Diritti interna

Doveri interna

Briciole di pane

Search Form Portlet

ricerca avanzata

Trasferimento di dati personali all'estero

Trasferimento di dati personali all´estero

 

 

 

I trasferimenti di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo (SEE, ossia UE + Norvegia, Liechtenstein, Islanda) o verso un’organizzazione internazionale sono consentiti a condizione che l’adeguatezza del Paese terzo o dell’organizzazione sia riconosciuta tramite decisione della Commissione europea (art. 45 del Regolamento UE 2016/679).

 

In assenza di tale decisione, il trasferimento è consentito ove il titolare o il responsabile del trattamento forniscano garanzie adeguate che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati (art. 46 del Regolamento UE 2016/679). Al riguardo, possono costituire garanzie adeguate:

 

senza autorizzazione da parte del Garante:

 

• gli strumenti giuridici vincolanti ed esecutivi tra soggetti pubblici (art. 46, par. 2, lett. a);
• le norme vincolanti d’impresa (art. 46, par. 2, lett. b)
• le clausole tipo (art. 46, par. 2, lett. c e lett. d)
• i codici di condotta (art. 46, par. 2, lett. e)
• i meccanismi di certificazione (art. 46, par. 2, lett. f)

 

previa autorizzazione del Garante:
 

• le clausole contrattuali ad hoc (art. 46, par. 3, lett. a)
• gli accordi amministrativi tra autorità o organismi pubblici (art. 46, par. 3, lett. b)

 

In assenza di ogni altro presupposto, è possibile trasferire i dati personali in base ad alcune deroghe che si verificano in specifiche situazioni (art. 49 del Regolamento UE 2016/679).

 

 

 

 

 

Decisioni di adeguatezza (art. 45)

 

La Commissione europea può stabilire, valutati gli elementi indicati nell’art. 45, par. 2 del Regolamento UE 2016/679 e sulla base di un procedimento che prevede il parere del Comitato europeo per la protezione dei dati, che il Paese terzo (ma anche un territorio o un settore specifico al suo interno) o l’organizzazione internazionale garantiscano un livello di protezione adeguato e che pertanto è possibile trasferirvi dati personali. Il Regolamento prevede un’attività di monitoraggio da parte della Commissione mediante riesame delle decisioni a cadenza periodica, almeno ogni quattro anni. Tale attività può concludersi con una modifica della decisione o in altre circostanze con la sospensione o persino con la sua revoca, (art. 45, paragrafi 3-5 del Regolamento UE 2016/679).

 

Di seguito sono riportate le decisioni sinora adottate ai sensi della Direttiva 95/46/CE in materia di adeguatezza, in vigore fino a quando non vengano modificate, sostituite o abrogate dalla stessa Commissione (art. 45, par. 9 del Regolamento UE 2016/679).



 

- Andorra

- Argentina

- Australia PNR

- Canada

- Faer Oer

- Giappone

- Guernsey

- Isola di Man

- Israele

- Jersey

- Nuova Zelanda

- Svizzera

- Uruguay

- USA Privacy Shield

- USA PNR

 

 

 

 

 

Strumenti giuridicamente vincolanti tra autorità pubbliche (art. 46, par. 2, lett. a)

 

I trasferimenti possono essere effettuati anche da autorità pubbliche o da organismi pubblici verso altre autorità pubbliche o organismi pubblici, o nei confronti di organizzazioni internazionali con analoghi compiti o funzioni, stabiliti in Paesi terzi. In tal caso i dati personali possono essere trasferiti:

 

sulla base di uno «strumento giuridicamente vincolante e avente efficacia esecutiva» (art. 46, par. 2, lett. a) del Regolamento UE 2016/679), quale un accordo amministrativo, di natura internazionale e di ambito bilaterale o multilaterale, ovvero

 

previa autorizzazione dell’autorità di controllo competente, mediante «disposizioni da inserire in accordi amministrativi tra autorità pubbliche o organismi pubblici che comprendono diritti effettivi e azionabili per gli interessati» (art. 46, par. 3, lett. b) del Regolamento UE 2016/679), quali ad esempio i protocolli d’intesa.
 

