Trasferimento internazionale dei dati personali: una panoramica delle normative e dei Paesi di rilievo

Abstract

Il costante incremento dei flussi di dati e la necessità di espandere il commercio internazionale e la cooperazione tra stati hanno contribuito all’aumento del fenomeno della condivisione e trasferimento delle informazioni in tutto il mondo.

Basti ricordare che anche il semplice accesso ad un sistema informatico da un paese al di fuori dello Spazio Economico Europeo (SEE) o l’archiviazione dei dati su una piattaforma cloud, costituiscono trasferimento dei dati (¹). Ad esempio, servizi come Microsoft Azure, server o cloud Google o Amazon AWS conservano i loro dati negli Stati Uniti.

Chiaramente la circolazione dei dati personali al di fuori dell’Unione Europea solleva una serie di nuove sfide e problemi riguardanti la protezione di tali dati; molti paesi al di fuori dell’UE potrebbero, infatti, non avere livelli adeguati di protezione e ciò potrebbe comportare un rischio di utilizzo improprio/abuso che devono essere evitati (²).

L’articolo propone quindi il panorama esistente nei Paesi di maggior rilievo (USA, Cina, India, Russia, Brasile, Svizzera, Ungheria) e le considerazioni espresse nella giurisprudenza comunitaria (c.f.r. ECJ – Sentenza Schrems I e II).

Cosa si intende con trasferimento dei dati personali?

Il Regolamento generale sulla protezione dei dati personali, Reg. UE n° 2016/679, è stato introdotto al fine di tutelare le persone fisiche con riguardo al trattamento dei dati personali (³). In particolare, si pone l’obiettivo di facilitare la libera circolazione dei dati personali all’interno dell’Unione europea, tutelando al contempo il loro diritto alla protezione dei dati personali (cfr. GDPR sub artt. 44 – 50).

In particolare, l’art. 44 GDPR afferma il cd. principio generale per il trasferimento, che afferma che: “qualunque trasferimento di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento verso un paese terzo o un’organizzazione internazionale, ha luogo soltanto se il titolare del trattamento e il responsabile del trattamento rispettano le condizioni di cui al presente capo, fatte salve le altre disposizioni del presente regolamento. Tutte le disposizioni del presente capo sono applicate al fine di assicurare che il livello di protezione delle persone fisiche garantito dal presente regolamento non sia pregiudicato.”

Mancando una definizione precisa di trasferimento di dati all’interno del GDPR, l’European Data Protection Board divulga le linee guida relative ai trasferimenti internazionali (ultimo aggiornamento aprile 2023 al link: https://edpb.europa.eu/system/files/2023-02/edpb_guidelines_05-2021_interplay_between_the_application_of_art3-chapter_v_of_the_gdpr_v2_en_0.pdf)

Come avviene il trasferimento dei dati personali?

Il titolare può trasferire i dati personali se e solo se il paese terzo concede le garanzie richieste dal GDPR. 

Nella pratica, pertanto, il titolare dovrà attenersi:

1. alla decisione di adeguatezza già emanata dalla Commissione UE;
2. clausole contrattuali (il GDPR ha stilato elenco delle garanzie minime da contrattualizzare); 

Vediamone in dettaglio le caratteristiche: 

1.Decisione di adeguatezza

Tipicamente, il trasferimento di dati personali al di fuori dello Spazio economico europeo è possibile se il destinatario offre un livello di protezione dei dati adeguato a quello offerto dall’Unione europea ex art. 45 GDPR. (⁴)

L’analisi, quindi, parte dalla valutazione dell’adeguatezza, che la Commissione UE compie ex ante verificando la sussistenza di una serie di requisiti: le norme in materia di protezione dei dati, le misure di sicurezza, l’effettivo funzionamento di una o più autorità di controllo indipendenti, etc. (⁵)

La ECJ, nella recente sentenza Schrems II, definisce il concetto di “adeguatezza”, affermando che con “livello di protezione adeguato” si intende “un livello di protezione delle libertà e dei diritti fondamentali sostanzialmente equivalente a quello garantito all’interno dell’Unione in forza del Regolamento” (⁶). 

Ad oggi, abbiamo decisioni di adeguatezza per molti Paesi, tra i quali ad esempio Svizzera, Ungheria, Andorra, Argentina, Australia, Canada, Fær Øer, Giappone, Guernsey, Isola di Man, Israele, Jersey, Nuova Zelanda, Svizzera, Uruguay, USA, che sono stati riconosciuti dal Garante come idonei a garantire un adeguato livello di protezione dei dati e nei confronti dei quali è quindi libero il trasferimento.

