Trasferimento di dati personali all'estero, la Circolare 3-2020 di Federprivacy
Il Regolamento UE 2016/679 disciplina il trasferimento dei dati extra-UE al fine di garantire che non sia pregiudicato il livello di protezione assicurato alle persone fisiche, in relazione ai trattamenti di dati personali, quando i dati siano trasferiti a soggetti stabiliti al di fuori dello Spazio Economico Europeo e in luoghi non soggetti al diritto di uno Stato membro in virtù del diritto internazionale pubblico (le disposizioni sul trasferimento si completano combinandosi con la lettura dell'art. 3, concernente l'ambito di applicazione territoriale).
Con il termine 'trasferimento' si intende una gamma potenzialmente infinita di operazioni (come più diffusamente spiegato nella Circolare 3/2020 di Federprivacy, che nell'ambito della campagna #iorestoacasa è scaricabile non solo per i soci ma fino al 30 aprile 2020 anche per gli utenti registrati) essendo sufficiente, per configurare lo stesso, la semplice comunicazione di una manciata di dati.
Nel contesto della normativa del Capo V del Regolamento, i protagonisti del trasferimento possono essere qualificati come 'esportatori' (UE) ed 'importatori' (extra-UE) di dati personali.
Rientra nella accountability dell'esportatore (titolare o responsabile che sia) la preoccupazione circa il trasferimento dei dati all'importatore nel rispetto delle condizioni stabilite dagli art. 44 e seguenti.
Le cautele e le informazioni sul trasferimento incrociano, del resto, altri adempimenti e istituti previsti dal Regolamento: la redazione dell'informativa (ex artt. 13.1, lett. f), e art. 14.1, lett. f), il diritto di accesso dell'interessato (art. 15.1, lett. c), il contratto tra titolare e responsabile (art. 28.3, lett. a), l'adozione del registro dei trattamenti del titolare e del responsabile (art. 30.1, lett e), e 30.2, lett. c), l'elaborazione dei codici di condotta (art. 40.2, lett j), l'istituzione di meccanismi di certificazione (art. 42.2).
Le condizioni di liceità del trasferimento sono state impostate dal legislatore europeo in una sequenza gerarchica, per cui l'esportatore (prima di avviare il trasferimento, è bene rammentarlo) dovrà verificare:
1) la sussistenza di una decisione di adeguatezza del Paese terzo (o di un territorio o di uno specifico settore al suo interno) o dell'organizzazione internazionale, adottata dalla Commissione UE;
2) (in mancanza della decisione di adeguatezza) la possibilità di prestare garanzie adeguate, tra cui figurano le clausole tipo – veri e propri contratti standard approvati dalla Commissione UE - e le norme vincolanti d'impresa, valevoli per gruppi societari e gruppi di imprese che svolgano una attività economica comune;
3) (quando la prestazione di garanzie adeguate non sia appropriata o possibile) di dover infine ricorrere alle deroghe al divieto di trasferimento per specifiche situazioni.
Salvo rinviare, per una disamina approfondita delle dette condizioni, al contenuto della circolare 3/2020, a proposito delle deroghe ex art. 49 ed in virtù del loro essere tali (cioè, eccezioni alla regola) è necessario che l'esportatore sappia di doverle sempre interpretare in senso rigorosamente restrittivo.
Si tenga conto che la violazione delle disposizioni in tema di trasferimento è soggetta alla sanzione amministrativa dell'art. 83.5 – quella, per intendersi, con i limiti massimi più alti (fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore).
In questo tempo di emergenza sanitaria globale e di esplosione dell'utilizzo di piattaforme on line per l'organizzazione da remoto di attività le più disparate (riunioni aziendali, lezioni scolastiche, incontri professionali, sessioni corsuali/formative, ecc.), i titolari debbono porsi nella condizione di selezionare service provider relativamente affidabili e sicuri.
Posto che la stragrande maggioranza di quei provider è composta da imprese extra-comunitarie e, segnatamente, statunitensi, le disposizioni sul trasferimento dei dati e la conformità alle medesime sono destinate ad acquisire sempre maggiore rilevanza nelle privacy policy di organizzazioni sia private che pubbliche.