 

La prima autorizzazione ai sensi dell’art. 46, par. 3, lett. b), è stata resa dal Garante alla CONSOB  il 23 maggio 2019 per sottoscrivere un accordo amministrativo per il trasferimento di dati personali tra le autorità di vigilanza finanziaria dello Spazio economico europeo (SEE) e le autorità di vigilanza finanziaria al di fuori del SEE (doc. web n. 9119857).

 

 

 

 

 

Clausole tipo (art. 46, par. 2, lett. c) e lett. d) e clausole  contrattuali ad hoc (art. 46, par. 3, lett. a)

 

La Commissione europea o l’autorità di controllo competente previa approvazione della Commissione può stabilire che determinati strumenti contrattuali consentono di trasferire dati personali verso Paesi terzi o organizzazioni internazionali (art. 46, par. 2, lett. c) e lett. d).

 

In pratica, incorporando il testo delle clausole contrattuali in questione in un contratto utilizzato per il trasferimento, l’esportatore dei dati garantisce che questi ultimi saranno trattati conformemente ai principi stabiliti nel Regolamento anche nel Paese terzo o all’interno dell’organizzazione di destinazione. È importante sottolineare che le clausole tipo di protezione dati non ammettono emendamenti e devono essere sottoscritte dalle parti. Tuttavia, esse possono essere incorporate in un contratto più generale e vi si possono aggiungere clausole ulteriori purché non in conflitto, direttamente o indirettamente, con le clausole tipo così adottate (v. Considerando 109).

 

Sinora la Commissione in base alla Direttiva 95/46/CE ha adottato tre decisioni in materia recanti alcuni schemi di clausole tipo. Si tratta nel caso di:

 

trasferimenti da titolare a responsabile:

 

decisione della Commissione UE n. 2010/87/CE del 5 febbraio 2010

 

•  autorizzazione ai trasferimenti verso Paesi terzi tramite le clausole contrattuali tipo di cui alla decisione della Commissione n.  2010/87/UE (in caso di importatore stabilito in Paese Terzo) – provvedimento del Garante del 27 maggio 2010 (doc. web n. 1728496)

 

•  autorizzazione ai trasferimenti verso Paesi terzi tramite le clausole contrattuali tipo di cui alla decisione della Commissione n. 2010/87/UE (in caso di importatore stabilito in UE) - provv. del Garante del 15 novembre 2012 (doc. web n. 2191156)

 

trasferimenti da titolare a titolare:

 

decisione della Commissione UE n. 2001/497/CE (I insieme), del 15 giugno 2011

 

• autorizzazione ai trasferimenti verso Paesi terzi – provv. del Garante del 16 novembre 2001 (doc. web n. 42156)

 

decisione della Commissione UE n. 2004/915/CE (II insieme), del 27 dicembre 2004

 

• autorizzazione ai trasferimenti di dati personali verso Paesi terzi – provv. del Garante del 9 giugno 2005 (doc. web n. 1151949)

 

Le decisioni nn. 2001/497/CE e 2010/87/UE sono state modificate dalla Commissione con la Decisione di esecuzione (UE) 2016/2297, del 16 dicembre 2016.

 

In materia di clausole contrattuali tipo, si richiamano inoltre i seguenti documenti del Gruppo art. 29 (ora, Comitato europeo per la protezione dei dati):

 

- WP 214 - Working document 01/2014 on Draft Ad hoc contractual clauses “EU data processor to non-EU sub-processor”

 

- WP 226 - Working Document Setting Forth a Co-Operation Procedure for Issuing Common Opinions on “Contractual clauses” Considered as compliant with the EC Model Clauses

 

Resta fermo che ogni modifica o emendamento delle clausole tipo ne comporta la trasformazione in clausole contrattuali ad hoc. Anche queste ultime possono offrire garanzie adeguate alla luce della specifica situazione in cui si versa. Prima di procedere al trasferimento, esse necessitano però dell’autorizzazione della competente autorità di controllo nazionale, preceduta in ogni caso dal parere del Comitato europeo della protezione dei dati (art. 46, par. 3, lett. a).

