La privacy in azienda: trasferibilità all’estero di dati tramite incaricato in outsourcing residente in un paese Extra-UE

La privacy in azienda: trasferibilità all’estero di dati tramite incaricato in outsourcing residente in un paese Extra-UE

Poter trasferire dati personali in paesi extra UE è diventato di fondamentale importanza per le aziende, sull’onda di una internalizzazione che riguarda trasversalmente la quasi totalità delle società commerciali.

Se è vero che l’art. 43 del D.lgs. 196/03 ammette il trasferimento fuori del territorio dello Stato qualora l’interessato abbia manifestato il proprio consenso espresso, dall’altro canto, è difficilmente ipotizzabile che una multinazionale con migliaia di dipendenti riesca ad acquisire il consenso di tutti.

Di frequente, tra l’altro, i dati non sono trattati direttamente dalla società, ma tali attività, specialmente quelle riguardanti la gestione delle risorse umane avvengono in outsourcing. In tal caso, a quali ulteriori adempimenti deve far fronte il titolare, qualora incarichi un responsabile in outsourcing il quale a sua volta affidi il trattamento ad un incaricato con sede in un paese extra UE?

Le strade percorribili dalle aziende sono le seguenti:

  • Presenza di una decisione di adeguatezza della Commissione EU

  • Utilizzo di clausole contrattuali standard predisposte con decisione dalla Commissione Europea

  • Adozione di Binding Corporate Rules (BCR)

  • Adozione di Binding Corporate Rules for Processor

Le decisioni di adeguatezza della Commissione, ad oggi, riguardano solamente tredici stati, per i quali è stato stabilito che la tutela assicurata al trattamento dei dati in quei paesi è soddisfacente ed è, quindi, possibile trasferirvi dati. Si veda, da ultimo, la questione relativa al trasferimento dei dati negli Stati Uniti da poco conclusasi con l’adozione, il 12 luglio scorso, da parte della Commissione europea del cd. Privacy Shield e già trattata in un precedente articolo.

Le clausole contrattuali standard sono predisposte dalla Commissione Europea e, una volta incorporate nel testo di un contratto commerciale consentono di trasmettere dati in paesi terzi.Esse prevedono le misure tecniche e organizzative di sicurezza che l’incaricato del trattamento, stabilito in un paese terzo non garante di un livello di protezione adeguato, è tenuto ad applicare.

La Commissione ha predisposto le clausole standard, con decisione del 5 febbraio 2010, utilizzabili nel caso in cui il titolare, residente in Europa, incarichi al trattamento una società comunitaria che, a sua volta, dia il subappalto ad una società extra UE.

La decisione ha stabilito che per il responsabile del trattamento, stabilito nell’Unione europea, sarà sufficiente avvalersi delle clausole standard al fine di presentare garanzie sufficienti al trasferimento verso l’incaricato extra UE. Il contratto deve essere soggetto alla legge dello Stato membro in cui è stabilito il titolare, in modo da garantire eventuali azioni dell’interessato a tutela dei propri dati.

Ovviamente, le autorità di controllo degli Stati membri devono, in ogni caso, continuare a svolgere un ruolo di garanzia, vigilando affinché i dati personali siano adeguatamente garantiti in seguito al trasferimento.

Il Garante italiano ha recepito la decisione della Commissione (Gazzetta Ufficiale n.141 del 19 giugno 2010) e, successivamente, con provvedimento del 15 novembre 2012 ha fornito ulteriori chiarimenti in merito. In particolare, ha prescritto al titolare del trattamento di conferire al responsabile con sede nell’Unione europea un apposito mandato, ai sensi dell’art. 1704 c.c., per la sottoscrizione delle clausole contrattuali tipo stabilite dalla Commissione; il Garante ha lasciato comunque facoltà ai titolari del trattamento, che non intendano avvalersi del mandato, di richiedere all’Autorità una specifica autorizzazione ai sensi dell’art. 44, comma 1 lett. a del D.lgs. 196/03.

Nella sua ultima relazione annuale il Garante per la protezione dei dati personali, ha dimostrato una particolare attenzione al tema del trasferimento dei dati verso paesi extra UE. L’Autorità ha evidenziato il grande incremento dell’ impiego di Binding Corporate Rules (di seguito BCR), le quali stanno rivelandosi il mezzo privilegiato per i trasferimenti di dati personali verso Paesi terzi attuati nell’ambito di gruppi di imprese.

Allo stesso modo, le BCR for Processors rappresentano una valida opzione in quanto permettono il trasferimento, sempre all’interno dello stesso gruppo societario, di dati personali sui quali si opera in qualità di responsabili del trattamento per conto di titolari stabiliti in un Paese comunitario. In questo modo, i titolari sono garantiti dalla presenza delle BCR for Processors, le quali provano la liceità dei trasferimenti effettuati dalla società responsabile in outsourcing. Per ulteriori approfondimenti sulle BCR potete visionare un nostro precedente articolo.

Proprio alla luce di tale cospicuo aumento dei trasferimenti di dati personali verso paesi terzi, l’autorità Garante ha concentrato le ispezioni presso soggetti che effettuano trasferimenti di dati all’estero, “al fine di verificare le tipologie di trattamento effettuate, le misure di sicurezza predisposte, nonché i presupposti giuridici, l’ambito e le modalità del trasferimento di dati personali in Paesi non appartenenti all’Unione europea”1.

Il nuovo Regolamento Europeo in materia di trasferimenti dati verso paesi extra UE ha previsto un generale divieto, salvo l’esistenza di una decisione di adeguatezza della Commissione2. E’ stato, inoltre, previsto un obbligo per la Commissione di effettuare una valutazione complessiva che consideri, più in generale, le norme del paese terzo in materia di tutela dei dati personali.

Nel caso in cui non vi sia una decisione di adeguatezza, il titolare del trattamento dovrà compensare la carenza con adeguate garanzie a tutela dell’interessato. Tali garanzie possono consistere nell’applicazione di BCR, di clausole standard adottate dalla Commissione, clausole tipo di protezione dei dati adottate da un’autorità di controllo o clausole contrattuali autorizzate da un’autorità di controllo.

Numerosi sono gli strumenti di tutela predisposti, sia dalla normativa nazionale e sia da quella comunitaria, a garanzia dei trasferimenti di dati verso paesi extra UE. È certo che un’adeguata conoscenza ed una puntuale applicazione di tali strumenti permetterà alle aziende di poter operare, esportando dati oltre i confini europei, senza troppi impedimenti e senza dover porre limiti alle proprie azioni.

2 Considerando 103 ed art. 45 Regolamento UE 679/2016

Informazioni sull'autore