GDPR: il flusso transfrontaliero di dati personali

GDPR: il flusso transfrontaliero di dati personali

 In privacy
0

Nel mese di giugno 2021 sono state introdotte importanti novità da parte della Commissione europea in materia di flussi transfrontalieri.

Infatti, ad inizio mese è stato approvato il testo definitivo delle nuove clausole contrattuali standard ed Il 28 giugno sono state adottate due decisioni di adeguatezza per i trasferimenti di dati personali nel Regno Unito ai sensi del GDPR e della direttiva sulla applicazione.

Quest’ultima decisione è stata dovuta alla imminente scadenza del periodo  massimo di sei mesi successivi al 1.1.2021 in cui il Regno Unito poteva continuare ad applicare il Regolamento europeo sulla protezione dei dati personali grazie all’accordo commerciale e di cooperazione stipulato il 30 dicembre 2020 senza essere considerato un paese terzo e quindi soggetto alle disposizioni del capo V del GDPR.

Fatta questa breve premessa andiamo ad analizzare più nello specifico la disciplina del flusso transfrontaliero così come regolata dal capo V del GDPR.

Come si definisce un flusso transfrontaliero?

Il GDPR e la Corte di Giustizia non forniscono una specifica definizione di flusso transfrontaliero, questo non per mancanza ma per il chiaro intento di porre l’attenzione sui diritti e sulle tutele dei soggetti coinvolti ed evitare che una definizione statica possa limitarle.

Possiamo tuttavia definire tale fenomeno come il trasferimento di dati personali verso uno specifico destinatario soggetto a giurisdizione straniera

In quale area è possibile far circolare liberamente i dati?

All’interno dello Spazio Economico Europeo (UE più Norvegia, Liechtnstein e Islanda) è possibile far circolare i dati liberamente mentre per il flusso al di fuori Il regolamento europeo 2016/679 (GDPR) prevede  una specifica regolamentazione.

Tale regolamentazione è disciplinata al capo V (artt. 44-50)

Queste norme vengono applicate solo all’interno dello SEE?

Da una lettura combinata dell’art.3 e del considerando 22 si ricava un peculiare principio di precettività per i titolari e i responsabili del trattamento non stabiliti nell’UE quanto il trattamento riguardi:

– dati personali di interessati che si trovano nell’UE

– monitoraggio di persone fisiche che si trovano nell’UE

Qual è l’obbiettivo dell’UE circa la regolamentazione del flusso transfrontaliero?

L’obbiettivo è ricavabile da una lettura del considerando 6: facilitare il flusso per stare al passo con l’economia e la tecnologia e garantire un alto livello di protezione dei dati degli interessati.

Due obbiettivi che si contemperano a vicenda.

Quali sono i principi generali di un trasferimento dati all’estero?

Per effettuare un trasferimento occorre anzitutto una base giuridica e, inoltre, ottemperare alle disposizioni del capo V del GDPR (art. 44).

A queste condizioni si potrà utilizzare il metodo previsto dal testo normativo adatto al caso in questione.

Quali sono questi metodi?

Sono tre gli strumenti a tutela decrescente disciplinati dagli artt. 45, 46 e 49.

È obbligatorio utilizzare lo strumento che offre maggior garanzia applicabile nel caso di specie.

Di seguito un’analisi nel dettaglio dei tre strumenti.

  • Decisione di adeguatezza (art.45)

Garantisce un alto livello di tutela, la Commissione europea può adottarla qualora il paese terzo la richieda.

Affinché venga adottata il paese terzo deve:

 – rispettare i diritti umani e le libertà fondamentali

 – offrire garanzie adeguate

 – disporre di effettivi strumenti di protezione dei dati personali

 – prevedere il funzionamento di autorità di controllo terze ed indipendenti.

La Commissione europea effettua un’ attività di monitoraggio periodica sui paesi terzi soggetti a decisione di adeguatezza e la stessa può essere, sospesa, modificata o revocata, come accaduto nei confronti degli USA due volte, in seguito alle Sentenze Schrems e Schrems II.

  • Trasferimento soggetto a garanzie adeguate (art. 46)

È uno strumento negoziale, applicabile tra privati e quindi per sua natura non offre le stesse garanzie dell’ipotesi precedente in cui vi è un accordo tra autorità sovrane.

Può essere utilizzato nel flusso verso paesi non soggetti a decisione di adeguatezza a condizione che siano fornite garanzie adeguate e che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi.

Le Clausole contrattuali standard (ipotesi più frequente di trasferimento ai sensi dell’art. 46) sono state aggiornate dalla commissione nel mese di giugno 2021 in quanto la sentenza Schrems II del 2020, oltre che invalidare la decisione di adeguatezza nei confronti dell’USA “Privacy Shield”, aveva anche stabilito che le SCC pur rimanendo valide da sole, non potessero legittimare il trasferimento dei dati in quanto è necessaria una valutazione concreta del contesto in cui devono essere applicate.

Le nuove SCC sono uno strumento più completo delle precedenti e prevedono:

 – regime di responsabilizzazione per titolari e responsabili del trattamento

– un approccio modulare in base alla complessità del trasferimento 

– indennizzo in ipotesi di trattamento illecito

– la soggezione alla giurisdizione dello stato comunitario di provenienza dei dati 

– una verifica da parte degli stipulanti che le leggi del paese terzo non interferiscano con le clausole.

  • Deroghe in specifiche situazioni (art.49)

Rappresenta l’extrema ratio in quanto non rispetta i principi dell’art. 44 sopra analizzato.

Sono utilizzabili quando non è possibile applicare gli strumenti previsti dagli artte. 45 e 46.

Potranno essere utilizzate per flussi sporadici, non ripetitivi, l’applicazione deve essere occasionale e necessaria all’esecuzione del contratto.

Non è possibile utilizzarle in funzione di un principio di economicità, in altre parole,  quando l’impiego di altri strumenti è possibile ma più dispendioso.

Quando si utilizza lo strumento ex art 49 l’interessato dovrà essere informato e sarà necessario un esplicito consenso da parte dello stesso.

Conclusione

La tutela dei dati personali si muove di pari passo con quella dei diritti dei soggetti. 

Il legislatore europeo è molto attivo nel tutelare i dati personali dei soggetti interessati e per questo deve essere fonte di ispirazione globale.

In un mondo costantemente connesso nessun paese può essere considerato come un sistema chiuso ma parte di un insieme.

Post suggeriti

Leave a Comment

Google Cloud Privacy
Quando un’azienda utilizza Google Cloud Platform quali adempimenti privacy bisogna adottare?privacy
marketing privacy
Privacy e marketing: dopo Eni anche per Iren arriva la sanzione dal Garanteprivacy