Blog : bcr

La trasferibilità dei dati personali all’estero.<BR>Il safe harbour ed il privacy shield

La trasferibilità dei dati personali all’estero.
Il safe harbour ed il privacy shield

L’esigenza delle aziende e di altri operatori economici di essere sempre più orientati allo sviluppo produttivo, e quindi competitivi sul mercato, passa inesorabilmente attraverso l’utilizzo di sistemi globali per la gestione dei dati, tramite l’implementazione di nuove tecnologie e di procedure standardizzate: è inevitabile che questi sviluppi conducano a un accrescimento della mobilità e accessibilità dei dati personali oltre i confini nazionali e, tra meno di due anni, oltre i confini europei.

Il trasferimento di dati personali all’estero è permesso qualora riguardi Stati appartenenti all’Unione Europea (UE) ed allo Spazio Economico Europeo (SEE1); è vietato, in linea di principio, qualora rivolto a Paesi terzi.

Ovviamente, al fine di non incorrere nella paralisi dello scambio di dati e del mercato internazionale, sono previsti specifici casi di deroga a tale divieto: il trasferimento di dati verso paesi extra UE è autorizzato qualora sussista una delle condizioni previste dalla legge, di seguito indicate, o vi sia un’autorizzazione da parte dell’Autorità Garante.

Più nello specifico, le circostanze in cui la norma consente il trasferimento dei summenzionati dati, sono rappresentate dai casi in cui:

  • l’interessato abbia manifestato il proprio consenso;

  • il trasferimento sia necessario per l’esecuzione di obblighi derivanti da contratto, per la salvaguardia dell’incolumità pubblica o di un terzo, per lo svolgimento di investigazioni difensive o comunque per far valere un proprio diritto in sede giudiziaria

  • la trasmigrazione sia effettuata in accoglimento di una richiesta di accesso a documenti amministrativi.

Ma cosa accade qualora lo Stato terzo, ove si intendono esportare i dati, non offra adeguate garanzie di tutela?

Per contravvenire a tale inconveniente è possibile stipulare contratti con clausole standard, approvati dalla Commissione Europea, tramite i quali il Paese esportatore di dati assicuri la presenza dello stesso livello di tutela specifica, richiesta dalla normativa europea, anche nello Stato in cui i dati sono diretti.

Inevitabilmente, il problema sollevato dalla questione del trasferimento dei dati personali verso Paesi extra UE\SEE ha grandi ripercussioni sulle dinamiche aziendali. Sovente accade che, all’interno di uno stesso gruppo societario, vi sia da una parte la necessità di trasferire verso Stati extra UE\SEE dati personali – inerenti a dipendenti, fornitori clienti e così via – nel modo più rapido ed efficace possibile, e dall’altra parte la necessità di garantire che tale trasferimento sia rispettoso della norma.

La risposta a tale esigenza delle aziende risiede nelle Binding Corporate Rules (di seguito BCR) : le aziende appartenenti ad un medesimo gruppo possono dotarsi di una policy contenente regole di condotta relative al trattamento dei dati personali all’interno dello stesso gruppo, le quali consentano di trasferire dati personali fra le società del gruppo residenti in diverse aree geografiche, nel rispetto delle garanzie fissate dalla normativa privacy.

L’iter per l’approvazione delle BCR prevede che l’autorizzazione sia rilasciata da tutte le Autorità competenti presenti nei singoli Stati da cui originano i trasferimenti di dati; pertanto è stata predisposta una “procedura di mutuo riconoscimento”, grazie alla quale una lead Autorithy, ovvero un’unica Autorità garante, può esaminare la richiesta e procedere all’approvazione. Ciò nonostante, le singole aziende facenti parte di un gruppo multinazionale e stabilite in Italia, dovranno comunque richiedere specifica autorizzazione al Garante Privacy italiano qualora intendano trasferire dati dall’Italia verso paesi extra UE.

Le clausole fissate nelle BCR rappresentano uno strumento attraverso il quale le aziende recepiscono regole e norme, rendendole vincolanti nei confronti di tutte le società facenti parte del medesimo gruppo. All’interno delle BCR è necessario individuare limiti geografici e oggettivi, ovvero i dati trattati, i soggetti coinvolti e le finalità perseguite, assumendo così le stesse BCR la veste di vere e proprie privacy policy societarie.

Dal 1 gennaio 2013, – a seguito dell’approvazione di una nuova procedura da parte dei Garanti per la privacy dei Paesi UE riuniti nel cd. Gruppo “Articolo 29” – possono fare ricorso alle BCR anche quei gruppi multinazionali che trattano i dati personali per conto dei propri clienti, in qualità di responsabili esterni del trattamento, come nel caso di fornitori di servizi di outsourcing o di cloud computing. Tali società possono far approvare le proprie “BCR for Processor”.

Quindi, qualora un’azienda con sede in Italia decida di far trattare dati personali in outsourcing da una multinazionale con sede fuori dallo spazio UE, potrà trovare garanzia nel fatto che la multinazionale abbia predisposto una “BCR ” approvato dall’UE e dai singoli Stati interessati, dimostrando il tal modo la conformità della propria privacy policy alla normativa.

Recentemente, la questione inerente la trasmigrazione dei dati ha superato la dimensione dei gruppi societari ed ha investito i rapporti tra Unione Europea e Stati Uniti d’America: dopo due anni di negoziazioni, il 2 febbraio 2016, la Commissione Europea ed il Dipartimento del Commercio americano hanno raggiunto un accordo in merito, sottoscrivendo il nuovo “Privacy Shield” -divenuto necessario dopo la dichiarazione di invalidità del vecchio accordo, il “Safe Harbour”, intervenuta con la decisione del 6 ottobre 2015 della Corte Europea di Giustizia-.

Quali sono le novità più rilevanti che segnano un passo in avanti nella tutela dei dati esportati negli USA? A presidio dell’effettività di questo nuovo accordo, vi è un vero e proprio “scudo” il quale prevede sanzioni, esclusioni in caso di inadempienza, il divieto di accesso ingiustificato e massificato ai dati, la possibilità di proporre un ricorso avverso i trattamenti ed infine un monitoraggio annuale sul funzionamento del Privacy Shield.

La sfida di questo nuovo accordo sta nel cercare di ristabilire la fiducia degli europei nel trasferimento dei propri dati oltreoceano, passando dalle autocertificazioni del Safe Harbour agli obblighi vincolanti previsti dal Safety Shield; di fatto, le autorità statunitensi, per la prima volta, hanno formalizzato il proprio impegno a far rispettare il nuovo accordo.

Ciò è ancora più evidente se si considera l’intervento del Garante Europeo per la privacy che, proprio qualche giorno fa, si è espresso sul testo dell’Accordo evidenziando la necessità di “miglioramenti significativi” nel prevedere una più definita protezione dei dati riferiti ai cittadini europei.

Non resta che attendere la decisione finale della Commissione che dovrà valutare l’impatto del Privacy Shield rispetto a quanto osservato dal Garante Europeo.

1 Gli Stati facenti parte dello SEE sono, oltre agli stati della EU, anche la Norvegia, l’Islanda e il Liechtenstein.