Blog : safe harbour

La privacy in azienda: trasferibilità all’estero di dati tramite incaricato in outsourcing residente in un paese Extra-UE

La privacy in azienda: trasferibilità all’estero di dati tramite incaricato in outsourcing residente in un paese Extra-UE

Poter trasferire dati personali in paesi extra UE è diventato di fondamentale importanza per le aziende, sull’onda di una internalizzazione che riguarda trasversalmente la quasi totalità delle società commerciali.

Se è vero che l’art. 43 del D.lgs. 196/03 ammette il trasferimento fuori del territorio dello Stato qualora l’interessato abbia manifestato il proprio consenso espresso, dall’altro canto, è difficilmente ipotizzabile che una multinazionale con migliaia di dipendenti riesca ad acquisire il consenso di tutti.

Di frequente, tra l’altro, i dati non sono trattati direttamente dalla società, ma tali attività, specialmente quelle riguardanti la gestione delle risorse umane avvengono in outsourcing. In tal caso, a quali ulteriori adempimenti deve far fronte il titolare, qualora incarichi un responsabile in outsourcing il quale a sua volta affidi il trattamento ad un incaricato con sede in un paese extra UE?

Le strade percorribili dalle aziende sono le seguenti:

  • Presenza di una decisione di adeguatezza della Commissione EU

  • Utilizzo di clausole contrattuali standard predisposte con decisione dalla Commissione Europea

  • Adozione di Binding Corporate Rules (BCR)

  • Adozione di Binding Corporate Rules for Processor

Le decisioni di adeguatezza della Commissione, ad oggi, riguardano solamente tredici stati, per i quali è stato stabilito che la tutela assicurata al trattamento dei dati in quei paesi è soddisfacente ed è, quindi, possibile trasferirvi dati. Si veda, da ultimo, la questione relativa al trasferimento dei dati negli Stati Uniti da poco conclusasi con l’adozione, il 12 luglio scorso, da parte della Commissione europea del cd. Privacy Shield e già trattata in un precedente articolo.

Le clausole contrattuali standard sono predisposte dalla Commissione Europea e, una volta incorporate nel testo di un contratto commerciale consentono di trasmettere dati in paesi terzi.Esse prevedono le misure tecniche e organizzative di sicurezza che l’incaricato del trattamento, stabilito in un paese terzo non garante di un livello di protezione adeguato, è tenuto ad applicare.

La Commissione ha predisposto le clausole standard, con decisione del 5 febbraio 2010, utilizzabili nel caso in cui il titolare, residente in Europa, incarichi al trattamento una società comunitaria che, a sua volta, dia il subappalto ad una società extra UE.

La decisione ha stabilito che per il responsabile del trattamento, stabilito nell’Unione europea, sarà sufficiente avvalersi delle clausole standard al fine di presentare garanzie sufficienti al trasferimento verso l’incaricato extra UE. Il contratto deve essere soggetto alla legge dello Stato membro in cui è stabilito il titolare, in modo da garantire eventuali azioni dell’interessato a tutela dei propri dati.

Ovviamente, le autorità di controllo degli Stati membri devono, in ogni caso, continuare a svolgere un ruolo di garanzia, vigilando affinché i dati personali siano adeguatamente garantiti in seguito al trasferimento.

Il Garante italiano ha recepito la decisione della Commissione (Gazzetta Ufficiale n.141 del 19 giugno 2010) e, successivamente, con provvedimento del 15 novembre 2012 ha fornito ulteriori chiarimenti in merito. In particolare, ha prescritto al titolare del trattamento di conferire al responsabile con sede nell’Unione europea un apposito mandato, ai sensi dell’art. 1704 c.c., per la sottoscrizione delle clausole contrattuali tipo stabilite dalla Commissione; il Garante ha lasciato comunque facoltà ai titolari del trattamento, che non intendano avvalersi del mandato, di richiedere all’Autorità una specifica autorizzazione ai sensi dell’art. 44, comma 1 lett. a del D.lgs. 196/03.

Nella sua ultima relazione annuale il Garante per la protezione dei dati personali, ha dimostrato una particolare attenzione al tema del trasferimento dei dati verso paesi extra UE. L’Autorità ha evidenziato il grande incremento dell’ impiego di Binding Corporate Rules (di seguito BCR), le quali stanno rivelandosi il mezzo privilegiato per i trasferimenti di dati personali verso Paesi terzi attuati nell’ambito di gruppi di imprese.