 

 

 

 

 

BCR (art. 47)

 

Si tratta di uno strumento volto a consentire il trasferimento di dati personali dal territorio dello Stato verso Paesi terzi nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune. Le Bcr costituiscono un meccanismo in grado di semplificare gli oneri amministrativi a carico delle società di carattere multinazionale con riferimento ai flussi intra-gruppo di dati personali.

 

Sono costituite da un documento contenente una serie di clausole (rules) che fissano i principi vincolanti (binding) espressamente individuati all’art. 47, paragrafi 1 e 2, del Regolamento UE 2016/679, al cui rispetto sono tenute tutte le entità (che agiscono in qualità di controller o di processor) appartenenti ad uno stesso gruppo (corporate).

 

I modelli di riferimento disponibili sono di due tipologie e differiscono a seconda del ruolo ricoperto dalle entità −titolari o responsabili− che esportano ed importano i dati all’interno del gruppo: le Bcr for Controller e le Bcr for Processor. In particolare, in quest’ultima ipotesi il cliente (titolare) sottoscrive un contratto generale di servizi (Service Level Agreement - SLA) con la società multinazionale (responsabile) al quale sono allegate le “Bcr for Processor”.

 

Per maggiori e più dettagliate informazioni in merito ai contenuti delle Bcr, si rinvia ai seguenti documenti del Gruppo art. 29:

 

- Wp 256 - Working Document setting up a table with the elements and principles to be found in Binding Corporate Rules - in caso di BCR for controller

 

- Wp 257 - Working Document setting up a table with the elements and principles to be found in Processor Binding Corporate Rules - in caso di BCR for processor

 

 

 

 

 

Procedura

 

Il gruppo richiedente deve compilare l’application form secondo quanto indicato nel documento WP 264, per le Bcr for controller, e nel documento WP 265, in ordine alle Bcr for processor, rivolgendosi alla c.d. Lead Authority, individuata sulla base dei criteri indicati nel paragrafo 1 del WP 263.

 

La procedura di approvazione delle Bcr, come definita nel WP 263, è infatti condotta dalla Lead Authority la quale dialoga, in rappresentanza delle Autorità di controllo, con il gruppo multinazionale interessato al fine di predisporre un progetto di decisione condiviso da sottoporre al Comitato europeo per la protezione dei dati ai sensi dell’art. 64, par. 1, lett. f) del Regolamento UE 2016/679.

 

Qualora il Garante sia la Lead Authority della procedura, l’istanza −cui deve essere allegato il testo di cui si compongono le Bcr con i rispettivi allegati in lingua inglese e in lingua italiana (quest´ultima asseverata da traduzione giurata)− è trasmessa all’Autorità ai sensi dell’art. 46, par. 1, lett. b) e non è previsto il versamento di alcun diritto di segreteria.

 

La fase istruttoria presso l’Autorità può comportare la richiesta di maggiori informazioni o di ulteriore documentazione o rendere opportuna l’organizzazione di un incontro presso l´Autorità.

 

Al termine del procedimento, la cui durata è di 18 mesi fatto salvo quanto previsto dall’art. 11 del reg. n. 2/2019, il Garante comunica al richiedente e alle altre Autorità di controllo interessate la decisione adottata.

