GDPR – Trasferimenti transnazionali di dati
Il nuovo “Regolamento Generale per la Protezione dei Dati” (GDPR) è destinato a sostituire la “Direttiva sulla Protezione dei Dati 95/46/CE”. Il GDPR è direttamente applicabile in ciascuno Stato Membro e porterà ad un maggiore grado di armonizzazione della protezione dei dati in tutte le nazioni UE.
Sebbene molte aziende abbiano già adottato processi e procedure per garantire un livello di privacy coerente con la “Direttiva sulla Protezione dei Dati”, il GDPR contiene nuove e sempre più stringenti regole per garantire una maggior protezione nella gestione e nel trattamento dei dati.
Con nuovi obblighi su questioni quali l’autorizzazione del soggetto interessato, l’anonimato dei dati, la notifica di violazione, i trasferimenti transnazionali dei dati e la nomina di funzionari per la protezione delle informazioni personali, solo per citarne alcuni, il GDPR richiede alle società che gestiscono dati di cittadini appartenenti alla UE, di intraprendere una riforma operativa importante.
Trasferimento dati all’estero: Regolamentazione GDPR per flussi transfrontalieri
La problematica della regolamentazione del trasferimento di dati all’estero, e dei flussi transfrontalieri, e di conseguenza anche dell’utilizzo di un servizio cloud che non abbia sede nel paese di residenza, è questione complessa e controversa. Negli ultimi anni, infatti, lo scandalo delle intercettazioni dell’NSA americana ha irrigidito le posizioni dell’Unione europea che si è vista costretta a riformare parte della regolamentazione.
Innanzitutto in base alla normativa comunitaria e nazionale la circolazione dei dati all’interno dello Spazio Economico Europeo (SEE) è libera (art. 12 Convenzione 108). Di contro i trasferimenti al di fuori del SEE sono generalmente vietati a meno che non intervengano specifiche garanzie.
Per quanto riguarda la definizione di flusso transfrontaliero dei dati, le norme europee lo definiscono come il trasferimento di dati personali verso un destinatario soggetto a una giurisdizione straniera. Secondo la Corte di Giustizia europea la semplice pubblicazione di dati personali su un sito Internet non può considerarsi trasferimento all’estero, in quanto tale trasferimento sarebbe necessariamente verso tutti i paesi esteri e quindi il regime speciale stabilito per i flussi transfrontalieri diventerebbe un regime generale. Per cui se un solo Stato estero non garantisse un livello di protezione adeguato, gli Stati membri dovrebbero bloccare l’immissione di tutti i dati in rete. In conclusione solo la comunicazione diretta a destinatari specifici rientra nella nozione di “flusso transfrontaliero dei dati”.
La normativa non prevede più una autorizzazione dell’Autorità Garante per avviare il trasferimento, se tale trasferimento è basato sugli strumenti previsti dalle norme. Ovviamente sarà necessaria l’autorizzazione del Garante se si vuole procedere al trasferimento in base a contratti non standard.
L’Adeguatezza del trattamento
Il GDPR consente la trasmissione di dati personali a un paese terzo o ad un’organizzazione internazionale a patto che questa rispetti le condizioni stabilite nel nuovo regolamento. Ciò significa che la trasmissione di dati a paesi il cui regime giuridico è considerato “Adeguato” dalla Commissione Europea è consentita perché il livello di protezione dei dati personali è considerato aderente ai principi fondanti della normativa.
Esistono importanti differenze che emergono tra il GDPR e la “Direttiva sulla Protezione dei Dati”. Il primo riconosce esplicitamente come validi gli accordi e le clausole contrattuali stipulate tra gli stati.
In mancanza di una esplicita decisione di adeguatezza da parte della Commissione EU e in determinate circostanze, sono consentiti i trasferimenti anche fuori dagli stati extracomunitari, purché siano state stipulate clausole contrattuali e Accordi Vincolanti che garantiscono il rispetto delle regole di protezione dei dati.
