Il Garante Privacy ha di recente pubblicato l’ultima edizione della “Guida all’applicazione del Regolamento UE 679/2016” dal quale abbiamo estrapolato i seguenti punti.
Il regolamento Ue 679/2016 (GDPR - Capo V) vieta il trasferimento di dati personali al di fuori della UE e dello Spazio economico europeo, in linea di principio, a meno che intervengano specifiche garanzie, elencate in ordine gerarchico:
- adeguatezza del Paese terzo, riconosciuta tramite decisione della Commissione europea (art. 45);
- in assenza di decisioni di adeguatezza della Commissione, garanzie adeguate di natura contrattuale o pattizia che devono essere fornite dai titolari o dai responsabili coinvolti, fra cui le norme vincolanti d’impresa (art. 47) e clausole contrattuali standard (art. 46, par. 2 lett. c, e lett. d);
- in assenza di decisioni di adeguatezza applicabili al trasferimento, o di altre garanzie adeguate, utilizzo di deroghe al divieto di trasferimento applicabili in specifiche situazioni (art. 49).
Il trasferimento di dati verso un Paese terzo “adeguato”, ai sensi della decisione dalla Commissione europea, o sulla base di clausole contrattuali modello, adottate sempre dalla Commissione, o di norme vincolanti d’impresa, non richiede alcuna autorizzazione preventiva da parte del Garante.
La Commissione europea ha adottato un set di clausole contrattuali standard per i trasferimenti di dati. Tuttavia, l’autorizzazione del Garante sarà ancora necessaria se un titolare desidera utilizzare clausole contrattuali ad-hoc (cioè non riconosciute come adeguate tramite decisione della Commissione europea) oppure accordi amministrativi stipulati tra autorità pubbliche (una delle novità introdotte dal Regolamento). Rispetto a questi specifici accordi amministrativi fra soggetti pubblici, l’EDPB ha adottato Linee guida che ne delimitano i contenuti essenziali.
Il Regolamento consente di ricorrere anche a codici di condotta o a schemi di certificazione per dimostrare le “garanzie adeguate” previste dall’art. 46; ciò significa che i titolari o i responsabili del trattamento, stabiliti in un Paese terzo, potranno far valere gli impegni sottoscritti attraverso l’adesione al codice di condotta o allo schema di certificazione, nel caso questi disciplinino i trasferimenti di dati verso Paesi terzi, al fine di legittimare tali trasferimenti. Tuttavia, tali titolari dovranno, inoltre, assumere un impegno vincolante mediante uno specifico strumento contrattuale o un altro strumento che sia giuridicamente vincolante e azionabile dagli interessati (art. 40, par. 3, e art. 42, par. 2). Su come configurare un codice di condotta per fornire le garanzie adeguate, ai fini dei trasferimenti di dati, si leggano le Linee guida dell’EDPB (Linee guida 4/2021 sui codici di condotta come strumento per i trasferimenti - Adottate e il 22 febbraio 2022). Sono contenute indicazioni utili, anche sull’utilizzo della certificazione ai fini dei trasferimenti di dati, all’interno delle specifiche Linee guida (Guidelines 07/2022 on certification as a tool for transfers" - Adottate il 14 febbraio 2023).
Il Regolamento fissa i requisiti per l’approvazione delle norme vincolanti d’impresa e i contenuti obbligatori di tali norme. L’elenco (art. 47, par. 2) non è esaustivo e, pertanto, ogni Autorità potrà prevedere requisiti ulteriori a seconda dei casi. Ad ogni modo, l’approvazione delle norme vincolanti d’impresa avviene esclusivamente attraverso il meccanismo di coerenza (artt. 63-65) con l’intervento dell'EDPB (art. 64, par. 1, lett. d).
Sono vietati trasferimenti di dati verso titolari o responsabili in un Paese terzo, sulla base di decisioni giudiziarie o ordinanze amministrative emesse da Autorità del Paese terzo, a meno dell’esistenza di accordi internazionali, in particolare di mutua assistenza giudiziaria o analoghi accordi fra gli Stati (art. 48). Si potranno utilizzare, tuttavia, gli altri presupposti e in particolare le deroghe previste per situazioni specifiche previste all’art. 49. A tale riguardo, si deve ricordare che il Regolamento chiarisce come sia lecito trasferire dati personali verso un Paese terzo non adeguato “per importanti motivi di interesse pubblico”, in deroga al divieto generale, ma deve trattarsi di un interesse pubblico riconosciuto dal diritto dello Stato membro del titolare o dal diritto dell’Ue (art. 49, par. 4) e dunque non può essere fatto valere l’interesse pubblico dello Stato terzo ricevente. Si leggano, a tal proposito, le Linee guida EDPB sull’interpretazione delle deroghe ex art. 49 [9], che forniscono criteri ai fini della corretta applicazione di questa disposizione.
§
Lo Staff IusPrivacy è a disposizione per rispondere a tutte le richieste di informazioni inerenti al tema in oggetto.
Articolo redatto in collaborazione con Dott. Roberto Pagano (link a https://it.linkedin.com/in/robertopaganowrp)
Contatti <https://www.iusprivacy.eu/contatti.jsp>
