GDPR - trasferimento dati all'estero- data protection

GDPR: Guida al Trasferimento dei Dati Personali

A cura di:Massimo Ippoliti Ore

Oggi esploreremo la definizione di “trasferimento” secondo il GDPR, le linee guida dell’EDPB e le implicazioni delle sentenze della Corte di Giustizia Europea. Questo articolo è parte di una raccolta dedicata al tema del Registro dei Trattamenti: in questo capitolo, ci concentreremo sul trasferimento dei dati personali, con particolare attenzione ai requisiti necessari per il trasferimento di dati all’estero.

Definizione di “Trasferimento” di Dati nel contesto GDPR

Prima di individuare quali informazioni possono essere inserite nella sezione relativa al trasferimento, occorre premettere che il GDPR non contiene la definizione di «trasferimento di dati», e che pertanto essa deve essere ricavata alla luce di alcune decisioni e linee guida in materia.

Non emergono dubbi alla luce della decisione Commissione 2001/497/CE, al suo considerando 7, circa il concetto che le attività di trasferimento costituiscano a tutti gli effetti trattamento di dati personali. Nel caso di specie, è utile richiamare le Linee Guida 05/2021 adottate il 18 novembre del 2021 dall’EDPB per individuare la definizione di “trasferimento di dati” alla luce dei tre “criteri cumulativi indicati per qualificare quando un trattamento come trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale” che sono i seguenti:

  1. Un titolare del trattamento o un responsabile del trattamento è soggetto al GDPR per il trattamento conferito;
  2. Questo titolare del trattamento o responsabile (“esportatore”) divulga mediante trasmissione o altrimenti rende i dati personali, oggetto di tale trattamento, disponibili a un altro titolare, contitolare o responsabile del trattamento (“importatore”);
  3. L’importatore si trova in un paese terzo o è un’organizzazione internazionale, indipendentemente dal fatto che tale importatore sia o meno soggetto al GDPR in relazione al trattamento previsto ai sensi dell’articolo 3.

La Nozione di “Stabilimento” e Flussi transfrontalieri dei dati nel GDPR

Sebbene la nozione di «stabilimento principale» sia definita nell’articolo 4, paragrafo 16, il GDPR non fornisca una definizione del concetto di «stabilimento» ai fini dell’articolo 3. Tuttavia, il considerando 22 chiarisce che «lo stabilimento implica l’effettivo e reale svolgimento di attività nel quadro di un’organizzazione stabile. A tale riguardo, non è determinante la forma giuridica assunta, sia essa una succursale o una filiale dotata di personalità giuridica».

In sintesi, un flusso transfrontaliero dei dati può essere definito come il trasferimento di dati personali verso un destinatario soggetto a una giurisdizione straniera. Secondo l’EDPB, si parla di “trasferimento” anche se l’importatore stabilito in un paese terzo è già soggetto al GDPR, in quanto il fattore determinante ai fini della qualificazione del concetto di “trasferimento” è la collocazione geografica delle organizzazioni, che sono al di fuori del territorio dell’UE (per cui le norme dell’Unione non si applicano più). Tuttavia, la raccolta di dati direttamente dagli interessati nell’UE di propria iniziativa non costituisce un trasferimento (ad esempio inserendo i dati in un modulo online).

Elementi chiave per identificare un Trasferimento di Dati secondo il GDPR

Rileva dunque ai fini di un trasferimento di dati la presenza dei due soggetti attori e cioè l’esportatore e l’importatore, a condizione che il primo sia soggetto alla disciplina del GDPR mentre per il secondo l’assoggettamento al GDPR o meno non rileva, mentre sicuramente è imprescindibile la collocazione in un paese terzo extra UE. Poiché tra gli elementi minimi sono elencati sia l’attività di comunicazione ai destinatari che l’attività di trasferimento verso i paesi terzi, in questa sede è opportuno individuare le differenze che sono sia di tipo soggettivo sia di tipo territoriale al fine di chiarire il contenuto.

In un contesto oramai digitale, la Corte di Giustizia (Sentenza Bodil Lindqvist) ha stabilito come la semplice pubblicazione di dati personali su un sito Internet non può considerarsi trasferimento all’estero, in quanto tale trasferimento avverrebbe necessariamente verso tutti i paesi esteri e quindi il regime speciale stabilito per i flussi transfrontalieri finirebbe per diventare un regime generale.