Le clausole contrattuali standard, che prima del GDPR richiedevano la previa notifica e l’approvazione da parte delle autorità di protezione dei dati, possono ora essere utilizzate senza tale preventiva approvazione.
Inoltre, un nuovo schema di cui all’articolo 42 consente di trasferire le informazioni, previa certificazione e a condizione che le parti applichino obblighi vincolanti ed esecutivi, aderendo alle misure di protezione ritenute adeguate.
Oltre a facilitare i trasferimenti di dati internazionali attraverso nuovi meccanismi, il GDPR rende anche chiaro che non è consentito trasferire dati personali fuori dall’UE senza un consenso esplicito, neanche a fronte di una richiesta giudiziaria effettuata da un paese terzo.
Il trasferimento in paesi extracomunitari è ammissibile se nel paese di destinazione è garantito un livello di protezione dei dati adeguato a quello europeo. Per valutare l’adeguatezza occorre esaminare diversi aspetti del trattamento, dalla natura dei dati, alla possibilità che tali dati transitino in altri paesi prima di giungere alla destinazione, e così via.
Il requisito dell’adeguatezza, piuttosto che quello dell’equivalenza, consente l’utilizzo di diverse vie per garantire la protezione dei dati. In base al requisito dell’adeguatezza il trasferimento di dati in paesi extracomunitari è consentito se autorizzato dal Garante nazionale in base a specifici strumenti che forniscano adeguate garanzie per i diritti dell’interessato.
GDPR: Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali
Il capitolo V del GDPR articoli dal 44 al 49, disciplina i trasferimenti transnazionali di dati personali.
- L’articolo 45 stabilisce le condizioni per i trasferimenti con una decisione di adeguatezza da parte della Commissione EU;
- L’articolo 46 stabilisce le condizioni per i trasferimenti mediante opportune garanzie in assenza di una decisione di adeguatezza da parte della Commissione EU;
- L’articolo 47 stabilisce le condizioni per i trasferimenti mediante regole aziendali vincolanti;
- L’articolo 48 affronta le situazioni in cui un tribunale straniero o un organismo amministrativo ha ordinato il trasferimento non altrimenti consentito dal GDPR;
- L’articolo 49 stabilisce le condizioni per deroghe per situazioni specifiche in assenza di una decisione di adeguatezza o di garanzie appropriate.
Secondo la “Direttiva sulla Protezione dei Dati 95/46/CE”, solo paesi terzi approvati erano idonei a ricevere trasferimenti di dati personali al di fuori degli Stati membri. Il GDPR consente di trasferire non solo verso i paesi terzi, ma anche verso un territorio o un settore specifico all’interno di un paese terzo o ad un’organizzazione internazionale, a condizione che sia stato dato un parere di “adeguatezza” della Commissione. Una volta che la Commissione conferisce o ritrae una designazione di “adeguatezza”, la decisione è valida in tutti gli Stati membri dell’UE.
Le decisioni di adeguatezza (elenco delle attuali decisioni di adeguatezza) emanate dalla Commissione europea, sono strumenti vincolanti per i paesi dell’Unione, con le quali la Commissione stabilisce che il livello di protezione offerto in un determinato Paese è adeguato, e che pertanto è possibile trasferirvi dati personali.
Occorre ricordare che, con la sentenza del 6 ottobre 2015 della Corte di Giustizia europea, la decisione di adeguatezza relativa al trasferimento di dati negli Usa (cosiddetto Safe Harbour) è stata dichiarata invalida, ma da agosto 2016 è operativo il Privacy Shield, adottato dalla Commissione europea in sostituzione della decisione dichiarata invalida, e recepito anche in Italia con provvedimento dell’Autorità per la protezione dei dati personali.
Per trasferire dati verso paesi terzi che non garantiscono un adeguato livello di protezione dei dati, il titolare del trattamento può utilizzare ulteriori strumenti contrattuali, sottoponendo il flusso di dati all’esame della autorità di vigilanza e dimostrando che vi è una base giuridica per il trasferimento e la presenza di misure atte a garantire un’adeguata tutela dei dati presso il destinatario.
