Regole chiare per il trasferimento dei dati fuori UE in ottemperanza al GDPR. L’EDPB il 18 novembre 2021 ha pubblicato le Linee guida 05/2021 che forniscono un’interpretazione coerente delle disposizioni contenute all’interno del Regolamento, al fine di assistere i titolari e i responsabili del trattamento collocati in UE a identificare correttamente quali tipologie di operazioni sui dati possano qualificarsi come trasferimento verso un paese terzo e, di conseguenza, garantire il rispetto del Capo V del GDPR.
Indice degli argomenti
Cosa dicono le Linee guida EDPB sul trasferimento dei dati
In particolare, il documento si concentra sull’interazione fra l’applicazione dell’art. 3 GDPR, che stabilisce l’ambito di applicazione territoriale del Regolamento, e le disposizioni previste per i trasferimenti di dati personali nei confronti di Paesi Terzi e Organizzazioni Internazionali.
In una nota ufficiale Andrea Jelinek, presidente dell’EDPB, ha affermato: “Queste linee guida forniscono un’interpretazione coerente del concetto di “trasferimenti internazionali” e chiariscono che, quando un importatore di dati è soggetto al GDPR, gli obblighi di cui al capo V del GDPR si applicano sia al trasferimento dall’UE all’importatore sia a qualsiasi ulteriore trasferimento che l’importatore intraprende”.
GDPR, limitazione diritti degli interessati: ecco le linee guida EDPB
I tre criteri per identificare il trasferimento
All’interno del GDPR, si afferma nelle linee guida, non si prevede una definizione certa e univoca della nozione di “trasferimento di dati personali presso un paese terzo o un’organizzazione internazionale”; pertanto, appare necessario chiarire, in primo luogo, quali siano i criteri per definire il “trasferimento” e quali operazioni rientrino all’interno di tale definizione. L’EDPB individua tre criteri cumulativi atti a identificare un trattamento di dati come “trasferimento”:
- il titolare o il responsabile del trattamento sono soggetti all’ambito di applicazione del GDPR per il trattamento in esame;
- il titolare o il responsabile del trattamento (denominati “esportatori”) renda disponibile, mediante trasmissione o altro mezzo, i dati personali oggetto del trattamento in esame, a un altro titolare, a un contitolare, o ad un responsabile del trattamento (denominati “importatori”);
- L’importatore cui sono resi noti i dati, si trova in un paese terzo o è un’organizzazione internazionale. A nulla rileva che l’importatore sia o meno soggetto al GDPR, in applicazione del disposto di cui all’art. 3 GDPR, che prevede che il regolamento si applichi al trattamento di dati personali di interessati che si trovano nell’UE, anche nel caso in cui il titolare o il responsabile non siano stabiliti nell’Unione medesima.
Il trattamento sarà considerato un trasferimento, indipendentemente dal fatto che l’importatore stabilito in un paese terzo sia già soggetto al GDPR ai sensi dell’articolo 3 GDPR: la valutazione, infatti, dovrà essere condotta sul singolo trattamento di dati e non sul soggetto cui gli stessi sono resi disponibili.
Il primo criterio
In primo luogo, si richiede che l’esportatore rientri nel campo di applicazione del GDPR per il trattamento preso in esame. In relazione a tale profilo, l’EDPB svolge un richiamo espresso a quanto contenuto nelle Linee Guida 3/2018, dedicate proprio all’analisi dell’art. 3 GDPR. È possibile che il gli esportatori rientrino nel campo di applicazione del GDPR anche in relazione ad un determinato trattamento, rendendo, pertanto, comunque necessaria la conformità del trasferimento presso paesi terzi o organizzazioni internazionali ai sensi del Capo V.
Il secondo criterio
In secondo luogo, si richiede che il titolare o il responsabile esportatore, mettano a disposizione di un altro titolare o responsabile i dati personali oggetto di trattamento. Anche per tale aspetto, si fa espresso richiamo a quanto elaborato nelle Linee Guida 07/2020 dell’EDPB sui concetti di titolare e responsabile del trattamento. Non solo: l’EDPB rimarca il fatto che occorre tenere presente che le definizioni stesse di titolare, contitolare e responsabile del trattamento sono concetti:
- funzionali, ossia che mirano ad allocare correttamente le responsabilità del trattamento in base al ruolo concretamente ricoperto dalle parti;
- autonomi, in quanto dovrebbero essere interpretati principalmente secondo la normativa europea vigente sulla protezione dei dati personali.
Ne deriva che si rende necessario svolgere un’analisi caso per caso dei trattamenti e dei ruoli connessi ai medesimi. Non si rileva la sussistenza del criterio in esame, secondo EDPB, nel caso in cui i dati sono resi noti al destinatario direttamente o su iniziativa dell’interessato. Pertanto, in tale fattispecie non ci si troverà dinanzi ad un trasferimento di dati personali, mancando l’“intermediario” dell’invio o della messa a disposizione dei dati personali medesimi.
