Come evidenziato in un precedente articolo in cui si trattava il trasferimento dati da e verso la Svizzera, anche nel trasferimento dati da e verso Dubai si ripresenta uno dei principali errori in cui si imbattono i consulenti privacy: ritenere che, se un’azienda è compliant al GDPR, allora può ritenersi adeguata alle normative di qualsiasi altro stato del mondo.
Purtroppo, nella realtà dei fatti, esistono tutta una serie di variabili da tenere in considerazione nel commercio internazionale: il flusso di dati è in uscita o in entrata? Il trasferimento dei dati avviene sotto la responsabilitò del cliente o sotto la responsabilità dell’impresa?
Già, perché anche solo rispondendo a queste domande ci si trova dinnanzi a situazioni molto diverse tra loro che possono portare ad escludere o meno l’applicabilità del GDPR.
Indice degli argomenti
Trasferimento dati da e verso Dubai: esempi pratici
È difatti certo che, se un’azienda invia dati dalla UE agli Emirati Arabi, questo flusso sarà soggetto al GDPR.
Cosa accade invece nel caso di azienda con sede in UE ed ufficio a Dubai? A che normativa è soggetto il flusso dei dati (ad esempio dei dati contrattuali) che parte da Dubai e arriva alla casa madre in Europa?
Facciamo un esempio concreto: la società Alpha, ha sede a Milano e ha una piccola succursale curata da un agente a Dubai. L’agente di fatto procaccia affari, stipula contratti ed invia tutti i dati alla casa madre. Ora è possibile che la società Alpha abbia deciso di “coprire” i flussi utilizzando delle Clausole Contrattuali Standard. Niente consenso, dunque.
Posto il rispetto di tutte le formalità per utilizzare le Clausole Contrattuali Standard, in base al GDPR non ci sarebbero grossi problemi per ritenere questo flusso regolare. Domanda: il flusso contrario dei dati, da Dubai a Milano, sarebbe invece coperto oppure no? Che norma si applica ad un ufficio a Dubai che invia dati a Milano?
È utile sapere che gli Emirati Arabi Uniti non hanno una legge simile al GDPR appilcabile a tutti gli stati della federazione. Esistono invece leggi nazionali che disciplinano questo ambito nei singoli stati. All’interno di ogni stato/principato, esistono poi le c.d. “free zone” nelle quali vigono diverse leggi.
La normativa privacy la cui applicazione risulta maggiormente diffusa è individuabile nell’articolo 379 del Codice penale degli EAU.
In base a tale norma i dati personali possono essere trasferiti a terze parti dentro e fuori gli Emirati Arabi Uniti solo se l’interessato del trattamento vi ha acconsentito per iscritto e in tutti gli altri casi previsti dalla legge.
In particolare, l’art. 379 del Codice Penale recita:
“Shall be sentenced to detention for a minimum period of one year and/or to a minimum fine of twenty thousand dirham, whoever by virtue of his profession, craft, position or art is entrusted with a secret and divulge it in cases other than those allowed by law or if used for his own personal interest or for the interest of another person, unless authorized by the confiding person to disclose or use it. The penalty shall be imprisonment for a term not exceeding five years in case the perpetrator is a public servant or a person in charge of a public service who was confided the secret because or on the occasion of discharging his duties or performing his service”.
La violazione di questa disposizione, come visto, costituisce reato ed è punibile con la pena della reclusione di un minimo di un anno, o una multa di almeno ventimila Dirham o entrambi.
Il termine “segreto” non è definito in modo chiaro, tuttavia, è generalmente interpretato in senso lato per comprendere anche il concetto di dati personali.
Ora, tornando all’esempio della società Alpha, è evidente come i flussi di dati che partono dall’ufficio di Dubai non potranno essere giustificati sulla base della sola normativa europea, risultando necessario ricevere un espresso consenso al trasferimento dei dati da Dubai all’Italia.
Differentemente, la società (ma soprattutto l’agente in loco) rischierebbero sanzioni penali in base alla legge degli Emirati Arabi Uniti.
Non solo, come anticipato, esistono poi diverse leggi federali degli Emirati Arabi Uniti che contengono varie disposizioni in materia di protezione dei dati personali tra le quali: Cyber Crime Law (Legge federale 5 del 2012 in materia di controllo della criminalità informatica); Regolamentazione delle telecomunicazioni (legge federale con decreto 3 del 2003 e successive modifiche), che comprende numerosi regolamenti / politiche di attuazione emanati dall’autorità di regolamentazione delle telecomunicazioni (“TRA”) in materia di protezione dei dati dei consumatori di telecomunicazioni negli Emirati Arabi Uniti.
Conclusioni
Pertanto, è evidente come, nell’internazionalizzazione di un’impresa, sia necessario valutare anche tali aspetti.
Il GDPR è un riferimento per tutti gli stati del mondo, questo è ormai chiaro, ma è anche vero che ogni stato mantiene una propria sovranità e, nel momento in cui decidiamo di ivi stabilirci per avviare un business, è evidente la necessità di rispettare il suo ordinamento.
Non prendere in considerazione questi elementi può portare a gravi conseguenze.