La Commissione europea, con l’ausilio del Gruppo articolo 29, ha elaborato delle clausole contrattuali standard, che sulla base della decisione della Commissione europea e ai sensi dell’articolo 26 della direttiva 95/46/CE, consentono di trasferire dati personali verso Paesi terzi. Chi trasferirà i dati, incorporando il testo delle clausole contrattuali in un contratto utilizzato per il trasferimento, garantisce che i dati saranno trattati conformemente ai principi stabiliti nella direttiva europea anche nel Paese terzo di destinazione. Anche queste decisioni della Commissione sono vincolanti per gli Stati dell’Unione.
Ovviamente i titolari del trattamento possono predisporre clausole contrattuali ad hoc da sottoporre alle autorità di vigilanza. Elementi essenziali saranno, comunque, la possibilità per gli interessati di esercitare i propri diritti, e l’assoggettamento del destinatario all’autorità di vigilanza nazionale.
Infine, per consentire il trasferimento di dati personali dal territorio dello Stato verso extra-UE tra società facenti parti dello stesso gruppo d’impresa esistono le binding corporate rules (BCR), che si concretizzano in un documento contenente una serie di clausole (rules) che fissano i principi vincolanti (binding) per tutte le società appartenenti allo stesso gruppo (corporate).
Il caso Schrems: Impatto sulla privacy e trasferimenti dati UE-USA secondo GDPR
Il 6 ottobre del 2015 la Corte di Giustizia dell’Unione Europea ha emesso sentenza sulla Causa C-362/14 (Maximillian Schrems vs Data Protection Commissioner), dichiarando invalida la decisione della Commissione Europea sul c.d. programma “Safe Harbour”.
La direttiva europea sulla privacy (Direttiva 95/46/EC) stabiliva che il trasferimento di dati personali verso un Paese non appartenente all’Area Economica Europea poteva, come regola generale, essere effettuato solo se tale Paese assicurava un adeguato livello di protezione dei dati. La Direttiva stabiliva, inoltre, che la Commissione Europea poteva verificare che un Paese terzo assicurava un livello adeguato di protezione dei dati in ragione della propria legislazione nazionale o degli accordi presi a livello internazionale.
Nel luglio del 2000 la Commissione Europea adottò la Decisione 520/2000/CE (la “Decisione Safe Harbour”), riconoscendo che i c.d. Principi Safe Harbour sulla Privacy e le relative Domandi Frequenti, approvati dal Dipartimento del Commercio degli Stati Uniti, avrebbero assicurato un’adeguata protezione dei dati personali trasferiti dall’Europa alle società statunitensi aderenti al programma Safe Harbour.
Nel giugno del 2013 Maximillian Schrems, un utente austriaco di Facebook, presentò un reclamo all’Autorità garante della privacy irlandese, affermando che, alla luce delle rivelazioni fatte da Edward Snowden in merito alle attività dei servizi di intelligence statunitensi, le leggi degli Stati Uniti non offrissero sufficiente protezione dalla sorveglianza attuata dalle pubbliche autorità sui dati trasferiti negli USA. L’autorità irlandese archiviò il reclamo, asserendo, in particolare, che con la Decisione Safe Harbour la Commissione Europea avesse già verificato che, nell’ambito del programma Safe Harbour, gli Stati Uniti assicurassero un adeguato livello di protezione.
Il caso fu rimesso alla Corte Suprema irlandese, la quale, in sede di rinvio pregiudiziale, chiese alla Corte di Giustizia se, a seguito di un reclamo presentato da un cittadino, la Decisione Safe Harbour della Commissione impedisse effettivamente all’Autorità garante irlandese di verificare autonomamente il livello di protezione dei dati offerto dagli Stati Uniti d’America.
