Diritto & Internet

10 cose che non si possono non sapere sul regolamento Privacy_8: Il trasferimento dei dati personali

Il regolamento privacy (Regolamento 2016/679, GDPR) sarà a breve direttamente applicabile su tutto il territorio europeo. Ha inizio per imprese, pubbliche amministrazioni e privati cittadini il rush finale per adeguarsi alle disposizioni previste dalla nuova normativa. Allo scopo di facilitare la lettura di un testo complesso e articolato come il GDPR, si propongono una serie di semplici schede informative, attraverso la formula del Q&A, che, riprendendo concetti ormai noti nell’ambito privacy, offrono un sintetico orientamento alla nuova normativa.

Cosa si intende per trasferimento di dati personali?

Il GDPR non definisce cosa si intenda per trasferimento. Dalla lettura degli articoli che disciplinano il trasferimento di dati (artt. 44-50 del GDPR) si desume che con “trasferimento” il GDPR indica uno spostamento di dati personali da un titolare o un responsabile del trattamento, situato all’interno dell’UE, a un titolare o responsabile del trattamento, situato fuori dall’UE.

Il GDPR estende l’attuale ambito di applicazione della disciplina. In primo luogo, ricomprende nella categoria dei trasferimenti anche i flussi di dati personali verso un’organizzazione internazionale. In secondo luogo, applica la disciplina sul trasferimento anche ai trasferimenti “successivi” in un paese terzo o verso un’organizzazione internazionale, che avvengono nei casi in cui il soggetto a cui i dati sono stati trasferiti, li trasferisce nuovamente ad un altro soggetto.

Cosa deve fare il titolare o il responsabile se vuole trasferire i dati?

Il titolare e il responsabile del trattamento potranno effettuare un trasferimento di dati personali, solo qualora rispettino una delle condizioni previste dal GDPR agli artt. 45-49.

Quali sono gli “strumenti” per il trasferimento?

Gli “strumenti” elencati agli artt. 45-49, che il titolare e il responsabile del trattamento possono utilizzare per trasferire i dati personali, riprendono in parte l’elenco di condizioni previste dal Codice privacy o create dal Gruppo di Lavoro ex Art. 29. Per esempio, un trasferimento sarà legittimo nel caso in cui: il paese verso cui i dati sono diretti abbia ottenuto una decisione di adeguatezza (adequacy decision) da parte della Commissione europea; sia soggetto a garanzie adeguate cioè, per esempio, sia regolato attraverso l’utilizzo di clausole contrattuali standard (standard contractual clauses, SCC) tra mittente e ricevente o, per i trasferimenti infragruppo, il gruppo societario adotti norme vincolanti d’impresa (binding corporate rules, BCR); il mittente soddisfi una delle deroghe previste all’art. 49 del GDPR (es. abbia raccolto il consenso dell’interessato).

Cosa cambia con il GDPR?

Da un lato, il GDPR mette a disposizione nuovi “strumenti” per effettuare un trasferimento. Dall’altro lato, ordina le diverse condizioni secondo una scala di rilevanza: la decisione di adeguatezza diventa il pilastro del nuovo sistema; solo in sua assenza i titolari o i responsabili dovranno adottare una delle alternative basi offerte dal GDPR.

In ambito di garanzie adeguate, le norme vincolanti d’impresa acquistano autonoma rilevanza e vengono dettagliatamente regolate all’art. 47 del GDPR, che ne elenca il contenuto minimo. L’art. 46, invece, innova la lista di basi giuridiche utilizzabili per un trasferimento, affiancando a SCC e BCR: l’adozione di uno strumento giuridicamente vincolante e avente efficacia esecutiva tra autorità pubbliche o organismi pubblici; la sottoscrizione di un codice di condotta o l’adesione a un meccanismo di certificazione approvato. Inoltre le SCC, prima valide solo se adottate dalla Commissione europea, potranno ora essere adottate anche da un’autorità di controllo nazionale (purché poi approvate dalla stessa Commissione europea o sottoposte al meccanismo di coerenza ex. art. 63 del GDPR).

Infine, l’art. 49 esplicita le ulteriori eventuali “deroghe in specifiche situazioni”, di cui il mittente può usufruire, in mancanza sia di una decisione di adeguatezza, sia di una delle garanzie adeguate indicate.

Le decisioni di adeguatezza già adottate rimangono valide?

Il GDPR precisa che le decisioni di adeguatezza adottate sulla base della direttiva 95/46/CE restano in vigore fino a quando non siano modificate, sostituite o abrogate da una decisione della Commissione europea, a seguito, per esempio, del riesame periodico previsto per tutte le decisioni di adeguatezza ogni quattro anni. Dunque, le decisioni di adeguatezza fino ad oggi adottate rimangono per il momento valide.

Le decisioni di adeguatezza già adottate possono essere consultate QUI.

Quali SCC possono essere attualmente utilizzate?

Con riferimento alle clausole contrattuali standard, la Commissione europea ha fino ad oggi adottato modelli di clausole applicabili ai trasferimenti transfrontalieri di dati da un titolare (UE) a un titolare (extra-UE) o da un titolare (UE) a un responsabile (extra-UE) (reperibili QUI).

È inoltre in corso d’opera la preparazione di uno schema di SCC per il trasferimento transfrontaliero di dati tra responsabile stabilito in UE e sub-responsabile stabilito in un paese terzo.

Maria Chiara Meneghetti

Aggiungi commento

Direttore Scientifico
Prof. Avv. Giusella Finocchiaro
Curatrice Editoriale
Dott. Giulia Giapponesi