Vedi PDF

Il mese di novembre è stato accompagnato da un’interessante novità nel campo della protezione dei dati, in relazione ai trasferimenti internazionali di dati personali. La presente circolare informativa ha lo scopo di esporre i requisiti per effettuare questo tipo di trasferimenti e di analizzare le novità introdotte dalla Commissione Europea in questo settore.

Per “trasferimento internazionale di dati personali” si intende l’invio di dati dal territorio spagnolo a destinatari stabiliti in paesi non appartenenti allo Spazio Economico Europeo (i paesi dell’Unione Europea più Liechtenstein, Islanda e Norvegia).

Per effettuare questo tipo di trasferimento, deve essere richiesta un’autorizzazione esplicita all’autorità di controllo competente ( “Agencia Española de Protección de Datos”, nel caso della Spagna). Tuttavia, è possibile sottrarsi a tale obbligo se sono soddisfatte le condizioni di cui al Capo V del Regolamento (UE) 2016/679 del 27 aprile 2016 (di seguito anche “GDPR”).

La prima condizione che deve essere soddisfatta per poter effettuare un trasferimento internazionale, senza richiedere alcuna autorizzazione specifica, è che il destinatario dei dati personali debba trovarsi in un paese che la Commissione ha deciso garantisca un livello di protezione adeguato (articolo 45 GDPR). A tal fine, la Commissione mantiene un elenco di questi paesi[1] nella Gazzetta ufficiale dell’Unione europea e sul suo sito web.

In assenza di una precedente decisione di adeguatezza da parte della Commissione, il trattamento dei dati dovrebbe presentare una delle seguenti garanzie (articolo 46.2 GDPR):

  1. uno strumento giuridicamente vincolante ed esecutivo tra autorità o enti pubblici;
  2. norme societarie vincolanti (art. 47 GDPR);
  3. clausole standard di protezione dei dati adottate dalla Commissione;
  4. clausole standard di protezione dei dati adottate da un’autorità di controllo e approvate dalla Commissione;
  5. codice di condotta (approvato ai sensi dell’art. 40 GDPR);
  6. un meccanismo di certificazione (approvato ai sensi dell’articolo 42 GDPR).

In mancanza di una decisione di adeguatezza da parte della Commissione e delle garanzie di cui sopra, un trasferimento internazionale di dati può essere effettuato solo se è soddisfatta una delle condizioni di cui all’articolo 49 GDPR (ad esempio, che l’interessato abbia esplicitamente acconsentito al trasferimento). In caso contrario, deve essere richiesta un’autorizzazione esplicita alla “Agencia Española de Protección de Datos”.

La novità più recente nel campo dei trasferimenti internazionali di dati è la pubblicazione, il 12 novembre, della Decisione della Commissione Europea sulle clausole contrattuali standard per il trasferimento di dati personali verso paesi terzi (versione provvisoria sottoposta a consultazione pubblica fino al 10 dicembre). La Decisione prevede un allegato contenente le clausole contrattuali da includere negli contratti per il trattamento dei dati che prevedono trasferimenti internazionali, al fine di rispettare la garanzia dell’articolo 46.2 c) GDPR.

La pubblicazione di questa Decisione è motivata dalla sentenza della Corte di Giustizia dell’Unione europea, del 16 luglio 2020, nella causa C-311/18 (sentenza Schrems II), che ha dichiarato il “Privacy Shield” non valido per i trasferimenti internazionali di dati verso gli Stati Uniti d’America (Decisione 2016/1250). In questo senso, la sentenza della Corte di Giustizia Europea richiede una revisione degli contratti per il trattamento dei dati conclusi tra gli esportatori di dati con sede nell’Unione Europea e gli importatori con sede negli Stati Uniti, al fine di assicurare che essi rispettino le garanzie richieste dalla legge a livello europeo.

Pertanto, cinque mesi dopo la sentenza della Corte di Giustizia Europea, viene pubblicato il suddetto progetto di Decisione sulle clausole contrattuali standard per i trasferimenti internazionali, al fine di promuoverne l’utilizzo e garantire così l’elevato livello di protezione richiesto dal Capo V del Regolamento (UE) 2016/679.

 

[1] Consultate il seguente link per conoscere i paesi terzi finora riconosciuti dalla Commissione Europea come sicuri nel settore della protezione dei dati personali: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en