LOADING

Type to search

Hi-tech News pro Tecnologia

Trasferimento dei dati all’estero: ecco le regole previste dal GDPR

Share

Il 25 marzo Joe Biden, il Presidente degli Stati Uniti, e Ursula Von Der Leyen, Presidente della Commissione Europea, hanno siglato il “Trans-Atlantic Data Privacy Framework”, un accordo preliminare tra USA e Unione Europea in materia di trasferimento e trattamento dei dati personali.

L’European Data Protection Board (EDPB), ovvero il Comitato europeo per la protezione dei dati, ha accolto con favore l’annuncio di questo nuovo accordo e si impegnerà a valutare attentamente i miglioramenti che questo potrà apportare nella suddetta materia.

Attualmente gli Usa non rientrano tra i Paesi a cui la Commissione Europea ha riconosciuto un livello adeguato di protezione dei dati personali in caso di trasferimento di questi ultimi, a eccezione del Passenger Name Record,  l’accordo che disciplina il trasferimento dei dati dei passeggeri, che vengono raccolti e conservati dai vettori aerei.

Il Caso Schrems

Per comprendere il motivo per cui gli Stati Uniti non sono riconosciuti dalla Commissione Europea come un paese adeguato in tema di trasferimento dei dati, è necessario fare un salto nel passato per ricostruire la vicenda.

Trasferimento dei dati all’estero: ecco le regole previste dal GDPR

Nel 2013 un attivista austriaco, Maximilian Schrems (noto anche come Max Schrems), ha presentato una denuncia nei confronti di Facebook Ireland Limited, la sede europea di questo social network è in Irlanda.

Con questa denuncia, l’attivista intendeva vietare a Facebook di trasferire i dati dall’Irlanda agli Stati Uniti. Inoltre, sempre secondo Schrems, Facebook non avrebbe rispettato i suoi diritti alla riservatezza e alla protezione dei dati personali garantiti dal diritto europeo in caso di trasferimento di dati verso Paesi extra-UE.

Ha dichiarato anche invalido il “Safe Harbor”, accordo che nel 2000 venne introdotto dalla Commissione europea per trasferire i dati personali dall’ UE agli Usa.

Quest’ultima accusa è stata supportata anche da Edward Snowden, il quale denunciò una serie di programmi di sorveglianza di massa delle comunicazioni (che avevano come obiettivo i dati degli utenti di aziende come Facebook, Google ecc.), condotti dall’Agenzia di sicurezza nazionale americana (NSA).

Il 6 ottobre 2015, la Corte di Giustizia Europea, con la sentenza detta Schrems I, ha affermato che la Commissione europea con il Safe Harbor non è stata in grado di garantire appieno le adeguate garanzie per la protezione dei dati in materia di trasferimento degli stessi.

La Corte ha, inoltre, ribadito che l’accordo non è valido per alcuni motivi, tra cui il fatto che il trattato interferisce nelle protezioni governative, non fornisce rimedi legali per le persone che cercano di accedere ai dati riguardanti loro stessi, che hanno cancellato o emendato.

Trasferimento dei dati all’estero: ecco le regole previste dal GDPR

Successivamente, la Commissione europea ha adottato il 12 luglio 2016 una decisione di adeguatezza in merito al cosiddetto Privacy Shield”, l’accordo che regolamentava il trasferimento di dati tra Unione europea e USA.

La Corte di Giustizia Europea, il 16 luglio 2020, ha invalidato con una sentenza (la cosiddetta Schrems II) questa decisione di adeguatezza della Commissione, in quanto i requisiti del diritto interno degli Stati Uniti e in particolare determinati programmi, che consentivano alle autorità pubbliche degli Stati Uniti di accedere ai dati personali trasferiti dall’UE agli Stati Uniti ai fini della sicurezza nazionale, comportavano limitazioni alla protezione dei dati personali che non soddisfacevano quei requisiti sostanzialmente equivalenti a quelli previsti dal Diritto europeo.

