Blog : privacy shield

Privacy of enterprises: transfer abroad of personal data through a delegate in outsourcing resident in a third country.

Privacy of enterprises: transfer abroad of personal data through a delegate in outsourcing resident in a third country.

Being able to transfer personal data in third countries has become of fundamental importance for companies, given the transversal internationalization of most of the commercial enterprises.

If, on the one hand, Art. 43 of Legislative Decree 196/03 allows data transfer outside national borders with previous express consent by the subject concerned, on the other hand it is quite difficult to assume that a multinational enterprise with thousands of employees is able to acquire everyone’s consent.

Moreover, data is frequently not treated directly by the company itself but, especially with regard to human resources, processed in outsourcing. In such case, what are the controller’s fulfillments when a processor in outsourcing also entrusts such process to a delegate in a third country?

The company can go through the following steps:

  • Presence of an adequacy decision by the European Commission

  • Use of standard contractual clauses predisposed by a decision of the European Commission

  • Adoption of Binding Corporate Rules

  • Adoption of Binding Corporate Rules for the Processor

Currently, the European Commission’s adequacy decisions only involve 13 States: the protection assured with regards to data treatment in such countries is considered to be satisfactory and it is therefore possible to transfer personal data. Lastly, the issue of data transferred to the USA was solved last 12th July with the adoption of the Privacy Shield by the European Commission, already discussed in a previous article of the blog.

The standard contractual clauses are predisposed by the European Commission and, once inserted in the text of a commercial contract, consent data transfer to third countries. These provide for specific technical and organizational safety measures that need to be strictly applied by the delegate of the treatment based in a third country that does not guarantee an adequate level of protection.

The European Commission, with a decision dated 5 December 2010, has decided for the standard clauses’ application in case the controller, resident in Europe, delegates the treatment to a European company which, in turn, subcontracts to a business enterprise based in a third country.

The decision has confirmed that for the processor of data treatment residing in the European Union, it will be sufficient to follow the standard contractual clauses in order to provide adequate guarantees for the transfer to a third country delegate. The contract needs to be subject to the legislation of the member’s residence country in order to guarantee any eventual actions of the interested party on personal data protection.

It goes beyond doubt that the data protection authorities of each Member State need to continue executing their main guarantee role by supervising that personal data is adequately controlled after transfer outside the European Union borders.

The Italian data protection authority has transposed the European Commission’s decision (Gazzetta Ufficiale n.141 of 19th June 2010) and, afterwards, with the measure of 15th November 2012 has given further clarifications on the issue. In particular, it has provided the controller to confer upon the processor residing in the European Union a specific mandate, in accordance with art. 1704 of the Italian Civil Code, for the subscription of specific contractual clauses given by the European Commission; however, the Italian data protection authority has left a choice to the controllers who do not intend exercising the mandate to request the same data protection authority a specific authorization according to art.44, 1st comma of Legislative Decree 196/03.

In its last annual report, the Italian data protection authority has given particular attention to data transfer to third countries. This has underlined the increased use of Binding Corporate Rules (hereinafter BCR), that are being discovered as the most privileged way of transferring data to third countries among groups of enterprises.

Accordingly, the BCR for Processors represent a valid option: these permit transfer, within the same group company, of personal data on which a processor operates for the controllers residing in a European Member State. In such way, the controllers have a guarantee deriving from the presence of BCR for Processors, which prove transfer’s lawfulness carried out by the processor enterprises in outsourcing. For more information on BCR please consult our previous article.

In the light of such drastic increase of personal data transfer to third countries, the Italian data protection authority has focused its inspections on subjects that carry out data transfer abroad, “in order to verify the treatment typos, the security measures adopted, together with the legal conditions, the scope and the modality of personal data transfer in non-EU countries”1.

The new European Regulation on the protection of natural persons with regard to the processing of personal data has provided for a general prohibition, except in the presence of an adequacy decision of the European Commission2. Moreover, the Commission has an obligation to evaluate overall third countries’ legislation with regard to privacy of personal data.

In case of absence of an adequacy decision by the Commission, the controller must compensate such deficiency with adequate guarantees to the interested subject. Such guarantees can consist of the BCR’s application, of standard clauses adopted by the Commission, of clauses regarding data protection adopted by a national supervisory authority or of contractual clauses authorized by a supervisory authority.

Many are the safeguard measures adopted, deriving from national and European legislation as a guarantee of safe transfer to third countries. It is well said that an adequate knowledge and a punctual application of such measures will allow companies to operate, by transferring data in third countries, without many obstacles and without having any limits to their own actions.