Vero è però che per il principio di effettività, il Garante si riserva in ogni caso il diritto di svolgere i necessari controlli sui trasferimenti di dati e sulle connesse operazioni di trattamento effettuati in epoca antecedente all’autorizzazione, nonché di adottare eventuali provvedimenti di blocco o di divieto di trasferimento.

2.Garanzie adeguate

Nel caso in cui la Commissione UE non abbia già espresso una propria decisione circa l’adeguatezza del paese terzo, il titolare o il responsabile del trattamento possono adottare delle garanzie adeguate che tutelano il trasferimento.

In dettaglio, costituiscono garanzie adeguate ex art. 46 GDPR:

• senza autorizzazione da parte del Garante:

• uno strumento giuridicamente vincolante ed esecutivo tra soggetti pubblici;
• le norme vincolanti d’impresa;
• le clausole tipo;
• i codici di condotta;
• un meccanismo di certificazione.
• previa autorizzazione del Garante:

• le clausole contrattuali tra il titolare / il responsabile del trattamento e il titolare / responsabile del trattamento / il destinatario dei dati personali nel paese terzo o nell’organizzazione internazionale;
• le disposizioni da inserire in accordi amministrativi tra autorità pubbliche o organismi pubblici che comprendono diritti effettivi e azionabili per gli interessati pubblici.

Relativamente alle clausole tipo (clausole contrattuali standard o SCCs) (⁷), esse consistono in modelli contrattuali standardizzati e pre-approvati in ordine alla protezione dei dati.

In dettaglio, dette clausole, ove approvate dalle Parti, consentono ai titolari e ai responsabili del trattamento di garantire adeguate misure di protezione ai dati raccolti e trasferiti, che si possono definire analoghe – in termini di sicurezza – a quelle presenti all’interno dello Spazio Economico Europeo.

Deroghe

Oltre a quanto sopra in ordine alle decisioni di adeguatezza e clausole standard, è necessario segnalare come ai sensi dell’art. 49 GDPR siano previste una serie di deroghe (al principio generale ex art. 44 GDPR) che prevedono come sia possibile – in mancanza di una decisione di adeguatezza da parte della Commissione UE o garanzie adeguate – trasferire i dati personali verso un paese terzo o un’organizzazione internazionale, al verificarsi di una serie di condizioni alternative:

1. “l’interessato acconsente al trasferimento proposto, dopo essere stato informato dei possibili rischi, dovuti alla mancanza di una decisione di adeguatezza e di garanzie adeguate;
2. il trasferimento è necessario all’esecuzione di un contratto concluso tra l’interessato e il titolare del trattamento;
3. il trasferimento è necessario per la conclusione o l’esecuzione di un contratto stipulato tra il titolare del trattamento e un’altra persona fisica o giuridica a favore dell’interessato;
4. il trasferimento è necessario per importanti motivi di interesse pubblico;
5. il trasferimento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria;
6. il trasferimento è necessario per tutelare gli interessi vitali dell’interessato o di altre persone, qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
7. il trasferimento è effettuato a partire da un registro che mira a fornire informazioni al pubblico e può esser consultato tanto dal pubblico in generale quanto da chiunque sia in grado di dimostrare un legittimo interesse, solo a condizione che sussistano i requisiti per la consultazione previsti dal diritto dell’Unione o degli Stati membri.” (⁸)

Sarà ora interessante analizzare in dettaglio come funzioni il trasferimento dei dati nei singoli Paesi.

FOCUS 

 U.S.A.

Recentemente la Commissione Europea ha riconosciuto gli Stati Uniti come un paese in grado di offrire un livello di protezione dei dati personali adeguato, approvando quindi una nuova decisione di adeguatezza; di conseguenza gli USA possono nuovamente trasferire i dati in assenza di autorizzazioni da parte dell’Unione Europea grazie al nuovo “Data protection framework” che consente a tutte le società statunitensi di poter sottoscrivere un accordo che consenta la libera circolazione dei dati personali raccolti dalle società europee, senza dover fornire ulteriori garanzie sul successivo trattamento, sotto la supervisione della Data Protection Review Court.

In passato e più precisamente dal 2000, il trasferimento dei dati tra Unione Europea e Stati Uniti avveniva sulla base dell’accordo “Safe Harbor”, che consentiva la circolazione dei dati tra questi paesi, mantenendone l’integrità e la riservatezza. E ciò, fino al 2015 quando l’attivista austriaco Max Schrems (di cui ricordiamo le rivelazioni per spionaggio e attività invasive di intelligence effettuate dalle Agenzie statunitensi) ottenne dalla Corte di Giustizia della Comunità Europea l’annullamento di tale accordo; famosa al riguardo è infatti la sentenza Schrems I (⁹).

