In uno scenario globale dove la condivisione e gestione dei dati avviene con sempre maggiore rapidità, è importante capire come vengono regolamentati i trasferimenti di dati personali all’estero. In particolare, se l’azione è svolta dal responsabile del trattamento verso un sub responsabile che si trova in un Paese al di fuori dell’Unione Europea. Vediamo che cosa prevede il GDPR al riguardo.
Indice degli argomenti
Il contesto
La globalizzazione e le nuove tecnologie stanno giocando un ruolo fondamentale nel significativo aumento di portata della condivisione dei dati personali a livello mondiale. L’aumento dei flussi di dati personali – necessari per l’espansione del commercio e della cooperazione internazionale – ha posto nuove sfide e problemi riguardanti la protezione dei dati personali, rendendo necessaria una disciplina che assicuri agli interessati il medesimo livello di protezione agli stessi garantito quando i loro dati personali sono trattati all’interno dell’Unione Europea e, allo stesso tempo, impedisca di raggirare gli obblighi portando il trattamento di dati personali in territori extra UE.
Che il livello di protezione dei dati personali sia pari a quello garantito dal Regolamento 679/2016 è la conditio sine qua non affinchè Titolari e Responsabili possano trasferire i dati extra UE. Tale livello di protezione è garantito rispettando le condizioni previste dal Titolo V del Regolamento in relazione al trasferimento di dati personali verso paesi terzi e organizzazioni internazionali.
Non prevede particolari restrizioni il trasferimento verso un paese al di fuori dell’Unione Europea che sia stato valutato “adeguato” da parte della Commissione Europea con riferimento al livello di protezione delle libertà e dei diritti fondamentali dell’uomo, che deve essere sostanzialmente equivalente a quello garantito all’interno dell’Unione Europea. In mancanza di tale decisione di adeguatezza, il Titolare e il Responsabile del trattamento possono trasferire dati personali verso un paese terzo solo in presenza di una delle garanzie previste dall’articolo 46 del Regolamento.
Nonostante Titolari e Responsabili siano entrambi destinatari delle disposizioni di cui al Titolo V del Regolamento, il Responsabile deve tenere in considerazione ulteriori aspetti ove voglia trasferire dati in un paese al di fuori dell’Unione Europea, per esempio verso un altro Responsabile (c.d. “Subresponsabile”).
Le istruzioni del Titolare
I trattamenti svolti da parte di un Responsabile del trattamento devono essere disciplinati da un contratto o da altro atto giuridico che vincoli il Responsabile a trattare i dati conformemente alle istruzioni documentate del Titolare. Tali istruzioni possono riguardare anche il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale. Il Titolare del trattamento, infatti, può contrattualmente vietare al Responsabile di trasferire dati al di fuori dell’Unione Europea, salvo che il trasferimento risponda ad un obbligo di legge cui è soggetto il Responsabile, che sarà comunque tenuto ad informare il Titolare di tale trasferimento – a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico.
Il Responsabile del trattamento, pertanto, può trasferire dati personali ad un Subresponsabile situato in un paese al di fuori dell’Unione Europea solo se tale operazione di trattamento non sia stata vietata dal Titolare per conto del quale sta trattando i dati. Oltre a poter vietare in toto ogni trasferimento extra UE, il Titolare ha la facoltà di prevedere che il Responsabile debba richiedergli e ottenere una preventiva autorizzazione per poter trasferire dati personali in un paese al di fuori dell’Unione Europea. Resta inteso che qualsiasi autorizzazione da parte del Titolare resta, comunque, soggetta alle disposizioni di cui al Titolo V del Regolamento sul trasferimento di dati in paesi terzi e, in particolare, agli articoli 45 e 46 Regolamento.
Ulteriore elemento da considerare è che, laddove il destinatario dei dati personali sia un Subresponsabile, il Responsabile deve essere stato autorizzato dal Titolare, con autorizzazione scritta (specifica o generale) a ricorrere ad altro Responsabile del trattamento. È parere di chi scrive che, ove l’autorizzazione a ricorrere al Subresponsabile sia specifica ed in essa sia, altresì, indicato che il Subresponsabile ha sede in un paese al di fuori dell’Unione Europea, tale atto potrà implicitamente autorizzare il relativo trasferimento – senza con ciò estendere l’autorizzazione a qualsiasi trasferimento in quel paese, ma solo verso quello specifico Subresponsabile.