La Corte di Giustizia rispose che l’esistenza di una decisione della Commissione, secondo la quale un paese terzo assicura un adeguato livello di protezione dei dati personali, non può né escludere né ridurre i poteri delle Autorità garanti nazionali. Pertanto, anche se la Commissione ha adottato una propria decisione, le Autorità nazionali, allorquando ricevano un reclamo da parte di un cittadino, devono poter valutare in completa indipendenza se il trasferimento dei dati in un paese terzo soddisfi i requisiti previsti dalla Direttiva.
Il caso Schrems sollevò la necessità di una decisione di “adeguatezza” ed “equivalenza essenziale”. A tale proposito si conferma che una decisione di “adeguatezza” della Commissione significa che il paese terzo o l’entità specifica garantisce un livello adeguato di protezione in linea con la direttiva dell’Unione Europea.
La Commissione ritiene innumerevoli fattori per determinare l’adeguatezza, comprese le specifiche attività di elaborazione, l’accesso alla giustizia, le norme internazionali in materia di diritti umani, la legge generale e settoriale del paese, la legislazione in materia di sicurezza pubblica, difesa e la sicurezza nazionale, l’ordine pubblico e il diritto penale.
I trasferimenti ad un’entità considerata “adeguata” possono avvenire senza ulteriore autorizzazione da parte della Commissione o degli Stati membri. Le decisioni di adeguatezza sono altresì oggetto di una revisione periodica per determinare se l’entità garantisce ancora un livello adeguato di protezione dei dati.
Nella revisione periodica, la Commissione consulta l’entità e considera gli sviluppi rilevanti occorsi, vengono analizzate informazioni provenienti da fonti considerate rilevanti quali i risultati del Parlamento Europeo o del Consiglio.
Trasferimenti a fronte di opportune garanzie
Simile alla “Direttiva sulla Protezione dei Dati 95/46/CE”, il GDPR fornisce meccanismi per il trasferimento transnazionale di dati in assenza di una di un parere di “Adeguatezza” fornito dalla Commissione Europea qualora vengano fornite determinate garanzie.
Ai sensi dell’articolo 49, le misure di protezione appropriate comprendono:
- Uno strumento giuridicamente vincolante e applicabile tra autorità o enti pubblici
- Utilizzo di legittimi regolamenti aziendali in conformità all’articolo 47
- Delle clausole contrattuali standard di protezione dei dati adottate dalla Commissione secondo la procedura di esame di cui all’articolo 93, paragrafo 2
- Clausole contrattuali standard di protezione dei dati adottate da un’autorità di vigilanza e approvate dalla Commissione secondo la procedura di esame di cui all’articolo 93, paragrafo 2
- Un codice di condotta approvato ai sensi dell’articolo 40, insieme a clausole contrattuali vincolanti che diano garanzie appropriate nel il rispetto dei diritti dei soggetti interessati.
- Un meccanismo di certificazione approvato a norma dell’articolo 42, insieme a clausole contrattuali vincolanti che diano garanzie appropriate nel il rispetto dei diritti dei soggetti interessati.
Clausole contrattuali standard di protezione dei dati
Le modifiche apportate ai requisiti relativi alle clausole contrattuali standard in merito alla protezione dei dati riducono di massima gli oneri amministrativi. Nel quadro generale del GDPR queste clausole non richiedono un’autorizzazione preventiva delle autorità di vigilanza. Tali clausole possono essere adottate dalla Commissione Europea e dalle autorità nazionali di vigilanza. Le clausole contrattuali standard esistenti possono rimanere valide, ma il GDPR lascia aperta la possibilità di una loro abrogazione.
Clausole contrattuali redatte ad hoc possono essere utilizzate per garantire e rafforzare la conformità al GDPR. Tali clausole dovranno ricevere un’approvazione preventiva dell’autorità di vigilanza.
Codici di condotta e meccanismi di certificazione
L’articolo 49 del GDPR elenca due nuove opportune garanzie; i codici di comportamento e i meccanismi di certificazione.
I codici di comportamento sono programmi di autoregolamentazione usati per dimostrare che l’azienda aderisce a determinati standard sulla privacy.