Di tutta risposta, nel 2016, Commissione europea e Stati Uniti istituivano un nuovo quadro per i flussi di dati transatlantici, noto come “Privacy Shield UE-USA”, nuovamente bloccato nel 2020 dalla Corte di giustizia dell’Unione Europea, per gli eccessivi poteri riservati sempre alle agenzie di intelligence americane rispetto ai dati personali dei cittadini europei; famosa al riguardo è infatti la sentenze Schrems II (cfr nt. ⁹ e¹⁰ )

Nella stessa sentenza, la ECJ dell’Unione Europea aveva affermato che, fino a quando non sarebbero state introdotte nuove linee guida, il meccanismo più adatto a consentire tali trasferimenti sarebbe stato quello delle clausole contrattuali standard.

Ad oggi, nonostante gli USA non abbiamo mai modificato il Foreign intelligence surveillance act (Fisa 702), il cardine del nuovo accordo Data protection framework è il rispetto del principio di proporzionalità che deve orientare sia il trasferimento di dati dall’Europa agli USA, sia, viceversa, il trasferimento dei datti dagli USA all’Europa.

 

BRICS (Brasile, Russia, India, Cina, Sudafrica)

Cina

A causa del contesto soci- politico di riferimento e della limitazione delle libertà personali dei cittadini, l’Europa non ha mai adottato una decisione di adeguatezza che consenta e regoli il trasferimento generalizzato dei dati all’interno della Repubblica Popolare Cinese. Ancor oggi, è quindi necessario ricorrere alle clausole contrattuali standard.

Viceversa, a partire dal 2021, la Cina ha adottato una propria legge di riferimento per il trattamento dei dati personali: “Personal Information Protection Law” (“PIPL”) che consente di esportare i dati all’interno della Comunità Europea, per esigenze commerciali o altri motivi, al soddisfacimento di almeno una delle seguenti condizioni:

• “superamento della valutazione di sicurezza organizzata dall’amministrazione statale cinese per il cyberspazio
• certificazione di un ente terzo della conformità con le disposizioni dell’amministrazione statale cinese del cyberspazio in materia di protezione dei dati personali
• conclusione di un contratto con un destinatario estero che specifichi i diritti e gli obblighi di entrambe le parti e abbia supervisionato il trattamento dei dati personali del destinatario per garantire che i trattamenti da parte dello stesso soddisfino gli standard della normativa vigente
• soddisfacimento delle altre condizioni previste dalle leggi, dai Regolamenti amministrativi o dall’amministrazione statale cinese per il cyberspazio.” (¹¹)

Inoltre, il responsabile del trattamento deve informare l’interessato relativamente a: “il nome del destinatario all’estero, le informazioni di contatto, lo scopo e il metodo di elaborazione, tipo di informazioni personali e il modo e la procedura per l’interessato di esercitare i diritti previsti dal presente documento nei confronti del destinatario all’estero, e deve ottenere il consenso separato dell’interessato.” (¹²)

India

Come per la Cina, manca ad oggi una decisione di adeguatezza che consenta e regoli il trasferimento generalizzato dei dati in India e di conseguenza, non si può che rimandare all’utilizzo delle apposite clausole contrattuali standard.

Vero è però che già nel novembre 2022 è in corso di approvazione il nuovo “Digital Personal Data Protection Bill 2022” al fine di riconoscere e valorizzare il diritto delle persone alla protezione dei propri dati personali e la necessità al trattamento dei dati personali per scopi leciti e per questioni ad essi connesse.

Si attende di conoscere se la legislazione indiana (c.f.r. ex plurimis: cap. 4, par. 17 che “Il Governo centrale può, dopo aver valutato i fattori che ritiene necessari, notificare i Paesi o i territori al di fuori dell’India verso i quali un fiduciario dei dati può trasferire i dati personali, in conformità con i termini e le condizioni che possono essere specificati” ¹³) sia ritenuta idonea per la reciprocità.

Brasile

Peculiare è il caso del Brasile, ove già nel 2018 è stata adottata la “Lei General da Proteção de Dados” (LGPD), che, seppur ispirata al modello europeo e in alcuni tratti sostanzialmente sovrapponibile, non ha ancora ottenuto il benestare dal GDPR, mancando allo stato una decisione di adeguatezza. 