2 Recital 103 and art.45 of the EU Regulation 679/2016

La privacy in azienda: trasferibilità all’estero di dati tramite incaricato in outsourcing residente in un paese Extra-UE

La privacy in azienda: trasferibilità all’estero di dati tramite incaricato in outsourcing residente in un paese Extra-UE

Poter trasferire dati personali in paesi extra UE è diventato di fondamentale importanza per le aziende, sull’onda di una internalizzazione che riguarda trasversalmente la quasi totalità delle società commerciali.

Se è vero che l’art. 43 del D.lgs. 196/03 ammette il trasferimento fuori del territorio dello Stato qualora l’interessato abbia manifestato il proprio consenso espresso, dall’altro canto, è difficilmente ipotizzabile che una multinazionale con migliaia di dipendenti riesca ad acquisire il consenso di tutti.

Di frequente, tra l’altro, i dati non sono trattati direttamente dalla società, ma tali attività, specialmente quelle riguardanti la gestione delle risorse umane avvengono in outsourcing. In tal caso, a quali ulteriori adempimenti deve far fronte il titolare, qualora incarichi un responsabile in outsourcing il quale a sua volta affidi il trattamento ad un incaricato con sede in un paese extra UE?

Le strade percorribili dalle aziende sono le seguenti:

  • Presenza di una decisione di adeguatezza della Commissione EU

  • Utilizzo di clausole contrattuali standard predisposte con decisione dalla Commissione Europea

  • Adozione di Binding Corporate Rules (BCR)

  • Adozione di Binding Corporate Rules for Processor

Le decisioni di adeguatezza della Commissione, ad oggi, riguardano solamente tredici stati, per i quali è stato stabilito che la tutela assicurata al trattamento dei dati in quei paesi è soddisfacente ed è, quindi, possibile trasferirvi dati. Si veda, da ultimo, la questione relativa al trasferimento dei dati negli Stati Uniti da poco conclusasi con l’adozione, il 12 luglio scorso, da parte della Commissione europea del cd. Privacy Shield e già trattata in un precedente articolo.

Le clausole contrattuali standard sono predisposte dalla Commissione Europea e, una volta incorporate nel testo di un contratto commerciale consentono di trasmettere dati in paesi terzi.Esse prevedono le misure tecniche e organizzative di sicurezza che l’incaricato del trattamento, stabilito in un paese terzo non garante di un livello di protezione adeguato, è tenuto ad applicare.

La Commissione ha predisposto le clausole standard, con decisione del 5 febbraio 2010, utilizzabili nel caso in cui il titolare, residente in Europa, incarichi al trattamento una società comunitaria che, a sua volta, dia il subappalto ad una società extra UE.

La decisione ha stabilito che per il responsabile del trattamento, stabilito nell’Unione europea, sarà sufficiente avvalersi delle clausole standard al fine di presentare garanzie sufficienti al trasferimento verso l’incaricato extra UE. Il contratto deve essere soggetto alla legge dello Stato membro in cui è stabilito il titolare, in modo da garantire eventuali azioni dell’interessato a tutela dei propri dati.

Ovviamente, le autorità di controllo degli Stati membri devono, in ogni caso, continuare a svolgere un ruolo di garanzia, vigilando affinché i dati personali siano adeguatamente garantiti in seguito al trasferimento.

Il Garante italiano ha recepito la decisione della Commissione (Gazzetta Ufficiale n.141 del 19 giugno 2010) e, successivamente, con provvedimento del 15 novembre 2012 ha fornito ulteriori chiarimenti in merito. In particolare, ha prescritto al titolare del trattamento di conferire al responsabile con sede nell’Unione europea un apposito mandato, ai sensi dell’art. 1704 c.c., per la sottoscrizione delle clausole contrattuali tipo stabilite dalla Commissione; il Garante ha lasciato comunque facoltà ai titolari del trattamento, che non intendano avvalersi del mandato, di richiedere all’Autorità una specifica autorizzazione ai sensi dell’art. 44, comma 1 lett. a del D.lgs. 196/03.

Nella sua ultima relazione annuale il Garante per la protezione dei dati personali, ha dimostrato una particolare attenzione al tema del trasferimento dei dati verso paesi extra UE. L’Autorità ha evidenziato il grande incremento dell’ impiego di Binding Corporate Rules (di seguito BCR), le quali stanno rivelandosi il mezzo privilegiato per i trasferimenti di dati personali verso Paesi terzi attuati nell’ambito di gruppi di imprese.