 

Per quanto riguarda la procedura, occorre fare riferimento ai seguenti documenti del Gruppo art. 29:

 

- Wp 263 rev. 01 - Working Document Setting Forth a Co-Operation Procedure for the approval of “Binding Corporate Rules” for controllers and processors under the GDPR

 

- Wp 264 - Recommendation on the Standard Application for Approval of Controller Binding Corporate Rules for the Transfer of Personal Data

 

- Wp 265 - Recommendation on the Standard Application form for Approval of Processor Binding Corporate Rules for the Transfer of Personal Data

 

 

 

- Provvedimenti Bcr adottati già presenti sul sito del Garante

 

 

- EDPB - Register of approved binding corporate rules

 

 

 

 

 

Codici di condotta e meccanismi di certificazione (art. 46, lett. e) e lett. d)

 

Il Regolamento introduce nuovi strumenti per i trasferimenti internazionali: i titolari e i responsabili del trattamento potranno avvalersi, infatti, a determinate condizioni, anche di codici di condotta o meccanismi di certificazione senza che ciò comporti alcuna autorizzazione da parte dell’autorità competente.  I primi, purché approvati a norma dell’art. 40, possono costituire adeguati strumenti per il trasferimento, qualora accompagnati dall’«impegno vincolante ed esecutivo da parte del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati» (art. 46, par.2, lett. e) del Regolamento UE 2016/679); i meccanismi di certificazione purchè approvati a norma dell’art. 42, «unitamente all’impegno vincolante ed esigibile del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati» (art. 46, par.2, lett. f) del Regolamento UE 2016/679).

 

Si tratta di strumenti giuridici innovativi e il Comitato europeo della protezione dei dati sta elaborando alcune linee-guida allo scopo di individuare procedure e requisiti armonizzati in rapporto al loro impiego.

 

 

 

 

 

Deroghe in specifiche situazioni (art. 49)

 

In via residuale e solo a determinate condizioni (specificatamente individuate per singola situazione), è possibile trasferire dati personali nell’ambito delle c.d. “deroghe” di cui all’art. 49 del del Regolamento UE 2016/679 (consenso, contratto, interesse pubblico, difesa in giudizio, interesse vitale, registro pubblico, cogente interesse legittimo del titolare). In merito, è opportuno considerare che il termine “deroga” include di per sé una connotazione di eccezionalità rispetto al principio dell’adeguatezza e alle altre garanzie e che, pertanto, l’ambito di operatività delle suddette deroghe deve essere soggetto ad un’interpretazione restrittiva. Un’analisi dettagliata dei presupposti di applicazione di tali deroghe è contenuta nel documento del Comitato europeo per la protezione dei dati che segue e al quale si rinvia.

 

Linee guida 2/2018 sulle deroghe di cui all’articolo 49 del Regolamento 2016/679, del 25 maggio 2018.

 

 

 

 

 

 

 

 

 

Brexit - Trasferimenti di dati

 

Dalla mezzanotte del 31 gennaio 2020 il Regno Unito non è più formalmente uno stato membro dell'UE.

 

A partire da tale data ha avuto inizio il periodo transitorio. Questo periodo, limitato nel tempo, è stato concordato nel quadro dell'accordo di recesso tra l'Unione europea e il Regno Unito che prevede l’applicazione a quest’ultimo del diritto dell'Unione, ivi comprese le disposizioni del Regolamento UE 2016/679 relativo alla protezione dei dati, fino al 31 dicembre 2020.

 

Alla fine del periodo transitorio, i trasferimenti di dati personali verso il Regno Unito dovranno basarsi su uno degli strumenti di cui all’art. 46 del Regolamento UE 2016/679 (in assenza di clausole-tipo di protezione dei dati o di altre garanzie adeguate, si possono comunque utilizzare le deroghe di cui all’art. 49 del Regolamento a determinate condizioni), salva l’adozione da parte della Commissione europea di una decisione che riconosca che il Regno Unito garantisce un livello di protezione adeguato (art. 45 del Regolamento UE 2016/679).

 

 

VEDI ANCHE

ICO - Statement on data protection and Brexit implementation – what you need to do

 

 

 

 

 

 

 

 

 

 

g-menu Portlet

g-menu Portlet