Secondo il GDPR tali codici di comportamento possono essere creati da entità terze o da organismi che rappresentano gli interessi di titolari dei dati. Possono essere elaborati per affrontare molti aspetti del GDPR ivi compresi i trasferimenti internazionali di dati.
L’adesione a questi codici di comportamento da parte delle aziende che non sono soggette alla regolamentazione ma che sono coinvolte nel trasferimento dei dati personali al di fuori dell’UE, aiuterà quest’ultime a dimostrare che sono state adottate delle adeguate garanzie nella gestione delle informazioni.
I codici di comportamento formulati devono essere presentati all’autorità di vigilanza appropriata per l’approvazione ai sensi dell’articolo 38. Un organismo accreditato e competente può, a norma dell’articolo 41, controllare l’osservanza di un codice di condotta.
Possono essere sviluppate certificazioni di protezione dei dati, sigilli e marchi, registrati al livello dell’Unione, per dimostrare l’adesione alcuni standard. Come i codici di condotta, la certificazione è disponibile per un utilizzo da parte di soggetti esterni all’UE, a condizione che dimostrino, mediante contratti o altri strumenti legali, la loro volontà di aderire alle garanzie di protezione dei dati.
Come descritto negli articoli 42 e 43, i meccanismi di certificazione, i sigilli e i marchi richiedono un’ulteriore azione da parte del comitato europeo per la protezione dei dati. E’ in fase di studio la realizzazione di un marchio europeo comune che certificherà l’adesione agli standard fondanti della direttiva.
Disposizioni specifiche per le Binding Corporate Rules (“BCR”)
Il GDPR, a differenza della “Direttiva sulla Protezione dei Dati 95/46/CE”, elenca in modo esplicito le BCR e ne attribuisce una garanzia di adeguatezza all’articolo 46 e prevede le modalità dettagliate per i trasferimenti tramite BCR di cui all’articolo 47.
Tale disposizione precisa che le BCR richiedono l’approvazione di un’autorità di vigilanza in conformità al meccanismo di coerenza di cui all’articolo 63 e disciplinano le regole minime che devono essere incluse.
Le regole minime di condotta dovranno considerare le informazioni di contatto per il gruppo interessato, le informazioni sui processi di dati e di trasferimento, le norme che si applicano principi generali di protezione dei dati, le procedure di reclamo e i meccanismi di conformità.
I BCR sono un meccanismo privilegiato e preferenziale, grazie alla loro flessibilità e al loro basso onere amministrativo. L’articolo 4, paragrafo 20 definiscono che, anche a un gruppo di imprese che svolgono un’attività economica congiunta possono utilizzare la stessa struttura di regole per i trasferimenti internazionali di dati.
Deroghe per situazioni specifiche
L’articolo 49 stabilisce le deroghe o le eccezioni previste al divieto di trasferimento di dati personali al di fuori dell’UE senza adeguate protezioni. Le deroghe sono generalmente parallele a quelle della “Direttiva sulla Protezione dei Dati 95/46/CE” con l’inserimento di una nuova per i trasferimenti considerati di “legittimo interesse”. Le deroghe si applicano quando:
L’interessato ha espressamente acconsentito al trasferimento proposto, dopo essere stato informato dei possibili rischi di tali trasferimenti per l’interessato a causa dell’assenza di una decisione di adeguatezza e di adeguate misure di salvaguardia.
- Il trasferimento è necessario per l’esecuzione di un contratto tra l’interessato e la controparte o nell’attuazione di misure precontrattuali adottate a richiesta del soggetto interessato.
- Il trasferimento è necessario per la conclusione o l’esecuzione di un accordo stipulato nell’interesse del proprietario del dato e un’altra persona fisica o giuridica.
- Il trasferimento è necessario per importanti ragioni di interesse pubblico.
- Il trasferimento è necessario per la creazione, l’esercizio o la difesa di reclami legali.
- Il trasferimento è necessario per proteggere gli interessi vitali del soggetto interessato o di altre persone, quando l’interessato è fisicamente o giuridicamente incapace di dare il consenso.
