L’art. 44 del Regolamento UE 2016/679 (“GDPR”) fissa il principio generale secondo il quale un trasferimento di dati personali oggetto di un trattamento oppure destinati ad esserlo dopo il trasferimento verso un paese terzo o un’organizzazione internazionale (compresi i trasferimenti successivi da un paese terzo o un’organizzazione internazionale verso un altro paese terzo o un’altra organizzazione internazionale), possa aver luogo, fatte salve altre disposizioni del GDPR, soltanto se il titolare ed il responsabile rispettino le condizioni di cui al capo V del GDPR: cioè, principalmente, sulla base delle regole fissate rispettivamente per:
- i trasferimenti sulla base di una decisione di adeguatezza;
- i trasferimenti soggetti a garanzie adeguate;
- i trasferimenti sulla base delle cosiddette norme vincolanti d’impresa (Binding Corporate Rules o “BCR”).
Lo scopo principale di questi meccanismi è garantire che quando i dati personali dei cittadini europei vengono trasferiti all’estero, la protezione si sposti con i dati (si veda la Scheda informativa Mercato unico digitale – Comunicazione sullo scambio e la protezione dei dati personali in un mondo globalizzato Domande e risposte della Commissione Europea del 10 gennaio 2017).
Ognuna di queste diverse fattispecie serve per regolare i trasferimenti internazionali di dati verso paesi terzi che avvengono però in circostanze diverse.
Soprattutto nei contesti dei trasferimenti non basati su decisioni di adeguatezza, dunque per trasferimenti che devono essere soggetti a garanzie adeguate o che avvengono sulla base delle BCR, sono di fondamentale importanza le clausole che gli operatori dei dati (titolari e responsabili) utilizzino nei contratti con i quali si definiscono i termini dei loro rapporti e, soprattutto, i termini che definiscono la “allocazione” delle rispettive responsabilità.
Di seguito un breve cenno sui trasferimenti di dati che avvengono sulla base di una decisione di adeguatezza al fine di meglio contestualizzare l’oggetto del presente lavoro: in tali ipotesi la Commissione UE, si pronuncia positivamente circa il fatto che un “paese terzo, un territorio o uno o più settori specifici all’interno del paese terzo, o un’organizzazione internazionale” garantiscono un livello di protezione adeguato dei dati trasferiti con l’effetto che, solo in casi del genere, non siano necessarie specifiche autorizzazioni (art. 45.1 GDPR).
Sinora la Commissione UE ha pubblicato le decisioni in materia di adeguatezza nei confronti dei seguenti paesi: Andorra, Argentina, Australia – PNR, Canada, Faer Oer, Guernsey, Isola di Man, Israele, Jersey, Nuova Zelanda, Svizzera e Uruguay.
Indice degli argomenti
Trasferimento dati: quali strumenti usare senza decisioni di adeguatezza
Quando un paese terzo, secondo la Commissione UE, non offre un adeguato livello di protezione dei dati il trasferimento di questi ultimi non è però precluso definitivamente.
Infatti, si potrà procedere comunque, tra le altre, con l’osservanza delle disposizioni relative ai trasferimenti soggetti a garanzie adeguate e per i trasferimenti sulla base delle BCR.
In tal senso possono essere definite una serie di circostanze idonee a permettere al titolare o al responsabile di ritenere esistenti garanzie adeguate nel paese terzo anche in assenza di una specifica autorizzazione da parte dell’Autorità di controllo.
Tra le suddette circostanze che in questa sede ci interessano particolarmente si trovano:
- le BCR;
- le clausole tipo di protezione dei dati adottate dalla Commissione UE secondo la procedura d’esame;
- le clausole tipo di protezione dei dati adottate da un’autorità di Controllo e approvate dalla commissione UE secondo la procedura d’esame.
Ferma restando l’autorizzazione dell’Autorità di controllo competente, possono costituire altresì una garanzia adeguata le clausole contrattuali tra il titolare o il responsabile e il titolare, il responsabile o il destinatario dei dati nel paese terzo o nell’organizzazione internazionale.
