HOME

/

DIRITTO

/

PRIVACY 2024

/

PRIVACY E TRASFERIMENO DATI VERSO PAESI TERZI

Privacy e trasferimeno dati verso Paesi terzi

La normativa privacy per i trasferimenti di dati personali verso Paesi terzi o organizzazioni internazionali (artt. 44 e ss. del GDPR)

Ascolta la versione audio dell'articolo

L’articolo 44 (Principio generale per il trasferimento) stabilisce che, in linea di principio, la conformità alle disposizioni del capo V è obbligatoria per i trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali, compresi i trasferimenti successivi.

L'articolo continua dopo la pubblicità

Per aiutarti nell'adempimenti pronto il Software Privacy in divere configurazioni. Trattamenti illimitati a partire da 129 euro + iva

Puo interessarti il Pacchetto contenente tre e-book:  Tutela della Privacy

disponibili anche in vendita singola:

Segui anche il Dossier gratuito dedicato alla Privacy

1) La definizione di flusso transfrontaliero dei dati

Per quanto riguarda la definizione di flusso transfrontaliero dei dati, le norme europee lo definiscono come il trasferimento di dati personali verso un destinatario soggetto a una giurisdizione straniera.

Secondo la Corte di Giustizia europea la semplice pubblicazione di dati personali su un sito Internet non può considerarsi trasferimento all'estero, in quanto tale trasferimento sarebbe necessariamente verso tutti i paesi esteri e quindi il regime speciale stabilito per i flussi transfrontalieri diverrebbe un regime generale.

2) I requisiti: la decisione di adeguatezza

Il Regolamento, all’art. 45 (Trasferimento sulla base di una decisione di adeguatezza) ,  subordina la legittimità dei trasferimenti di dati verso Paesi extra Ue nei seguenti casi:

  1. una valutazione di adeguatezza da parte della Commissione europea circa il livello di protezione assicurato in quel determinato Stato. Caso Schrems (2015): il termine “adeguato implica che non possa esigersi che un paese terzo assicuri un livello di protezione identico a quello garantito nell’ordinamento giuridico dell’Unione”. L’equivalenza sostanziale dovrebbe corrispondere alla capacità da parte del paese terzo o dell’organizzazione internazionale non solo di imporre l’adozione di misure adeguate per la protezione dei dati, ma anche di comprovarne l’efficacia ex post rispetto alla loro adozione, attraverso strumenti di valutazione e controllo. La valutazione di tale equivalenza sostanziale risulta necessaria sia nel momento in cui la decisione di adeguatezza deve essere assunta sia quando essa deve essere riesaminata al fine di determinare se vada o meno sospesa, revocata o modificata. Le Autorità Garanti nazionali non possono adottare provvedimenti contrari ad una decisione di adeguatezza dell’esecutivo europeo; quindi, qualora la Commissione abbia già dichiarato legittimo il trasferimento di dati verso un determinato Paese terzo, l’Autorità Garante nazionale non potrà adottare provvedimenti interni di sospensione o di divieto di trasferimenti di dati nei confronti di quei Paesi terzi già reputati adeguati dalla Commissione.
  2. Ai sensi dell’art. 46 (Trasferimento soggetto a garanzie adeguate), in assenza di una decisione di tale tipo, il trasferimento potrà avvenire solo in presenza di garanzie adeguate:
  1. strumento giuridicamente vincolante, avente efficacia tra autorità pubbliche o organismi pubblici; purchè “tali accordi non incidano sul presente regolamento o su qualsiasi altra disposizione del diritto dell’Unione e includano un adeguato livello di protezione per i diritti fondamentali degli interessati”.
  2. norme vincolanti d’impresa (Binding corporate rules). Per la circolazione di dati all’interno di gruppi di imprese multinazionali è prevista la possibilità di adottare questo strumento che consiste in regole di comportamento in materia di protezione dei dati personali che vengono adottate ed impartite dalla società capogruppo in modo da vincolare tutte le altre imprese facenti parte del gruppo stesso. Le BCR si possono applicare anche ad imprese diverse (non appartenenti ad un singolo gruppo) che svolgono un’attività economica comune. La ratio di tale istituto risiede nel fatto che trattandosi di rapporti continuativi tra diverse società e, quindi, tra diversi titolari/responsabili è utile non dovere sottoscrivere le clausole tipo ogni qual volta vi sia un trasferimento dalla società controllante alla controllata. Le BCR consentono alle multinazionali di esportare dati anche in paesi privi della decisione di adeguatezza ove sono stabilite le aziende controllate. Approvazione delle BCR. Vengono approvate dall’autorità di controllo competente che nell’adozione della decisione di approvazione deve darne comunicazione al Comitato europeo per la protezione dei dati personali al fine di ottenere il relativo parere.
  3. clausole tipo di protezione dei dati, adottate dalla Commissione. Consistono in testi contrattuali standard sottoscritti da ambo le parti (esportatore e importatore dei dati), in forza dei quali il trasferimento può avvenire verso soggetti collocati all’interno di paesi terzi che non assicurano un adeguato livello di tutela ai dati personali e per questo non hanno ottenuto la decisione di adeguatezza.
  4. clausole tipo di protezione dei dati, adottate da un’autorità di controllo e approvate dalla Commissione. L’autorità di controllo deve comunicare la decisione di adottare clausole tipo al comitato per la protezione dei dati affinchè esso possa emettere un parere.
  5. codice di condotta, con impegno vincolante del titolare/responsabile nel paese terzo ad applicare le garanzie adeguate, anche per i diritti dell’interessato. Essi costituiscono uno strumento che fornisce adeguate garanzie per il trasferimento dei dati in mancanza di una decisione di adeguatezza, se accompagnate da un impegno vincolante ed esecutivo da parte del titolare/responsabile stabiliti nel paese terzo ad applicare le suddette garanzie adeguate rispetto ai principi di protezione dei dati personali ed ai diritti dell’interessato. Tali codici per consentire il trasferimento dovranno essere giuridicamente vincolanti in due sensi, dovranno prevedere: a) sanzioni nel caso di infrazione e b) garantire esplicitamente meccanismi di esercizio dei diritti da parte degli interessati.
  6. meccanismo di certificazione, con impegno vincolante del titolare/responsabile nel paese terzo ad applicare le garanzie adeguate, anche per i diritti dell’interessato. L’ottenimento della certificazione fornisce adeguate garanzie per il trasferimento dei dati in mancanza di una decisione di adeguatezza se essa è accompagnata da un impegno vincolante ed esecutivo da parte del titolare/responsabile stabiliti nel paese terzo ad applicare le suddette garanzie adeguate rispetto ai principi di protezione dei dati personali ed ai diritti dell’interessato.
  7. clausole contrattuali. Titolare e responsabile possono realizzare clausole contrattuali apposite per disporre il trasferimento dei dati personali nel paese terzo/organizzazione internazionale o verso altro tipo di destinatari fuori della UE.