Allo stesso modo, le BCR for Processors rappresentano una valida opzione in quanto permettono il trasferimento, sempre all’interno dello stesso gruppo societario, di dati personali sui quali si opera in qualità di responsabili del trattamento per conto di titolari stabiliti in un Paese comunitario. In questo modo, i titolari sono garantiti dalla presenza delle BCR for Processors, le quali provano la liceità dei trasferimenti effettuati dalla società responsabile in outsourcing. Per ulteriori approfondimenti sulle BCR potete visionare un nostro precedente articolo.

Proprio alla luce di tale cospicuo aumento dei trasferimenti di dati personali verso paesi terzi, l’autorità Garante ha concentrato le ispezioni presso soggetti che effettuano trasferimenti di dati all’estero, “al fine di verificare le tipologie di trattamento effettuate, le misure di sicurezza predisposte, nonché i presupposti giuridici, l’ambito e le modalità del trasferimento di dati personali in Paesi non appartenenti all’Unione europea”1.

Il nuovo Regolamento Europeo in materia di trasferimenti dati verso paesi extra UE ha previsto un generale divieto, salvo l’esistenza di una decisione di adeguatezza della Commissione2. E’ stato, inoltre, previsto un obbligo per la Commissione di effettuare una valutazione complessiva che consideri, più in generale, le norme del paese terzo in materia di tutela dei dati personali.

Nel caso in cui non vi sia una decisione di adeguatezza, il titolare del trattamento dovrà compensare la carenza con adeguate garanzie a tutela dell’interessato. Tali garanzie possono consistere nell’applicazione di BCR, di clausole standard adottate dalla Commissione, clausole tipo di protezione dei dati adottate da un’autorità di controllo o clausole contrattuali autorizzate da un’autorità di controllo.

Numerosi sono gli strumenti di tutela predisposti, sia dalla normativa nazionale e sia da quella comunitaria, a garanzia dei trasferimenti di dati verso paesi extra UE. È certo che un’adeguata conoscenza ed una puntuale applicazione di tali strumenti permetterà alle aziende di poter operare, esportando dati oltre i confini europei, senza troppi impedimenti e senza dover porre limiti alle proprie azioni.

2 Considerando 103 ed art. 45 Regolamento UE 679/2016

La trasferibilità dei dati personali all’estero.<BR>Il safe harbour ed il privacy shield

La trasferibilità dei dati personali all’estero.
Il safe harbour ed il privacy shield

L’esigenza delle aziende e di altri operatori economici di essere sempre più orientati allo sviluppo produttivo, e quindi competitivi sul mercato, passa inesorabilmente attraverso l’utilizzo di sistemi globali per la gestione dei dati, tramite l’implementazione di nuove tecnologie e di procedure standardizzate: è inevitabile che questi sviluppi conducano a un accrescimento della mobilità e accessibilità dei dati personali oltre i confini nazionali e, tra meno di due anni, oltre i confini europei.

Il trasferimento di dati personali all’estero è permesso qualora riguardi Stati appartenenti all’Unione Europea (UE) ed allo Spazio Economico Europeo (SEE1); è vietato, in linea di principio, qualora rivolto a Paesi terzi.

Ovviamente, al fine di non incorrere nella paralisi dello scambio di dati e del mercato internazionale, sono previsti specifici casi di deroga a tale divieto: il trasferimento di dati verso paesi extra UE è autorizzato qualora sussista una delle condizioni previste dalla legge, di seguito indicate, o vi sia un’autorizzazione da parte dell’Autorità Garante.

Più nello specifico, le circostanze in cui la norma consente il trasferimento dei summenzionati dati, sono rappresentate dai casi in cui:

  • l’interessato abbia manifestato il proprio consenso;

  • il trasferimento sia necessario per l’esecuzione di obblighi derivanti da contratto, per la salvaguardia dell’incolumità pubblica o di un terzo, per lo svolgimento di investigazioni difensive o comunque per far valere un proprio diritto in sede giudiziaria

  • la trasmigrazione sia effettuata in accoglimento di una richiesta di accesso a documenti amministrativi.

Ma cosa accade qualora lo Stato terzo, ove si intendono esportare i dati, non offra adeguate garanzie di tutela?

Per contravvenire a tale inconveniente è possibile stipulare contratti con clausole standard, approvati dalla Commissione Europea, tramite i quali il Paese esportatore di dati assicuri la presenza dello stesso livello di tutela specifica, richiesta dalla normativa europea, anche nello Stato in cui i dati sono diretti.

Inevitabilmente, il problema sollevato dalla questione del trasferimento dei dati personali verso Paesi extra UE\SEE ha grandi ripercussioni sulle dinamiche aziendali. Sovente accade che, all’interno di uno stesso gruppo societario, vi sia da una parte la necessità di trasferire verso Stati extra UE\SEE dati personali – inerenti a dipendenti, fornitori clienti e così via – nel modo più rapido ed efficace possibile, e dall’altra parte la necessità di garantire che tale trasferimento sia rispettoso della norma.