A sol titolo di esempio, si veda come l’art. 33 LGPD che regola il trasferimento dei dati Brasiliani in Paesi Terzi, richieda : “Il trasferimento internazionale di dati personali è consentito solo nei seguenti casi:

1. per Paesi o organizzazioni internazionali che assicurano un grado di protezione dei dati personali adeguato a quello previsto dalla presente Legge;
2. quando il titolare offre e dimostra garanzie di rispetto dei principi, dei diritti del titolare e del regime di protezione dei dati previsti dalla presente legge, sotto forma di:
   1. clausole contrattuali specifiche per un determinato trasferimento;
   2. clausole contrattuali standard;
   3. standard aziendali globali;
   4. sigilli, certificati e codici di comportamento regolarmente rilasciati;

Si attende pertanto, e con logica previsione, una futura apertura delle maglie del trasferimento da e verso tale Paese.

RUSSIA

Come per la Cina, anche la situazione socio-politica Russa non aiuta all’adozione di accordi di bilateralità tra Paesi ed è necessario ponderare con attenzione l’adozione di singole clausole contrattuali che non siano superate da leggi impositive interne a tutela dell’intelligence governativa.

Viceversa, ossia per il trasferimento dei dati dalla Russia all’Europa, opera la “Federal law n. 152FZ of July 27, 2006 on personal data”.

Nonostante la legislazione nazionale imponga rigide restrizioni al trasferimento di dati personali verso paesi terzi, ci sono comunque una serie di eccezioni applicabili e così, i Paesi che garantiscono un’adeguata protezione dei diritti degli interessati personali sono: 

• parti della Convenzione del Consiglio d’Europa per la protezione delle persone rispetto al trattamento automatizzato dei dati personali;
• paesi che si trovano in un elenco speciale approvato di volta in volta da Roskomnadzor ().

Al contrario, i trasferimenti verso paesi che non si ritiene garantiscano un’adeguata protezione sono consentiti se e solo se:

• è stato ottenuto il consenso dell’interessato
• il trasferimento è necessario per eseguire i trattati internazionali della Federazione Russa
• il trasferimento è prescritto dalla legislazione federale
• il trattamento è necessario per l’esecuzione di un contratto di cui l’interessato è parte, e
• il trattamento è necessario per tutelare interessi vitali dell’interessato o di un’altra persona fisica, qualora sia impossibile ottenere il consenso dell’interessato.

In conclusione, si può ribadire che il nuovo regolamento GDPR consenta in generale il trasferimento dei dati personali all’estero, cercando di contemperare la fruizione e circolazione con l’esigenza di tutela.

Come sopra osservato, infatti, il trasferimento dei dati personali al di fuori dell’Unione Europea, è lecito: 

1. in presenza di una decisione di adeguatezza da parte della Commissione UE, e in tal caso non è necessaria alcuna autorizzazione dell’interessato in quanto il suo livello di protezione è analogo a quello che otterrebbe nel Paese d’origine; 
2. di garanzie adeguate contenute in accordi contrattuali (per i quali sono diramate modelli standard).

Viceversa, anche i singoli Paesi analizzati hanno adottato proprie leggi nazionali, ma alla luce delle criticità sollevate non possiamo dire che esse garantiscano sempre in maniera analoga la protezione dei dati dei singoli rispetto a intromissioni pubblico governative di controllo.

In tali Stati, è quindi sempre necessario verificare e adottare, con clausole contrattuali, migliori livelli di tutela.

Anna Crosta

Note:

 ¹https://edpb.europa.eu/system/files/2022-04/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_it_0.pdf par. 2.1 n. 13

²Considerando 101 Regolamento (UE) 2016/679

 ³Art. 1 GDPR

 ⁴Art. 45 GDPR, comma 1: “Il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale è ammesso se la Commissione ha deciso che il paese terzo, un territorio o uno o più settori specifici all’interno del paese terzo, o l’organizzazione internazionale in questione garantiscono un livello di protezione adeguato. In tal caso il trasferimento non necessita di autorizzazioni specifiche”

 ⁵Art. 45 GDPR, comma 2: “Nel valutare l’adeguatezza del livello di protezione, la Commissione prende in considerazione in particolare i seguenti elementi: 

a) lo stato di diritto, il rispetto dei diritti umani e delle libertà fondamentali, la pertinente legislazione generale e settoriale, così come l’attuazione di tale legislazione, le norme in materia di protezione dei dati, le norme professionali e le misure di sicurezza, comprese le norme per il trasferimento successivo dei dati personali verso un altro paese terzo o un’altra organizzazione internazionale osservate nel paese o dall’organizzazione internazionale in questione, la giurisprudenza nonché i diritti effettivi e azionabili degli interessati e un ricorso effettivo in sede amministrativa e giudiziaria per gli interessati i cui dati personali sono oggetto di trasferimento; 

