Il GDPR, nell’ottica di una protezione omnicomprensiva dei dati personali, prevede una serie di requisiti per il loro trasferimento fuori dal territorio dell’Unione Europea (UE). Nella consapevolezza che tali trasferimenti possano comportare un rischio rilevante per gli interessati, tale facoltà è ammessa e regolamentata dal GDPR con la prospettiva di garantire il medesimo livello di protezione che gli stessi avrebbero (con riferimento ai loro dati) se rimanessero in UE.
GDPR e trasferimento dei dati fuori UE: impatto sulle aziende
Ma perché questo aspetto della normativa è importante per le organizzazioni?
Con le attuali tecnologie in ambito informatico, in primis l’avvento del cloud computing, accade frequentemente che dati e informazioni (compresi i dati personali) vengano di fatto trasferiti fuori dall’UE senza che, a volte, le organizzazioni abbiano attentamente (e preventivamente) valutato come governare i rischi conseguenti.
In altre situazioni è facilmente prevedibile che, aziende appartenenti a gruppi multinazionali, utilizzino sistemi di trasferimento dei dati; tali trasferimenti potrebbero anche avvenire verso paesi al di fuori dell’EU o dello Spazio Economico Europeo.
Il concetto di “trasferimento”, sebbene non definito dal GDPR, viene trattato in vari punti: a cominciare dal Capo V (art. 44 e ss. GDPR) che contiene le regole cardine per il trasferimento di dati personali extra UE, per poi essere richiamato in relazione a specifici adempimenti come il registro dei trattamenti (art. 30 GDPR) i contenuti dell’informativa (art. 13 GDPR) e la valutazione di impatto (art. 35 GDPR).
In un’ottica di compliance con la regolamentazione sul trasferimento di dati extra UE, le organizzazioni devono quindi dotarsi di adeguate procedure organizzative che consentano di valutare preventivamente le casistiche di trasferimento ed essere in grado di dimostrare il rispetto dei requisiti normativi disciplinati dal GDPR (accountability).
Trasferimento dei dati: quando è possibile e quando non lo è
Ma, in concreto, quando il GDPR permette questo trasferimento di dati personali?
In linea generale (tralasciando quindi ipotesi più residuali) abbiamo diversi casi possibili.
Il primo caso si ha quando, sulla base di una valutazione fatta dalla Commissione Europea, lo stato verso cui i dati verranno trasferiti, è stato giudicato adeguato (art. 45 GDPR). Per valutare l’“adeguatezza” la Commissione utilizza svariati parametri, dal rispetto dei diritti umani alla possibilità di un ricorso effettivo in sede amministrativa e giudiziaria per gli interessati (art. 45.2 lett. b)). Ma la regolamentazione non si ferma qui e prende in considerazione la presenza di una o più autorità di controllo nonché di impegni internazionali assunti dal paese terzo (lettere c) e d)). Tutto questo forma il set di requisiti necessari per considerare uno stato od una organizzazione internazionale come “adeguati”.
Recentemente l’Article 29 Data Protection Working Party (WP29), nel documento “WP254”, ha fornito indicazioni sulla cosiddetta “decisione di adeguatezza” stabilendo principi generali con l’ottica di guidare i paesi terzi a valutare la propria aderenza ai principi stabiliti dal GDPR: l’adeguatezza può essere raggiunta attraverso una combinazione di diritti per gli interessati e obblighi nei confronti di coloro che trattano i dati o che esercitano controllo.
I restanti casi, invece, si attuano qualora il paese terzo non sia stato giudicato adeguato e prevedono che il trasferimento possa comunque avvenire se si rispettano ulteriori requisiti (“garanzie adeguate”): fra questi le componenti legali e contrattuali giocano un ruolo importante.
Infatti, l’art. 46 GDPR esplicita che il trasferimento soggetto a “garanzie adeguate” avviene in particolare se gli interessati hanno a disposizione “diritti azionabili e mezzi di ricorso effettivi”.
Lo stesso articolo prosegue citando alcuni esempi tra cui i seguenti:
- la presenza di uno “strumento giuridicamente vincolante” avente efficacia esecutiva tra autorità pubbliche o organismi pubblici;
- le norme vincolanti d’impresa;
- le clausole tipo di protezione dei dati adottate dalla Commissione (probabilmente l’aspetto più saliente di questo articolo);
- codici di condotta;
- meccanismi di certificazione.
Le clausole tipo consistono in testi contrattuali standard sottoscritti dalle parti (solitamente allegati ai contratti di servizio), in forza delle quali il ricevente (soggetto extra UE) si impegna a rispettare una serie di requisiti per la protezione dei dati personali. Una delle principali novità introdotte dal GDPR consiste nella possibilità per le Autorità nazionali di adottare proprie clausole tipo. Anche queste però al fine di garantire omogeneità nell’applicazione del GDPR, devono essere approvate dalla Commissione (art. 46.2 lett. d).
Le “Binding Corporate Rules – BCR” (art. 47 GDPR) sono invece uno strumento volto a consentire il trasferimento di dati personali dal territorio di uno stato membro verso Paesi terzi (extra-UE) tra società facenti parti dello stesso gruppo. Queste si concretizzano in un documento contenente una serie di clausole (rules) che fissano i principi vincolanti (binding) al cui rispetto sono tenute tutte le società appartenenti ad uno stesso gruppo (corporate).
In particolare, la società capogruppo adotta, indica ed impartisce le regole di comportamento in materia di protezione dei dati cui le singole società appartenenti al gruppo devono sottostare. Le norme vincolanti di impresa, ai sensi dell’art. 47.1 GDPR vengono approvate dall’autorità di controllo competente, la quale dovrà darne comunicazione al Comitato Europeo al fine di ottenere il relativo parere (art. 64.1 lett f)).
Recentemente il WP29 ha redatto due working document (WP 256 e WP 257) con i quali si è posto l’obiettivo di facilitare l’utilizzo delle BCR stesse (istituto già esistente nel nostro panorama giuridico, ma poco sfruttato). Tali working document prevedono proprio delle matrici da utilizzare come vere e proprie checklist per verificare se le BCR adottate rispecchino i requisiti normativi: tali requisiti spaziano dal dovere generale di rispettare e di far rispettare le BCR al programma di audit interno specifico per le BCR.
In conclusione?
Il trasferimento dati extra UE è un’attività complessa che richiede competenze specifiche. Il punto di partenza di un’organizzazione a tal riguardo deve essere improntato all’adozione di contromisure volte a mantenere lo stesso livello di protezione che il dato personale avrebbe se rimanesse in UE.
Tale approccio deve essere improntato alla multidisciplinarietà e comprendere organizzazione, strumenti legali e meccanismi di sicurezza IT più aggiornati possibili.