Esempi concreti
Invece, potrebbe verificarsi un’ipotesi di trasferimento dati presso paesi terzi o organizzazioni internazionali nel caso in cui il responsabile del trattamento trasmetta i dati personali conferiti dal titolare, ad un altro responsabile del trattamento o ad un altro titolare, secondo le istruzioni fornite dal titolare del trattamento “a monte”. Da quanto espresso da EDPB deriva che la nozione di “trasferimento di dati personali presso un paese terzo o un’organizzazione internazionale” si applica solo alle comunicazioni di dati personali nelle quali sono coinvolti due soggetti separati (siano essi titolari, contitolari o responsabili), come, ad esempio, due società di un medesimo gruppo. Pertanto, affinché possa qualificarsi un trasferimento, occorre che vi sia un soggetto “esportatore” che comunica i dati ed un altro soggetto diverso, l’“importatore”, che riceve i dati medesimi o che ha accesso ai dati.
Nel caso in cui il mittente e il destinatario dei dati siano i medesimi soggetti, la comunicazione di dati non dovrebbe essere considerata un trasferimento, fermo restando l’obbligo di adottare misure tecniche e organizzative adeguate a tutelare i dati personali trattati, ai sensi dell’art. 32 GDPR. La mancata qualificazione del flusso di dati come “trasferimento”, infatti, non fa venire meno i rischi connessi all’esistenza di leggi nazionali che potrebbero essere contrastanti con i principi del GDPR, prevedere ipotesi di disclosure eccessiva nei confronti delle autorità governative del Paese Terzo, o far insorgere difficoltà nel far valere i propri diritti da parte degli interessati. Il titolare del trattamento, pertanto, potrebbe comunque ritenere necessario applicare misure di sicurezza estensive, come il divieto, per i dipendenti, di portare con sé i propri laptop quando viaggiano in alcuni paesi terzi.
Il terzo criterio
Da ultimo, si richiede che l’importatore, il destinatario dei dati, sia collocato geograficamente all’interno di un paese terzo o sia un’organizzazione internazionale, a prescindere dal fatto che il trattamento esaminato rientri o meno nel campo di applicazione del GDPR. Pertanto, se la comunicazione di dati avviene nei confronti di una società che già rientra nel campo di applicazione del GDPR (perché fornisce servizi e beni al mercato europeo), tale comunicazione sarà comunque da ritenersi rientrante nella nozione di “trasferimento”, con applicazione del Capo V del GDPR.
Conseguenze applicative delle Linee guida sul trasferimento dei dati
Nel caso in cui si riscontrino tutti e tre i requisiti esposti dall’EDPB e sintetizzati nel presente articolo, allora potrà affermarsi che sussiste un “trasferimento presso un paese terzi o un’organizzazione internazionale”. Di conseguenza, il titolare o il responsabile del trattamento dovranno rispettare le condizioni poste dal Capo V del GDPR, regolando il trattamento secondo gli strumenti di garanzia previsti dagli artt. 44 e ss, non potendo, ai sensi dell’art. 49 GDPR, i dati essere trasferiti senza un adeguato livello di protezione o garanzie idonee alla tutela dei dati stessi:
- La presenza di una Decisione di Adeguatezza della Commissione Europea, che attesti che un paese terzo, un territorio o uno o più settori specifici all’interno di un paese terzo, o un’organizzazione internazionale garantiscono un livello di protezione adeguato;
- L’applicazione di Clausole Contrattuali Standard (SCC);
- La stesura di norme vincolanti d’impresa;
- L’adesione a codici di condotta o a meccanismi di certificazione;
- La previsione di clausole contrattuali “ad hoc” tra il titolare del trattamento o il responsabile del trattamento e il titolare del trattamento, il responsabile del trattamento o il destinatario dei dati personali nel paese terzo o nell’organizzazione internazionale;
- L’inserimento di disposizioni specifiche all’interno di accordi amministrativi tra autorità pubbliche o organismi pubblici che comprendono diritti effettivi e azionabili per gli interessati.
Il contenuto specifico delle singole garanzie dovrà essere parametrato sulla situazione presa in esame, al fine di “non duplicare gli obblighi del GDPR ma, piuttosto, affrontare gli elementi e i principi che mancano e, quindi, sono necessari per colmare le lacune”. Gli strumenti di garanzia indicati dovrebbero, a tritolo esemplificativo, definire quali misure adottare nel caso in cui vi sia un conflitto normativo o siano avanzate richieste giuridicamente vincolanti da parte dei paesi terzi per la divulgazione dei dati.