b) l’esistenza e l’effettivo funzionamento di una o più autorità di controllo indipendenti nel paese terzo o cui è soggetta un’organizzazione internazionale, con competenza per garantire e controllare il rispetto delle norme in materia di protezione dei dati, comprensiva di adeguati poteri di esecuzione, per assistere e fornire consulenza agli interessati in merito all’esercizio dei loro diritti e cooperare con le autorità di controllo degli Stati membri; e 

c) gli impegni internazionali assunti dal paese terzo o dall’organizzazione internazionale in questione o altri obblighi derivanti da convenzioni o strumenti giuridicamente vincolanti come pure dalla loro partecipazione a sistemi multilaterali o regionali, in particolare in relazione alla protezione dei dati personali.”

 ⁶SENTENZA DEL 6. 10. 2015 – CAUSA C-362/14 SCHREMS: “il termine «adeguato» figurante all’articolo 25, paragrafo 6, della direttiva 95/46 implica che non possa esigersi che un paese terzo assicuri un livello di protezione identico a quello garantito nell’ordinamento giuridico dell’Unione. Tuttavia, come rilevato dall’avvocato generale al paragrafo 141 delle sue conclusioni, l’espressione «livello di protezione adeguato» deve essere intesa nel senso che esige che tale paese assicuri effettivamente, in considerazione della sua legislazione nazionale o dei suoi impegni internazionali, un livello di protezione delle libertà e dei diritti fondamentali sostanzialmente equivalente a quello garantito all’interno dell’Unione in forza della direttiva 95/46, letta alla luce della Carta.”

⁷https://commission.europa.eu/system/files/2022-05/questions_answers_on_sccs_en.pdf

 ⁸Art. 49 GDPR testualmente recita: “In mancanza di una decisione di adeguatezza ai sensi dell’articolo 45, paragrafo 3, o di garanzie adeguate ai sensi dell’articolo 46, comprese le norme vincolanti d’impresa, è ammesso il trasferimento o un complesso di trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale soltanto se si verifica una delle seguenti condizioni: a) … – g) … [COME SOPRA NEL TESTO n.d.r.].”

 ⁹Sentenza Del 6. 10. 2015 – Causa C-362/14 Schrems

¹⁰Sentenza Del 16. 7. 2020 – Causa C-311/18 Facebook Ireland E Schrems

 ¹¹Art. 38 PIPL

 ¹²Art. 39 PIPL

¹³https://www.meity.gov.in/writereaddata/files/The%20Digital%20Personal%20Data%20Protection%20Bill%2C%202022.pdf

¹⁴agenzia esecutiva federale russa responsabile del monitoraggio, del controllo e della censura dei mass media russi

Bibliografia

• Regolamento Generale Sulla Protezione Dei Dati Regolamento (Ue) 2016/679; 
• The Digital Personal Data Protection Bill, 2022, Ministry of Electronics and Information Technology, Government of India.
• PIPL, Legge sulla protezione dei dati personali della Repubblica popolare cinese; 2021;
• Lei General da Proteção De Dados, Legge N. 13.709 Del 14 Agosto 2018;
• Legge Federale N. 152fz Del 27 Luglio 2006 Sui Dati Personali; approvato dalla Duma di Stato l’8 luglio 2006 e dal Consiglio della Federazione il 14 luglio 2006 
• Raccomandazioni 01/2020 Relative Alle Misure Che Integrano Gli Strumenti Di Trasferimento Al Fine Di Garantire Il Rispetto Del Livello Di Protezione Dei Dati Personali Dell’ue Versione 2.0 Adottate Il 18 Giugno 2021, In: Https://Edpb.Europa.Eu/System/Files/2022-04/Edpb_Recommendations_202001vo.2.0_Supplementarymeasurestransferstools_It_0.Pdf; 
• Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR Version 2.0 Adopted on 14 February 2023, in: https://edpb.europa.eu/system/files/2023-02/edpb_guidelines_05-2021_interplay_between_the_application_of_art3-chapter_v_of_the_gdpr_v2_en_0.pdf
• “Flussi Di Dati Fuori Dell’unione Europea. Il Garante Fissa Le Tutele Per I Cittadini E Semplifica L’attività Delle Imprese – 12 Ottobre 2001”, Garante Per La Protezione Dei Dati Personali; link https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/46184
• The New Standard Contractual Clauses – Questions And Answers, in: https://commission.europa.eu/system/files/2022-05/questions_answers_on_sccs_en.pdf