Le clausole tipo della Commissione
In mancanza di una decisione di adeguatezza del paese in cui vengono trasferiti i dati personali, il Titolare o il Responsabile possono trasferire dati personali verso un paese al di fuori dell’Unione Europea utilizzando le clausole tipo della Commissione (“standard model clause”). La sottoscrizione di queste clausole da parte del soggetto esportatore e di quello importatore è ritenuta sufficiente a garantire una tutela sostanzialmente equivalente a quella che sarebbe garantita ai dati personali trattandoli all’interno dell’Unione Europea, essendo previsti degli obblighi che, oltre ad essere vincolanti tra le parti, hanno effetti sugli interessati quali “terzi beneficiari” del contratto.
Le uniche clausole tipo della Commissione ad oggi in vigore sono le clausole per i trasferimenti da un titolare del trattamento ad altro titolare collocato al di fuori dell’Unione Europea e le clausole per i trasferimenti da un Titolare a un Responsabile collocato al di fuori dell’Unione Europea, adottate dalla Commissione ai sensi della previgente normativa in vigore (la Direttiva 95/46/CE), ancora valide in virtù dell’articolo 46(5) del Regolamento.
Entrambe le clausole adottate nel vigore della Direttiva 95/46/CE prevedono che sia il Titolare il soggetto esportatore dei dati personali. Cosa accade, dunque, se ad esportare è il Responsabile? A porsi il quesito era già stato, nel 2014, il Gruppo di lavoro dell’articolo 29 (“WP29”), che ha ritenuto opportuno lavorare su una nuova serie di clausole contrattuali dedicate ai trasferimenti internazionali di dati personali da un Responsabile del trattamento residente nell’Unione Europea ad un Subresponsabile collocato in un paese terzo.
Le clausole contrattuali contenute nel “Documento di lavoro 01/2014” non sono mai state adottate dalla Commissione Europea e, pertanto, non costituiscono un set ufficiale di clausole tipo, né possono essere utilizzate da un Responsabile per offrire sufficienti garanzie per il trasferimento al di fuori dell’Unione Europea. Scopo di quel documento di lavoro era fornire consulenza alla Commissione affinché considerasse la possibilità di modificare o integrare le clausole tipo esistenti adottate dalla Commissione ai sensi dell’articolo 26 della Direttiva 95/46/CE. Il fatto che il WP29 abbia redatto la bozza di tali clausole contrattuali tipo per regolare l’ipotesi di trasferimento tra Responsabile stabilito nell’Unione Europea e Subresponsabile in un paese terzo conferma che i due set di clausole contrattuali adottati dalla Commissione Europea non siano idonei a regolare tale ipotesi di trasferimento.
Le indicazioni del Garante per la protezione dei dati personali
In Italia è intervenuto – ancora prima della proposta del WP29 – il Garante per la protezione dei dati personali promuovendo alcune misure di semplificazione in relazione alle attività di trasferimento dei dati personali all’estero, con specifico riguardo ai casi in cui il Responsabile del trattamento stabilito nell’Unione Europea, che tratti dati personali per conto di un Titolare stabilito nell’Unione europea, affidi il trattamento ad un Subresponsabile stabilito in un Paese terzo che non assicuri un livello di protezione adeguato [doc. web n. 2191156].
Il Garante, nell’intento di rispondere alle esigenze derivanti dalla diffusione, nella realtà economica e commerciale, di forme di affidamento delle attività di trattamento dei dati personali a terzi (in particolare, a società di servizi) e dalla consequenziale esigenza del settore privato di disporre di strumenti da utilizzare nei casi in cui tale affidamento comporti un trasferimento di dati personali verso paesi non adeguati, ha previsto la possibilità che il Titolare conferisca al Responsabile un apposito mandato, ai sensi dell’articolo 1704 del Codice Civile, per la sottoscrizione delle clausole contrattuali tipo adottate per i trasferimenti da un Titolare a un Responsabile collocato al di fuori dell’Unione Europea.
In tale ipotesi, ai fini della compilazione delle Appendici 1 e 2 contenute nello schema delle clausole contrattuali tipo, dovrà considerarsi “esportatore” il Titolare del trattamento che conferisce mandato al Responsabile ed “importatore” il Subresponsabile stabilito nel paese terzo che non assicura un livello di protezione adeguato.