Per cui se un solo Stato estero non garantisse un livello di protezione adeguato, gli Stati membri dovrebbero bloccare l’immissione di tutti i dati in rete. In conclusione, solo la comunicazione diretta a destinatari specifici rientra nella nozione di “flusso transfrontaliero dei dati”.

Corre inoltre richiamare la sentenza in nota con la quale la Corte di Giustizia ha precisato come “l’art. 25 della direttiva 95/46 dev’essere interpretato nel senso che operazioni come quelle effettuate dalla sig.ra Lindqvist non costituiscono di per sé un «trasferimento verso un paese terzo di dati».

Non è quindi necessario accertare se una persona di un paese terzo abbia avuto accesso alla pagina Internet di cui trattasi o se il server di tale fornitore si trovi fisicamente in un paese terzo, nonché che “La quinta questione va quindi risolta nel senso che non si configura un «trasferimento verso un paese terzo di dati» ai sensi dell’art. 25 della direttiva 95/46 allorché una persona che si trova in uno Stato membro inserisce in una pagina Internet – caricata presso il suo fornitore di servizi di ospitalità («web hosting provider»), stabilito nello Stato stesso o in un altro Stato membro – dati personali, rendendoli così accessibili a chiunque si colleghi ad Internet, compresi coloro che si trovano in paesi terzi”.

La Corte di Giustizia ha dunque operato una distinzione tra la nozione di trasferimento e la nozione di accessibilità on line.

Requisiti per il Trasferimento di Dati all’Estero: Conformità GDPR e Sentenze UE

Per operare un trasferimento di dati all’estero occorre:

  1. Una base legale, nel rispetto di tutte le disposizioni del GDPR;
  2. Ottemperare alle disposizioni di cui al Capo V del GDPR (art. 44 e seguenti), al GDPR stesso nonché a tutte le ulteriori disposizioni vigenti in materia.

La Corte di Giustizia è successivamente intervenuta con la sentenza SCHREMS II, a cui per approfondimenti comunque si rinvia, ha dichiarato invalido l’accordo denominato “Privacy Shield”.

Raccomandazioni e Linee Guida EDPB per i Trasferimenti di Dati

In materia, l’EDPB ha pubblicato le seguenti raccomandazioni e linee guida:

  • Raccomandazione 1/2020, relative alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE;
  • Raccomandazione 2/2020, relative alle garanzie essenziali europee per le misure di sorveglianza;
  • Linee guida 5/2021, sull’Interazione tra l’applicazione dell’articolo 3 e le disposizioni sui trasferimenti internazionali di cui al Capo V del GDPR come richiamate nella nota 28.

Regolamentazione dei Trasferimenti di Dati per Settori privati e pubblici

Per i trasferimenti di dati la regolamentazione è diversa a seconda dei settori:

  • Regolamento GDPR: si occupa dei trasferimenti dei privati e delle autorità pubbliche;
  • Direttiva Polizia: si occupa dei trasferimenti riguardanti le autorità di polizia.

Corre precisare che a seguito delle sentenze della Corte di Giustizia Europea Schrems I e Schrems II sono stati invalidati rispettivamente il Safe Harbour, un sistema di regolamentazione del trasferimento e dello scambio delle informazioni di carattere personale tra gli USA e l’Unione Europea, e la decisione di adeguatezza del Privacy Shield. Una nuova decisione di adeguatezza in tal senso è stata adottata a norma dell’art. 45, par. 3 del GDPR, così da determinare una base giuridica certa per il trasferimento dei dati personali tra gli USA e l’Unione Europea che partecipano al Data Privacy Framework, senza dover predisporre ulteriori garanzie per la protezione dei dati.

In questo articolo, abbiamo approfondito il concetto di trasferimento dei dati personali nel contesto del GDPR, analizzando la sua definizione, i requisiti per i trasferimenti all’estero e l’impatto delle recenti sentenze della Corte di Giustizia Europea. Nel prossimo capitolo, ci focalizzeremo sul trasferimento dei dati personali sulla base di una decisione di adeguatezza nel GDPR. Per un’analisi più dettagliata di questi temi, vi invitiamo a scaricare il nostro white paper completo, dove troverete informazioni approfondite e aggiornate su tutti gli aspetti del trasferimento dei dati personali nel GDPR.