La risposta a tale esigenza delle aziende risiede nelle Binding Corporate Rules (di seguito BCR) : le aziende appartenenti ad un medesimo gruppo possono dotarsi di una policy contenente regole di condotta relative al trattamento dei dati personali all’interno dello stesso gruppo, le quali consentano di trasferire dati personali fra le società del gruppo residenti in diverse aree geografiche, nel rispetto delle garanzie fissate dalla normativa privacy.

L’iter per l’approvazione delle BCR prevede che l’autorizzazione sia rilasciata da tutte le Autorità competenti presenti nei singoli Stati da cui originano i trasferimenti di dati; pertanto è stata predisposta una “procedura di mutuo riconoscimento”, grazie alla quale una lead Autorithy, ovvero un’unica Autorità garante, può esaminare la richiesta e procedere all’approvazione. Ciò nonostante, le singole aziende facenti parte di un gruppo multinazionale e stabilite in Italia, dovranno comunque richiedere specifica autorizzazione al Garante Privacy italiano qualora intendano trasferire dati dall’Italia verso paesi extra UE.

Le clausole fissate nelle BCR rappresentano uno strumento attraverso il quale le aziende recepiscono regole e norme, rendendole vincolanti nei confronti di tutte le società facenti parte del medesimo gruppo. All’interno delle BCR è necessario individuare limiti geografici e oggettivi, ovvero i dati trattati, i soggetti coinvolti e le finalità perseguite, assumendo così le stesse BCR la veste di vere e proprie privacy policy societarie.

Dal 1 gennaio 2013, – a seguito dell’approvazione di una nuova procedura da parte dei Garanti per la privacy dei Paesi UE riuniti nel cd. Gruppo “Articolo 29” – possono fare ricorso alle BCR anche quei gruppi multinazionali che trattano i dati personali per conto dei propri clienti, in qualità di responsabili esterni del trattamento, come nel caso di fornitori di servizi di outsourcing o di cloud computing. Tali società possono far approvare le proprie “BCR for Processor”.

Quindi, qualora un’azienda con sede in Italia decida di far trattare dati personali in outsourcing da una multinazionale con sede fuori dallo spazio UE, potrà trovare garanzia nel fatto che la multinazionale abbia predisposto una “BCR ” approvato dall’UE e dai singoli Stati interessati, dimostrando il tal modo la conformità della propria privacy policy alla normativa.

Recentemente, la questione inerente la trasmigrazione dei dati ha superato la dimensione dei gruppi societari ed ha investito i rapporti tra Unione Europea e Stati Uniti d’America: dopo due anni di negoziazioni, il 2 febbraio 2016, la Commissione Europea ed il Dipartimento del Commercio americano hanno raggiunto un accordo in merito, sottoscrivendo il nuovo “Privacy Shield” -divenuto necessario dopo la dichiarazione di invalidità del vecchio accordo, il “Safe Harbour”, intervenuta con la decisione del 6 ottobre 2015 della Corte Europea di Giustizia-.

Quali sono le novità più rilevanti che segnano un passo in avanti nella tutela dei dati esportati negli USA? A presidio dell’effettività di questo nuovo accordo, vi è un vero e proprio “scudo” il quale prevede sanzioni, esclusioni in caso di inadempienza, il divieto di accesso ingiustificato e massificato ai dati, la possibilità di proporre un ricorso avverso i trattamenti ed infine un monitoraggio annuale sul funzionamento del Privacy Shield.

La sfida di questo nuovo accordo sta nel cercare di ristabilire la fiducia degli europei nel trasferimento dei propri dati oltreoceano, passando dalle autocertificazioni del Safe Harbour agli obblighi vincolanti previsti dal Safety Shield; di fatto, le autorità statunitensi, per la prima volta, hanno formalizzato il proprio impegno a far rispettare il nuovo accordo.

Ciò è ancora più evidente se si considera l’intervento del Garante Europeo per la privacy che, proprio qualche giorno fa, si è espresso sul testo dell’Accordo evidenziando la necessità di “miglioramenti significativi” nel prevedere una più definita protezione dei dati riferiti ai cittadini europei.

Non resta che attendere la decisione finale della Commissione che dovrà valutare l’impatto del Privacy Shield rispetto a quanto osservato dal Garante Europeo.

1 Gli Stati facenti parte dello SEE sono, oltre agli stati della EU, anche la Norvegia, l’Islanda e il Liechtenstein.