Chi le autorizza. Tali contratti ad hoc vanno sottoposti all’autorità di controllo che ha il compito di autorizzarne la validità e a comunicare tale decisione al comitato per la protezione dei dati per ottenere un parere. La Commissione europea, con l'ausilio del Gruppo articolo 29, ha elaborato delle clausole contrattuali standard (elenco delle decisioni adottate in materia), che consentono di trasferire dati personali verso Paesi terzi. L'esportatore dei dati, incorporando il testo delle clausole contrattuali in un contratto utilizzato per il trasferimento, garantisce che i dati saranno trattati conformemente ai principi stabiliti nella direttiva europea anche nel Paese terzo di destinazione.

  1. disposizioni da inserire in accordi amministrativi tra autorità pubbliche o organismi pubblici.
  2. L’art. 48 specifica che il trasferimento può avvenire qualora vi sia una sentenza di un’autorità giurisdizionale o una decisione di un’autorità amministrativa di un paese terzo che dispone il trasferimento o la comunicazione di dati personali da parte di un titolare/responsabile del trattamento. E’ necessario che la sentenza o la decisione assunta dal paese terzo abbia carattere esecutivo e sia basata su un accordo internazionale in vigore tra il paese terzo richiedente e l’UE o uno Stato membro.
  3. In assenza di una decisione di adeguatezza il trasferimento è ammesso per il perseguimento di un legittimo interesse cogente del titolare del trattamento. A condizione che: a) il predetto interesse prevalga rispetto agli interessi o i diritti e le libertà dell’interessato; b) il trasferimento non sia ripetitivo e riguardi un numero limitato di interessati; c) il titolare deve avere valutato tutte le circostanze relative al trasferimento e fornisca garanzie adeguate relativamente alla protezione dei dati considerando i risultati di tale valutazione; d) il titolare deve informare del trasferimento l’autorità di controllo, nonché attraverso l’informativa anche l’interessato.

Per rimanere sempre aggiornato segui il nostro Dossier gratuito sulla Privacy

3) Il meccanismo di coerenza

Per le ipotesi di cui ai punti g) ed h) l’autorità di controllo applica il meccanismo di coerenza.