Profilo Autore

Tecnologo presso l’UAIG del CNR.
Abilitato all’esercizio della professione forense.

Altri Articoli
Condividi sui Social Network:

Ultimi Articoli

Sovranità Digitale e sicurezza informatica, sicurezza digitale europa

Sovranità digitale e Sicurezza Informatica: Minacce Informatiche e Dipendenza dal Cloud

A cura di:Redazione Ore Pubblicato il

La sovranità digitale è sempre più rilevante in un contesto segnato dalla rapida evoluzione tecnologica, dall’aumento della dipendenza dal cloud e dalle incessanti minacce informatiche che gravano su infrastrutture e dati sensibili. In questo scenario, la sicurezza informatica diventa fondamentale non solo per proteggere le reti critiche e salvaguardare la privacy, ma anche per preservare…

Continuous Threat Exposure Management e Cyber Risk Operation Center: Architettura Avanzata per la Cybersecurity - Francesco Faenzi (Direttore Cyber Security & Resiliency di Itway) e Alessio Fasano (Country Manager di Skybox Security) al Forum ICt Security

Continuous Threat Exposure Management e Cyber Risk Operation Center: Architettura Avanzata per la Cybersecurity

A cura di:Francesco Faenzi e Alessio Fasano Ore Pubblicato il

La gestione continua dell’esposizione alle minacce (Continuous Threat Exposure Management – CTEM) emerge come paradigma fondamentale, superando i limiti delle metodologie convenzionali per consentire una risposta più sofisticata e proattiva: al riguardo è stato introdotto il concetto di Cyber Risk Operation Center (CROC), mostrandone l’utilità nell’ambito della gestione del rischio informatico aziendale. L’intervento a due…

Digital sovereignty e Cybersecurity - Sovranità digitale e sicurezza digitale

Digital sovereignty e Cybersecurity: Sfide e Strategie nell’Era Digitale

A cura di:Redazione Ore Pubblicato il

La digital sovereignty rappresenta oggi un concetto controverso che richiede un’analisi critica e bilanciata. Da un lato, emerge come risposta alla crescente dipendenza tecnologica dell’UE da fornitori esterni, in particolare USA e Cina. Dall’altro, diversi esperti sostengono che una vera sovranità digitale sia impossibile senza la collaborazione con i grandi player tecnologici. Il Dibattito sulla…

tecnologie quantistiche e sicurezza informatica - Alessandro Luongo, Inveriant al Forum ICT Security

La tecnologie quantistiche sfidano la sicurezza informatica: tra minacce concrete e opportunità future

A cura di:Alessandro Luongo Ore Pubblicato il

Nel panorama contemporaneo della sicurezza informatica, la progressiva evoluzione delle tecnologie quantistiche rappresenta una sfida dirompente ai paradigmi tradizionali della crittografia e della difesa cibernetica. L’intervento al Forum ICT Security 2024 “Quando i computer quantistici romperanno la nostra crittografia?” di Alessandro Luongo, consulente e fondatore di Inveriant e ricercatore in quantum algorithms al CQT di…

cybersecurity vito volpini opentext cybersecurity

La Nuova Era della Cybersecurity: Resilienza, Intelligenza Artificiale e Protezione dei Dati

A cura di:Pierpaolo Ali Ore Pubblicato il

La sicurezza informatica rappresenta un asse portante per la sostenibilità e l’innovazione delle imprese nell’economia contemporanea: è quanto emerso dall’intervento “Cyber Resiliency and Artificial Intelligence for a Secure Future” tenuto da Pierpaolo Ali (Director Southern Europe, OpenText Cybersecurity) e Vito Volpini (Security Solution Architect, OpenText Cybersecurity) durante il Forum ICT Security 2024. L’intervento ha evidenziato…

Cyber Resilience Act - CRA, sicurezza digitale

Cyber Resilience Act: Un Nuovo Strumento per la Sicurezza Digitale nell’UE

A cura di:Efrem Zugnaz Ore Pubblicato il

Cos’è il Cyber Resilience Act (EU CRA)? E perché me ne dovrei occupare? Il Cyber Resilience Act, presentato dalla Commissione Europea nel settembre 2022, ma esecutivo dal 10 Dicembre 2024 è un regolamento che intende stabilire norme comuni per la sicurezza dei prodotti e dei servizi connessi alle tecnologie informatiche. Sembra tutto corretto, ma sarà…