Guida VIII al Regolamento Privacy 679/2016: Trasferimento dei dati personali verso Paesi terzi e Organizzazioni Internazionali - Le News di CONSULENZE DIGITALI - Consulenti Digitali

Vai ai contenuti

Guida VIII al Regolamento Privacy 679/2016: Trasferimento dei dati personali verso Paesi terzi e Organizzazioni Internazionali

Consulenti Digitali
Pubblicato da in News Privacy Europea ·
1. Introduzione
Tra i Considerando che aprono il Regolamento 679/2016 (in seguito, “Regolamento”), il n. 101 sottolinea l’importanza del trasferimento dei dati europei verso i paesi terzi, in linea con i nuovi trend e le esigenze di mercato dell’economia 4.0. Esso cita: “I flussi di dati personali verso e da paesi al di fuori dell’Unione e organizzazioni internazionali sono necessari per l’espansione del commercio internazionale della cooperazione internazionale”.
Alla disciplina del trasferimento transfrontaliero dei dati è difatti dedicato un autonomo capo del Regolamento 649/2016, il V, titolato “Trasferimento di dati personali verso Paesi terzi o Organizzazioni internazionali”.
di Carolina Sartori, Fonte Filodiritto.com

2. Novità rispetto alla Direttiva Madre 95/46 CE
Con il nuovo Regolamento il legislatore europeo ha ampliato la sfera soggettiva di protezione dei dati trasferiti all’estero, stabilendo che non si considerano destinatari solo i Paesi terzi (e tutte le imprese ivi sono stabilite) ma anche le Organizzazioni Internazionali (definite all’articolo 4, comma 26 del Regolamento, come “un’organizzazione e gli organismi di diritto internazionale pubblico a essa subordinati o qualsiasi altro istituto da o sulla base di un accordo tra due o più stati”).
Viene inoltre attuato un ampliamento della sfera di protezione dal punto di vista temporale: ex articolo 44, affinché si integri un trasferimento all’estero di dati, non è necessario che essi vengano trattati immediatamente al momento dei trasferimento, ma basta che siano “destinati a essere oggetto di un trattamento dopo il trasferimento verso un paese terzo o un’organizzazione internazionale, compresi i trasferimenti successivi di dati personali da un paese terzo o un’organizzazione internazionale verso un altro paese terzo o un’altra organizzazione internazionale”.
3. La decisione di adeguatezza
Tuttora, come nella Direttiva 46 del 1995, a rendere legittimo un transito libero di dati fuori dai confini europei verso un Paese terzo sarà una decisione di adeguatezza, adottata dalla Commissione, che si esprima positivamente sul livello di protezione del Paese terzo o dell’Organizzazione internazionale destinataria dei dati. È questa la regola generale espressa nell’articolo 44 del Regolamento.
In tal caso la decisione di adeguatezza avrà valore di un nulla osta per il trasferimento. Il Working Party Art. 29 (a seguire, “WP 29”) ha chiarito che il termine “adeguatezza” non è sinonimo di “equivalenza”: ai Paesi terzi spetta la discrezionalità nella scelta dei mezzi più opportuni, anche se differenti da quelli europei, a patto che tali mezzi risultino adeguati a realizzare tale finalità.
Assorbendo le indicazioni fornite nella decisione Schrems dalla Corte di Giustizia Europea, il legislatore europeo ha puntualizzato al secondo comma dell’articolo 45 quali sono gli elementi di cui la Commissione deve tenere conto nel valutare l’adeguatezza del Paese terzo o dell’organizzazione internazionale: tra tutti, la necessaria presenza (e l’effettivo funzionamento) di una Autorità indipendente a protezione dei dati nel Paese terzo o che abbia poteri effettivi sull’Organizzazione, oltre che gli impegni internazionali giuridicamente vincolanti assunti dal Paese terzo.
Altra prescrizione aggiunta dal Regolamento, e diretto riflesso della sentenza Schrems, è quella per cui ogni quattro anni la Commissione dovrà attuare un riesame sull’effettiva adeguatezza degli accordi. Infatti, gli atti di esecuzione che esprimono la decisione di adeguatezza possono venire revocati, modificati, sospesi senza effetto retroattivo nel caso in cui la valutazione del riesame quadriennale abbia esito negativo.
Lo Stato terzo o l’Organizzazione Internazionale verranno dunque monitorati costantemente nel corso degli anni e, per poter continuare a ricevere liberamente i flussi di dati coperti dal Regolamento, dovranno mantenere i livelli di data protection all’altezza degli standard europei, dimostrandosi affidabili.
Il Garante Privacy fornisce al seguente link un elenco, costantemente aggiornato, dei Paesi nei confronti dei quali la Commissione si è positivamente espressa con una decisione di adeguatezza: http://www.garanteprivacy.it/home/provvedimenti-normativa/normativa/normativa-comunitaria-e-intenazionale/trasferimento-dei-dati-verso-paesi-terzi#1.
4. Casi in cui non è necessaria una decisione di adeguatezza
Nel caso in cui la Commissione non si esprima positivamente riguardo all’adeguatezza di un soggetto terzo rispetto a destinatari europei, i dati potranno comunque essere trasferiti?
La risposta è sì: oltre alla regola generale della decisione di adeguatezza vi sono altre possibilità per trasferire lecitamente i dati fuori dai confini UE.
L’articolo 46, titolato “Trasferimento soggetto a garanzie adeguate”, elenca al comma 2 i casi in cui non è necessaria una decisione di adeguatezza, ma serve comunque un’autorizzazione, cioè quando sono presenti:
  • Strumenti giuridicamente vincolanti aventi efficacia tra le autorità o organismi pubblici
  • Norme Vincolanti d’Impresa o Binding Corporate Rules, come descritte nell’articolo 47 del Regolamento
  • Clausole tipo dette anche Clausole Contrattuali Standard, adottate dalla Commissione secondo la procedura prevista all’articolo 93 del Regolamento
  • Codici di condotta e meccanismi di certificazione, approvati l’uno ex articolo 40 e l’altro ex articolo 42 del Regolamento
All’articolo 49, invece, sono elencati i casi in cui non è necessaria una specifica autorizzazione, che coincidono con le seguenti specifiche situazioni:
  • L’interessato, informato nello specifico dei possibili rischi legati al trattamento in mancanza di una decisione di adeguatezza, presta esplicitamente il proprio consenso per il trasferimento proposto
  • Il trasferimento è necessario per l’esecuzione di un contratto concluso tra interessato e titolare e/o all’esecuzione di misure precontrattuali
  • Il trasferimento è necessario per importanti motivi di interesse pubblico e/o per accertare, esercitare, difendere un diritto in sede giudiziaria
  • Per tutelare gli interessi vitali dell’interessato o di altre persone qualora l’interessato sia incapace di prestare il consenso



Torna ai contenuti