- Il trasferimento è costituito da un registro che, secondo la legislazione dell’UE o del diritto degli Stati membri, è inteso a fornire informazioni al pubblico e che sia aperto alla consultazione sia dal pubblico in generale che da chiunque possa dimostrare un legittimo interesse, ma solo nella misura in cui le condizioni stabilite dalla legislazione dell’Unione o del diritto degli Stati membri per la consultazione sono soddisfatte nel caso specifico.
E’ stata introdotta una deroga generale che consente la massima flessibilità e che richiede una documentazione interna attenta e coerente. Essa prevede che, qualora un trasferimento verso un paese terzo o ad un’organizzazione internazionale non possa basarsi su clausole contrattuali standard, BRC o altre deroghe, questo può avvenire solo e soltanto se non esiste ripetitività e riguarda un limitato numero di soggetti interessati. Inoltre, il trasferimento deve risultare necessario e soddisfare gli interessi legittimi del titolare del dato.
Tale deroga è soggetta ad un’ampia interpretazione, per questo motivo le autorità di vigilanza svilupperanno dei casi di esempio a supporto di quei soggetti responsabili del dato, per supportare il processo decisionale e la redazione della documentazione necessaria.
Il consenso esplicito
Le deroghe introdotte spostano il concetto di “Consenso Inequivocabile” della direttiva a un livello più alto inserendo quello che si potrebbe definire come “Consenso Esplicito”. Tale principio consente ai soggetti interessati di tutelare maggiormente i propri interessi perché permette loro di dichiarare esplicitamente le proprie intenzioni. Il principio del “Consenso Esplicito”, cosi come attiene la direttiva definita dall’articolo 29, richiede che il soggetto interessato “risponda attivamente alla domanda, esprimendo il consenso oralmente o per iscritto”.
Informativa
Ai sensi dell’articolo 13, i soggetti responsabili del trattamento del dato devono informare tutti gli interessati quando esiste l’intenzione di trasferire i dati personali ad un paese terzo o ad un’organizzazione internazionale. Tale trasferimento deve essere conforme ad una decisione di adeguatezza da parte della Commissione. I soggetti dovranno essere informati utilizzando un linguaggio che sia in forma concisa, trasparente, chiaro, intelligibile e facilmente accessibile, cosi come richiesto dall’articolo 12.
Sanzioni
Una delle implicazioni più significative del GDPR è che, a differenza di quanto disposto dalla “Direttiva sulla Protezione dei Dati 95/46/CE”, il mancato rispetto delle disposizioni internazionali di trasferimento dei dati può comportare gravi multe. Le violazioni delle disposizioni sui trasferimenti di dati, di cui agli articoli 44-49 sono soggette alle ammende amministrative più consistenti. Le violazioni possono comportare sanzioni fino a 20.000.000 di Euro, oppure, nel caso di un’impresa, fino al 4% del fatturato annuo globale all’anno precedente, a seconda di quale sia superiore.
I fattori considerati per infliggere un’ammenda comprendono: la natura, la gravità e la durata dell’infrazione o il carattere intenzionale della stessa, tutte le azioni adottate per mitigare il danno subito, il grado di responsabilità e il modo in cui tale infrazione è stata resa nota all’autorità di vigilanza. E’ altresì valutata la mancata adesione ad un codice di condotta esplicito ed ogni altro fattore che possa aggravare o mitigare un comportamento in violazione delle disposizioni.
A cura di: Michele Russo
Un’esperienza di oltre 20 anni nel settore IT, nello sviluppo e nella gestione di soluzioni Enterprise per alcune tra le maggiori istituzioni finanziarie italiane e su progetti di integrazione di soluzioni informative multi tenant ad alto impatto tecnologico.
Ho un background aziendale eterogeneo con particolari competenze nella gestione e nel controllo del ciclo di vita dei progetti nonché nell’applicazione della metodologia di Enterprise Architecture.
Attualmente ricopro il ruolo di Customer Success Account Director presso Microsoft.