Allo stesso modo, le BCR for Processors rappresentano una valida opzione in quanto permettono il trasferimento, sempre all’interno dello stesso gruppo societario, di dati personali sui quali si opera in qualità di responsabili del trattamento per conto di titolari stabiliti in un Paese comunitario. In questo modo, i titolari sono garantiti dalla presenza delle BCR for Processors, le quali provano la liceità dei trasferimenti effettuati dalla società responsabile in outsourcing. Per ulteriori approfondimenti sulle BCR potete visionare un nostro precedente articolo.

Proprio alla luce di tale cospicuo aumento dei trasferimenti di dati personali verso paesi terzi, l’autorità Garante ha concentrato le ispezioni presso soggetti che effettuano trasferimenti di dati all’estero, “al fine di verificare le tipologie di trattamento effettuate, le misure di sicurezza predisposte, nonché i presupposti giuridici, l’ambito e le modalità del trasferimento di dati personali in Paesi non appartenenti all’Unione europea”1.

Il nuovo Regolamento Europeo in materia di trasferimenti dati verso paesi extra UE ha previsto un generale divieto, salvo l’esistenza di una decisione di adeguatezza della Commissione2. E’ stato, inoltre, previsto un obbligo per la Commissione di effettuare una valutazione complessiva che consideri, più in generale, le norme del paese terzo in materia di tutela dei dati personali.

Nel caso in cui non vi sia una decisione di adeguatezza, il titolare del trattamento dovrà compensare la carenza con adeguate garanzie a tutela dell’interessato. Tali garanzie possono consistere nell’applicazione di BCR, di clausole standard adottate dalla Commissione, clausole tipo di protezione dei dati adottate da un’autorità di controllo o clausole contrattuali autorizzate da un’autorità di controllo.

Numerosi sono gli strumenti di tutela predisposti, sia dalla normativa nazionale e sia da quella comunitaria, a garanzia dei trasferimenti di dati verso paesi extra UE. È certo che un’adeguata conoscenza ed una puntuale applicazione di tali strumenti permetterà alle aziende di poter operare, esportando dati oltre i confini europei, senza troppi impedimenti e senza dover porre limiti alle proprie azioni.

2 Considerando 103 ed art. 45 Regolamento UE 679/2016

La trasferibilità dei dati personali all’estero.<BR>Il safe harbour ed il privacy shield

La trasferibilità dei dati personali all’estero.
Il safe harbour ed il privacy shield

L’esigenza delle aziende e di altri operatori economici di essere sempre più orientati allo sviluppo produttivo, e quindi competitivi sul mercato, passa inesorabilmente attraverso l’utilizzo di sistemi globali per la gestione dei dati, tramite l’implementazione di nuove tecnologie e di procedure standardizzate: è inevitabile che questi sviluppi conducano a un accrescimento della mobilità e accessibilità dei dati personali oltre i confini nazionali e, tra meno di due anni, oltre i confini europei.

Il trasferimento di dati personali all’estero è permesso qualora riguardi Stati appartenenti all’Unione Europea (UE) ed allo Spazio Economico Europeo (SEE1); è vietato, in linea di principio, qualora rivolto a Paesi terzi.

Ovviamente, al fine di non incorrere nella paralisi dello scambio di dati e del mercato internazionale, sono previsti specifici casi di deroga a tale divieto: il trasferimento di dati verso paesi extra UE è autorizzato qualora sussista una delle condizioni previste dalla legge, di seguito indicate, o vi sia un’autorizzazione da parte dell’Autorità Garante.

Più nello specifico, le circostanze in cui la norma consente il trasferimento dei summenzionati dati, sono rappresentate dai casi in cui:

  • l’interessato abbia manifestato il proprio consenso;

  • il trasferimento sia necessario per l’esecuzione di obblighi derivanti da contratto, per la salvaguardia dell’incolumità pubblica o di un terzo, per lo svolgimento di investigazioni difensive o comunque per far valere un proprio diritto in sede giudiziaria

  • la trasmigrazione sia effettuata in accoglimento di una richiesta di accesso a documenti amministrativi.

Ma cosa accade qualora lo Stato terzo, ove si intendono esportare i dati, non offra adeguate garanzie di tutela?

Per contravvenire a tale inconveniente è possibile stipulare contratti con clausole standard, approvati dalla Commissione Europea, tramite i quali il Paese esportatore di dati assicuri la presenza dello stesso livello di tutela specifica, richiesta dalla normativa europea, anche nello Stato in cui i dati sono diretti.

Inevitabilmente, il problema sollevato dalla questione del trasferimento dei dati personali verso Paesi extra UE\SEE ha grandi ripercussioni sulle dinamiche aziendali. Sovente accade che, all’interno di uno stesso gruppo societario, vi sia da una parte la necessità di trasferire verso Stati extra UE\SEE dati personali – inerenti a dipendenti, fornitori clienti e così via – nel modo più rapido ed efficace possibile, e dall’altra parte la necessità di garantire che tale trasferimento sia rispettoso della norma.