Inoltre, il Privacy Shield non accordava ai soggetti interessati diritti azionabili in sede giudiziaria nei confronti delle Autorità statunitensi. Nella stessa sentenza, la Corte di Giustizia Europea ha confermato la piena ed efficace validità delle clausole contrattuali standard, approvate dalla Commissione Europea (Standard Contractual Clauses – SCCs), per il trasferimento di dati personali a soggetti stabiliti in paesi terzi. Questa soluzione è stata adottata, per fare un esempio, da Facebook sin dall’abolizione del Safe Harbor, accordo UE-USA precedente al Privacy Shield.

Il trasferimento dei dati all’estero

L’art. 44 del GDPR (General Data Protection Regulation), ossia il Regolamento generale sulla protezione dei dati) afferma che qualunque trasferimento di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento verso un paese terzo o un’organizzazione internazionale, compresi trasferimenti successivi di dati personali da un paese terzo o un’organizzazione internazionale verso un altro paese terzo o un’altra organizzazione internazionale, ha luogo soltanto se il titolare del trattamento e il responsabile del trattamento rispettano le condizioni previste dallo stesso GDPR.

Il trattamento dei dati all’estero è lecito quando:

  • siano garantite le condizioni di adeguatezza;
  • in assenza di condizioni di adeguatezza, vengano fornite idonee garanzie;
  • siano previste delle norme vincolanti di impresa;
  • anche in deroga alle precedenti condizioni, ma esclusivamente in specifici casi.

Le condizioni che possono essere applicate alternativamente sono:

  • decisione della Commissione Europea sull’adeguatezza del livello di protezione garantito dal Paese terzo (art.45 GDPR);
  • applicazione di adeguate misure di protezione dei dati da parte del titolare del trattamento o del responsabile del trattamento (art. 46 GDPR);
  • deroghe in specifiche situazioni (art. 49 GDPR).

Di conseguenza, il trasferimento di dati personali verso Paesi extra-UE o organizzazioni internazionali, privi degli standard di adeguatezza in materia di tutela dei dati, è vietato.

I “paesi adeguati”

I trasferimenti di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo (SEE, ossia UE + Norvegia, Liechtenstein, Islanda) o verso un’organizzazione internazionale sono consentiti a condizione che l’adeguatezza del paese terzo o dell’organizzazione sia riconosciuta tramite decisione della Commissione europea (art. 45 del Regolamento UE 2016/679).

Il GDPR prevede un’attività di monitoraggio da parte della Commissione Europea mediante riesame delle decisioni a cadenza periodica, almeno ogni quattro anni.

Tale attività può concludersi con una modifica della decisione o in altre circostanze con la sospensione o persino con la revoca della stessa, (art. 45, paragrafi 3-5 del Regolamento UE 2016/679). Attualmente, i Paesi riconosciuti come adeguati dalla Commissione Europea sono:

  • Andorra;
  • Argentina;
  • Australia (PASSENGER NAME RECORD);
  • Canada;
  • Faer Oer;
  • Giappone;
  • Guernsey;
  • Inghilterra;
  • Isola di Man;
  • Israele;
  • Jersey;
  • Nuova Zelanda;
  • Svizzera;
  • Uruguay;
  • Usa (PASSENGER NAME RECORD).

Conclusioni

Viviamo in un mondo sempre più interconnesso e ciò comporta che ci sia una copiosa circolazione di dati al di fuori dell’Italia e dell’Europa.

I titolari del trattamento dei dati personali, come per esempio le aziende, che per motivi commerciali concludono contratti e accordi con società extraeuropee, per trasferire i dati personali devono seguire quanto previsto dal GDPR al fine di garantire la massima protezione degli stessi.

Inoltre, è sempre più necessario che le aziende investano in corsi di formazione in materia privacy per i propri dipendenti, al fine di evitare di incorrere in sanzioni da parte del Garante per la protezione dei dati personali e per sconfiggere l’analfabetismo digitale.

Tags:

You Might also Like

[class^="wpforms-"]
[class^="wpforms-"]