Partendo dalla constatazione che un trattamento di dati personali transfrontaliero vede coinvolti – almeno potenzialmente – una pluralità di Autorità di controllo, la introduzione del meccanismo di coerenza è finalizzata al raggiungimento dei seguenti scopi:

a) attraverso la costituzione del Comitato europeo per la protezione dei dati personali, si intende coordinare l’attività delle Autorità di controllo che agiscono in ambito nazionale;

b) il Comitato, di cui alla precedente lettera a) deve agire in modo da amalgamare ed uniformare le pratiche relative alla applicazione del Regolamento.

Il fine del meccanismo di coerenza è, pertanto, quello di coordinare l’azione delle Autorità e assicurare l’applicazione coerente della normativa in tutto il territorio europeo.

Ciò non toglie che il Garante possa esaminare le doglianze dei cittadini che lamentino una mancanza di protezione dei propri dati trasferiti in un Paese terzo; in tal caso, qualora le domande risultino fondate, il Garante avrà il dovere di “agire in giustizia” (par. 63-65), ossia di proporre ricorso alle Autorità giurisdizionali del proprio Stato membro ai fini di un rinvio pregiudiziale ai giudici europei che esamineranno la validità della decisione di adeguatezza della Commissione.

4) Profili sanzionatori

Il Titolare e il Responsabile che violano le prescrizioni di cui all’articolo 44 sono soggetti a sanzioni amministrative pecuniarie fino a 20 milioni di euro e se è una impresa fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. (art. 83, par. 5, lett. b)

Per rimanere sempre aggiornato segui il nostro Dossier gratuito sulla Privacy

La tua opinione ci interessa

Accedi per poter inserire un commento

Sei già utente di FISCOeTASSE.com?
ENTRA

Registrarsi, conviene.

Tanti vantaggi subito accessibili.
1

Download gratuito dei tuoi articoli preferiti in formato pdf

2

Possibilità di scaricare tutti i prodotti gratuiti, modulistica compresa

3

Possibilità di sospendere la pubblicità dagli articoli del portale

4

Iscrizione al network dei professionisti di Fisco e Tasse

5

Ricevi le newsletter con le nostre Rassegne fiscali

I nostri PODCAST

Le novità della settimana in formato audio. Un approfondimento indispensabile per commercialisti e professionisti del fisco

Leggi anche

LA RUBRICA DEL LAVORO · 29/10/2024 Fascicolo informatico d'impresa: pubblicate le linee guida

Le linee guida per la creazione, gestione e accesso al fascicolo informatico d'impresa presso i SUAP . Cos'è, a cosa serve, modalità di accesso

Fascicolo informatico d'impresa: pubblicate le linee guida

Le linee guida per la creazione, gestione e accesso al fascicolo informatico d'impresa presso i SUAP . Cos'è, a cosa serve, modalità di accesso

Controllo mail dipendenti: nuove sanzioni dal Garante

Ancora una sanzione significativa dal Garante per la privacy per utilizzo di un software di controllo e back up delle mail dei dipendenti

Cybersicurezza: Direttiva UE 2022/2557 CER e decreto attuativo

Cos'è la direttiva UE 2022/2557 CER (Critical entities resilience) per la sicurezza fisica e cibernetica dell'Unione europea da attuare entro il 18 ottobre. Il decreto attuativo

L'abbonamento adatto
alla tua professione

L'abbonamento adatto alla tua professione

Fisco e Tasse ti offre una vasta scelta di abbonamenti, pensati per figure professionali diverse, subito accessibili e facili da consultare per ottimizzare i tempi di ricerca ed essere sempre aggiornati.

L'abbonamento adatto alla tua professione

Fisco e Tasse ti offre una vasta scelta di abbonamenti, pensati per figure professionali diverse, subito accessibili e facili da consultare per ottimizzare i tempi di ricerca ed essere sempre aggiornati.

Maggioli Editore

Copyright 2000-2024 FiscoeTasse è un marchio Maggioli SPA - Galleria del Pincio 1, Bologna - P.Iva 02066400405 - Iscritta al R.E.A. di Rimini al n. 219107- Periodico Telematico Tribunale di Rimini numero R.G. 2179/2020 Registro stampa n. 12 - Direttore responsabile: Luigia Lumia.

Pagamenti via: Pagamenti Follow us on:

Follow us on:

Pagamenti via: Pagamenti

Maggioli Editore

Copyright 2000-2021 FiscoeTasse è un marchio Maggioli SPA - Galleria del Pincio 1, Bologna - P.Iva 02066400405 - Iscritta al R.E.A. di Rimini al n. 219107- Periodico Telematico Tribunale di Rimini numero R.G. 2179/2020 Registro stampa n. 12 - Direttore responsabile: Luigia Lumia.