La risposta a tale esigenza delle aziende risiede nelle Binding Corporate Rules (di seguito BCR) : le aziende appartenenti ad un medesimo gruppo possono dotarsi di una policy contenente regole di condotta relative al trattamento dei dati personali all’interno dello stesso gruppo, le quali consentano di trasferire dati personali fra le società del gruppo residenti in diverse aree geografiche, nel rispetto delle garanzie fissate dalla normativa privacy.

L’iter per l’approvazione delle BCR prevede che l’autorizzazione sia rilasciata da tutte le Autorità competenti presenti nei singoli Stati da cui originano i trasferimenti di dati; pertanto è stata predisposta una “procedura di mutuo riconoscimento”, grazie alla quale una lead Autorithy, ovvero un’unica Autorità garante, può esaminare la richiesta e procedere all’approvazione. Ciò nonostante, le singole aziende facenti parte di un gruppo multinazionale e stabilite in Italia, dovranno comunque richiedere specifica autorizzazione al Garante Privacy italiano qualora intendano trasferire dati dall’Italia verso paesi extra UE.

Le clausole fissate nelle BCR rappresentano uno strumento attraverso il quale le aziende recepiscono regole e norme, rendendole vincolanti nei confronti di tutte le società facenti parte del medesimo gruppo. All’interno delle BCR è necessario individuare limiti geografici e oggettivi, ovvero i dati trattati, i soggetti coinvolti e le finalità perseguite, assumendo così le stesse BCR la veste di vere e proprie privacy policy societarie.

Dal 1 gennaio 2013, – a seguito dell’approvazione di una nuova procedura da parte dei Garanti per la privacy dei Paesi UE riuniti nel cd. Gruppo “Articolo 29” – possono fare ricorso alle BCR anche quei gruppi multinazionali che trattano i dati personali per conto dei propri clienti, in qualità di responsabili esterni del trattamento, come nel caso di fornitori di servizi di outsourcing o di cloud computing. Tali società possono far approvare le proprie “BCR for Processor”.

Quindi, qualora un’azienda con sede in Italia decida di far trattare dati personali in outsourcing da una multinazionale con sede fuori dallo spazio UE, potrà trovare garanzia nel fatto che la multinazionale abbia predisposto una “BCR ” approvato dall’UE e dai singoli Stati interessati, dimostrando il tal modo la conformità della propria privacy policy alla normativa.

Recentemente, la questione inerente la trasmigrazione dei dati ha superato la dimensione dei gruppi societari ed ha investito i rapporti tra Unione Europea e Stati Uniti d’America: dopo due anni di negoziazioni, il 2 febbraio 2016, la Commissione Europea ed il Dipartimento del Commercio americano hanno raggiunto un accordo in merito, sottoscrivendo il nuovo “Privacy Shield” -divenuto necessario dopo la dichiarazione di invalidità del vecchio accordo, il “Safe Harbour”, intervenuta con la decisione del 6 ottobre 2015 della Corte Europea di Giustizia-.

Quali sono le novità più rilevanti che segnano un passo in avanti nella tutela dei dati esportati negli USA? A presidio dell’effettività di questo nuovo accordo, vi è un vero e proprio “scudo” il quale prevede sanzioni, esclusioni in caso di inadempienza, il divieto di accesso ingiustificato e massificato ai dati, la possibilità di proporre un ricorso avverso i trattamenti ed infine un monitoraggio annuale sul funzionamento del Privacy Shield.

La sfida di questo nuovo accordo sta nel cercare di ristabilire la fiducia degli europei nel trasferimento dei propri dati oltreoceano, passando dalle autocertificazioni del Safe Harbour agli obblighi vincolanti previsti dal Safety Shield; di fatto, le autorità statunitensi, per la prima volta, hanno formalizzato il proprio impegno a far rispettare il nuovo accordo.

Ciò è ancora più evidente se si considera l’intervento del Garante Europeo per la privacy che, proprio qualche giorno fa, si è espresso sul testo dell’Accordo evidenziando la necessità di “miglioramenti significativi” nel prevedere una più definita protezione dei dati riferiti ai cittadini europei.

Non resta che attendere la decisione finale della Commissione che dovrà valutare l’impatto del Privacy Shield rispetto a quanto osservato dal Garante Europeo.

1 Gli Stati facenti parte dello SEE sono, oltre agli stati della EU, anche la Norvegia, l’Islanda e il Liechtenstein.