Protection Officer e dell’obbligo di notifica di data breach o ancora l’obbligo per i titolari di dotarsi di un registro dei trattamenti.
La normativa sulla privacy svizzera disciplina altresì i trasferimenti di dati personali oltre il confine svizzero. Il trasferimento di dati può avvenire al ricorrere di alcune condizioni disciplinate dalla legge stessa:
- il riconoscimento da parte dell’Autorità Svizzera dell’adeguatezza della protezione offerta dal Paese importatore;
- l’esistenza di garanzie sufficienti, segnatamente contrattuali, che assicurino una protezione adeguata all’estero;
- la persona interessata ha dato il suo consenso nel caso specifico;
- la trasmissione è indispensabile per tutelare un interesse pubblico preponderante oppure per accertare, esercitare o far valere un diritto in giustizia;
- la trasmissione è necessaria per proteggere la vita o l’incolumità fisica della persona interessata;
- la persona interessata ha reso i dati accessibili a chiunque e non si è opposta formalmente alla loro elaborazione.
Tra le condizioni per il trasferimento di dati personali all’estero poniamo la nostra attenzione sul sistema di garanzie contrattuali previsto dalla norma in quanto, come avremo modo di vedere di seguito, si tratta dello strumento per il trasferimento che maggiormente è stata impattata dalle recenti modifiche di matrice giurisprudenziale occorse in UE e sul quale le istituzioni elvetiche sono di recente intervenute.
Codici di condotta come tool di trasferimento dati extra-UE: ecco le opportunità
Riconoscimento delle SCC quale garanzia per il trasferimento
Secondo la normativa svizzera attualmente vigente, i trasferimenti di dati basati su garanzie contrattuali devono essere notificati all’FDPIC( Federal Data Protection and Information Commissioner).
Una violazione intenzionale di questo obbligo di notifica può portare a un procedimento giudiziario. Per rispettare tale obbligo, gli esportatori devono quindi informare in anticipo l’FDPIC sulle garanzie contrattuali utilizzate e sottoporle all’esame dell’Autorità stessa. Tuttavia, nel caso in cui vengano utilizzati contratti tipo o clausole contrattuali standard elaborate o riconosciute dall’FDPIC, l’obbligo di notifica è considerato adempiuto. In questi casi è infatti sufficiente che l’FDPIC sia informato in modo generale del loro utilizzo.
Il 27 agosto 2021, la Federal Data Protection and Information Commissioner (FDPIC) ha ufficialmente riconosciuto le clausole contrattuali standard previste dal GDPR, nella loro ultima formulazione di giugno 2021, quale condizione legittimante per il trasferimento di dati personali verso un paese che non dispone di un livello adeguato di protezione dei dati.
L’Autorità ha dunque riconosciuto la validità delle Standard Clauses sottoscritte ai sensi dell’art. 45 GDPR. La validità di tale strumento è tuttavia condizionata all’implementazione degli adattamenti necessari per l’utilizzo secondo il diritto svizzero sulla protezione dei dati.
A seguito del riconoscimento da parte dell’FDPIC delle nuove Clausole standard adottate dalla Commissione Europea (Decision 2021/914 del 4 Giugno 2021) le organizzazioni che vogliono trasferire i propri dati personali verso Paesi non riconosciuti come adeguati dall’FDPIC possono avvalersi delle Clausole Standard adottate dalla Commissione senza l’obbligo di notificare l’uso delle nuove SCC per ogni trasferimento.
Le Standard Contractual Clauses adottate dalla Commissione fanno riferimento al GDPR in vari punti. Nel caso di trasferimenti di dati all’estero che sono soggetti alla normativa elvetica (FADP), i diritti e gli obblighi rilevanti devono essere valutati secondo il FADP e i riferimenti al GDPR devono essere interpretati come riferimenti al FADP. Per evitare malintesi nell’interpretazione e applicazione dei contratti, ciò deve essere specificato in un allegato.
Il provvedimento dell’Autorità Svizzera chiarisce ovviamente che il possibile ricorso alle SCC non deve limitare i diritti riconosciuti dalla normativa svizzera. Resta vigente infatti il principio generale sancito dall’art. 6 della LPD secondo il quale “I dati personali non possono essere comunicati all’estero qualora la personalità della persona interessata possa subirne grave pregiudizio”.
Nel caso in cui il trattamento di dati personali ricada sotto l’applicazione sia del FADP che del GDPR (data la portata extraterritoriale del GDPR), e le parti scelgono di fare due accordi separati per i trasferimenti di dati secondo il FADP e il GDPR, le disposizioni contrattuali devono essere interpretate e applicate secondo la base legale che regola il trasferimento di dati in questione, e ciò deve essere dichiarato nel contratto.
Un’altra modifica necessaria riguarda l’ambito soggettivo di applicazione delle Clausole contrattuali Standard. Secondo la legge europea, infatti le SCC, così come il GPDR in generale, proteggono solo i dati riferibili alle persone fisiche (v. artt. 2 e 4 GDPR).
La versione attuale della FADP, tuttavia, protegge anche i dati appartenenti a persone giuridiche. Nel rispetto di ciò le SCC devono essere integrate con un allegato che dichiari che anche i dati appartenenti a persone giuridiche sono protetti dal contratto.
Con l’entrata in vigore della nuova normativa, tuttavia, le persone giuridiche non rientreranno più nella tutela della normativa sulla privacy elvetica, poiché la nuova legge si rivolge solo ai dati appartenenti a persone fisiche. Dal 2023, quindi, tale modifica non sarà più necessaria.
EDPB pubblica le raccomandazioni sul trasferimento dati: ecco le nuove misure supplementari
Conclusioni
Da questa breve analisi si evince dunque come la Svizzera segua da vicino l’evoluzione della normativa dell’Unione in merito ai trasferimenti di dati all’estero e adegui il proprio framework regolamentare ai contraccolpi che, a più di un anno dalla pronuncia della CGUE, la sentenza Schrems 2 sta portando.
Ciò che emerge comunque è che, nelle more della nuova normativa (LPD) che presto diverrà pienamente efficace, anche la Svizzera vede nello strumento delle Standard Contractual Clauses un possibile aiuto nella regolamentazione dei rapporti con quegli Stati che non offrono garanzie di protezione adeguate.