Binding Corporate Rules (“BCR”): cosa sono e a cosa servono
Le cosiddette norme vincolanti d’impresa hanno lo scopo di semplificare gli oneri amministrativi delle società, anche aventi sede in Stati diversi, che appartengono ad un medesimo gruppo. Tutte le società del Gruppo che ne facciano richiesta potranno trasferire all’interno del gruppo d’impresa, i dati personali senza adempimenti ulteriori quali, ad esempio, la sottoscrizione di clausole contrattuali tipo ed il rilascio di specifiche autorizzazioni.
Le BCR sono promosse secondo il meccanismo di coerenza secondo il quale le diverse Autorità di controllo cooperano tra loro per applicare coerentemente il GDPR.
Le BCR si concretizzano in un documento contenente una serie di regole di condotta, garanzie, principi e clausole (rules) che fissano i principi vincolanti (binding) da osservare in caso di trasferimenti intra gruppo di dati personali ed al cui rispetto sono tenute tutte le società appartenenti allo stesso gruppo (corporate).
In pratica diventano disposizioni giuridicamente vincolanti e dunque applicabili a tutti gli attori del “gruppo di imprese”, inclusi i dipendenti, idonee inoltre a dotare gli interessati di diritti azionabili relativamente al trattamento dei loro dati personali.
Le BCR dovranno essere conformi a tutti i principi cardine del GDPR quali i principi di correttezza e legittimità del trattamento, di finalità, di minimizzazione, di limitazione del periodo di conservazione, di necessità e proporzionalità dei dati. Esse dovranno inoltre contenere le dovute specificazioni in materia di misure di sicurezza prescritte dalla legge e dei diritti dell’interessato quali l’obbligo da parte del titolare di rilasciare idonea informativa, diritto dell’interessato a non essere sottoposto a decisioni basate unicamente sul trattamento automatizzato (inclusa la profilazione), il diritto di proporre reclamo all’Autorità di controllo competente, fino al diritto dell´interessato ad ottenere il risarcimento del danno connesso al mancato rispetto delle BCR da parte di una società del gruppo (cosiddetta clausola del terzo beneficiario).
Sono imposti inoltre al gruppo d’impresa multinazionale ulteriori oneri quali:
- la predisposizione di un programma di formazione del personale in materia di protezione dei dati personali;
- l’implementazione di un meccanismo di gestione del contenzioso e delle segnalazioni connesse alle BCR;
- la conduzione periodica di audit finalizzati alla verifica del rispetto delle BCR da parte delle società del gruppo;
- la creazione di un network di privacy officers o di uno staff che si occupi di monitorare il rispetto delle BCR e di gestire le segnalazioni degli interessati.
Le FAQ predisposte dal Gruppo dei Garanti Europei (WP 155) forniscono maggiori e dettagliate informazioni mentre per un modello esemplificativo di testo di BCR si rinvia al documento WP 154.
Clausole contrattuali tipo per il trasferimento dati verso paesi terzi
Si tratta di “strumenti contrattuali” che, come anticipato, consentono di trasferire dati personali verso Paesi terzi.
La Commissione UE, ma anche le Autorità di controllo dei singoli Stati, possono adottare le clausole tipo in questione (come quelle indicate nell’elenco delle decisioni adottate in materia dal Garante privacy italiano), valide ai sensi dell’art. 46 del GDPR. Il cosiddetto “esportatore dei dati” dovrà incorporare, e rispettare, tali clausole contrattuali nel contratto utilizzato per il trasferimento dei dati, garantendo così che tali dati saranno trattati conformemente ai principi stabiliti nel GDPR anche nel Paese terzo di destinazione. Queste decisioni della Commissione UE sono vincolanti per gli Stati dell’Unione. I titolari possono predisporre clausole contrattuali ad hoc da sottoporre alle Autorità di controllo.
Occorre sottolineare che tali clausole, a pena di nullità, non posso essere modificate in alcun modo dalle parti stipulanti, le quali dovranno “prenderle e utilizzarle” così come formulate.
Gli elementi essenziali saranno, comunque, la possibilità per gli interessati di esercitare i propri diritti, e l’assoggettamento del destinatario all’Autorità di controllo nazionale.