Il trasferimento di dati personali verso Paesi terzi od organizzazioni internazionali
di Manuela Bianchi
Gli articoli da 44 a 50 del GDPR disciplinano il trasferimento dei dati personali verso Paesi terzi o organizzazioni internazionali.
Scopo del presente contributo è fornire una panoramica schematica dei punti di maggiore interesse, sia a livello di principi, che di applicazione pratica di quanto dettato dal Regolamento.
L’art. 44 sancisce il principio generale per cui il trasferimento dei dati personali verso Paesi terzi od organizzazioni internazionali è ammesso solo se il livello di protezione delle persone fisiche garantito dal GDPR stesso non è pregiudicato. L’adeguatezza del livello di protezione è deciso dalla Commissione sulla base dei seguenti elementi (art. 45):
- lo stato di diritto, il rispetto dei diritti umani e delle libertà fondamentali, la pertinente legislazione generale e settoriale e la sua attuazione, le norme in materia di protezione dei dati, le misure di sicurezza, la giurisprudenza e i diritti effettivi e azionabili dagli interessati nonché il ricorso effettivo in sede amministrativa e giudiziaria per gli interessati i cui dati personali sono oggetto di trasferimento;
- l’esistenza e l’effettivo funzionamento di una o più autorità di controllo indipendente nel Paese terzo o cui è soggetta l’organizzazione internazionale, con competenza per garantire e controllare il rispetto delle norme in materia di protezione dei dati, per assistere e fornire consulenza agli interessati in merito all’esercizio dei loro diritti e cooperare con le autorità di controllo degli Stati membri;
- gli impegni internazionali assunti dal Paese terzo o dall’organizzazione internazionale o altri obblighi derivanti da convenzioni o strumenti giuridicamente vincolanti come pure dalla loro partecipazione a sistemi multilaterali o regionali.
L’adeguatezza del livello di protezione è monitorata dalla Commissione e riesaminata, almeno ogni quattro anni. In caso di accertamento della sussistenza di un livello di adeguatezza ritenuto idoneo, il trasferimento verso quel Paese o quella organizzazione internazionale non necessita di autorizzazioni specifiche.
In mancanza di una decisione di adeguatezza, il titolare del trattamento o il responsabile del trattamento può trasferire dati personali verso un Paese terzo o un’organizzazione internazionale solo se ha fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e di mezzi di ricorso effettivi (art. 46).
La norma specifica che possono costituire garanzie adeguate senza necessitare di autorizzazioni specifiche da parte di un’autorità di controllo:
- uno strumento giuridicamente vincolante e avente efficacia esecutiva tra autorità pubbliche o organismi pubblici
- le norme vincolanti d’impresa (vedi infra)
- le clausole tipo di protezione dei dati adottate dalla Commissione o da un’autorità di controllo e approvate dalla Commissione
- un codice di condotta approvato ex art. 40 o un meccanismo di certificazione approvato ex art. 42, unitamente all’impegno vincolante ed esecutivo da parte del titolare o del responsabile del trattamento nel Paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati.
Fatta salva l’autorizzazione da parte dell’autorità di controllo competente, possono considerarsi garanzie adeguate:
- le clausole contrattuali tra il titolare o il responsabile del trattamento e il titolare del trattamento, il responsabile del trattamento o il destinatario dei dati personali nel Paese terzo od organizzazione internazionale
- le disposizioni da inserire in accordi amministrativi tra autorità pubbliche od organismi pubblici che comprendono diritti effettivi e azionabili per gli interessati.
Le norme vincolanti d’impresa sono disciplinate dall’art. 47, ai sensi del quale esse possono essere approvate dall’autorità di controllo competente a condizione che queste siano giuridicamente vincolanti e si applichino a tutti i membri interessati del gruppo imprenditoriale o del gruppo di imprese che svolgono un’attività economica comune, compresi i loro dipendenti. Il paragrafo 2 dell’art. 47 elenca i requisiti minimi che devono essere contenuti nelle norme vincolanti d’impresa.
In mancanza di una decisione di adeguatezza o di garanzie adeguate ai sensi dei precedenti articoli, l’art. 49 elenca una serie di deroghe in presenza delle quali è comunque ammesso il trasferimento verso Paesi terzi od organizzazioni internazionali. Tra le ipotesi di deroga, si possono qui ricordare in via esemplificativa e non esaustiva:
- l’interessato ha espressamente acconsentito al trasferimento, dopo essere stato informato dei possibili rischi
- il trasferimento è necessario all’esecuzione di un contratto concluso tra l’interessato e il titolare del trattamento
- il trasferimento è necessario per importanti motivi di interesse pubblico, per accertare, esercitare o difendere un diritto in sede giurisdizionale, per tutelare gli interessi vitali dell’interessato o di altre persone, qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso.
Importante è anche la disposizione dell’art. 48, ai sensi della quale le sentenze dell’autorità giurisdizionale e le decisione di un’autorità amministrativa di un Paese terzo che dispongono il trasferimento o la comunicazione di dati personali da parte di un titolare o di un responsabile del trattamento possono essere riconosciute o assumere carattere esecutivo soltanto se basate su un accordo internazionale in vigore tra il Paese terzo richiedente e l’Unione o un suo Stato membro.
Da ultimo, l’art. 50 prevede che la Commissione e le autorità di controlli adottano misure appropriate per sviluppare meccanismi di cooperazione internazionale per facilitare l’applicazione efficace della legislazione sulla protezione dei dati personali.
Autore: