Il trasferimento dei dati all’estero, ovvero fuori dallo Spazio Economico Europeo, è una ipotesi che si verifica frequentemente, in special modo quando i dati sono trattati da applicazioni realizzate utilizzando tool WYSIWYG, CMS o applicazioni che vengono eseguite su server non ubicati nello Spazio Economico Europeo o effettuando backup su server ubicati extra UE.
Il Regolamento Europeo 679/2016 (GDPR) prevede che il trasferimento di dati personali che avviene in qualsiasi fase del trattamento possa avvenire solo in base ad una decisione di adeguatezza, e quindi solo quando la Commissione Europea abbia ritenuto che il paese estero, un suo territorio o una specifica organizzazione internazionale, garantiscono un livello di protezione adeguato. In presenza di una decisione di adeguatezza non sono necessarie ulteriori autorizzazioni specifiche al trattamento.
Qualora non sussista una decisione di adeguatezza il trasferimento è possibile a condizione che il titolare del trattamento o il responsabile forniscano garanzie adeguate che prevedano diritti azionabili e mezzi di ricorso effettivi da parte degli interessati.
Le forme di garanzia ipotizzate dal GDPR si distinguono in garanzie che non richiedono preventiva autorizzazione e quelle che richiedono una preventiva autorizzazione.
Tra le prime troviamo:
a) le norme vincolanti d’impresa;
b) le clausole tipo di protezione dei dati adottate dalla Commissione secondo la procedura d’esame;
c) le clausole tipo di protezione dei dati adottate da un’autorità di controllo e approvate dalla Commissione secondo la procedura d’esame;
d) un codice di condotta approvato, unitamente all’impegno vincolante ed esecutivo da parte del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati;
e) un meccanismo di certificazione approvato, unitamente all’impegno vincolante ed esigibile da parte del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati.
In tutte queste ipotesi – previste dal GDPR – una autorità di controllo, in vario modo, verifica ed approva preventivamente gli assetti normativi che regolano il trattamento dei dati. Queste procedure consentono di esentare il trattamento ed il connesso trasferimento dei dati all’estero dalla preventiva autorizzazione.
Al di fuori di tali ipotesi, tra le garanzie soggette a preventivo controllo da parte dell’autorità vi sono:
- le clausole contrattuali stipulate tra il titolare/responsabile del trattamento e il destinatario dei dati personali nel paese estero;
- le clausole facenti parte di accordi amministrativi tra autorità pubbliche o organismi pubblici che comprendono diritti effettivi e azionabili per gli interessati;
In tali ipotesi, in assenza della preventiva autorizzazione da parte dell’autorità di controllo non è possibile trasferire i dati personali raccolti all’estero.
In ultima analisi, rimane la possibilità di effettuare il trasferimento dei dati – senza preventiva autorizzazione – quando:
- l’interessato abbia esplicitamente acconsentito al trasferimento all’estero, dopo essere stato informato dei possibili rischi derivanti dal trasferimento, dovuti alla mancanza di una decisione di adeguatezza e di garanzie adeguate;
- il trasferimento sia necessario all’esecuzione di un contratto concluso tra l’interessato e il titolare del trattamento ovvero all’esecuzione di misure precontrattuali adottate su istanza dell’interessato;
- il trasferimento sia necessario per la conclusione o l’esecuzione di un contratto stipulato tra il titolare del trattamento e un’altra persona fisica o giuridica a favore dell’interessato;
- il trasferimento sia necessario per importanti motivi di interesse pubblico;
- il trasferimento sia necessario per accertare, esercitare o difendere un diritto in sede giudiziaria;
- il trasferimento sia necessario per tutelare gli interessi vitali dell’interessato o di altre persone, qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
- il trasferimento sia effettuato a partire da un registro che, a norma del diritto dell’Unione o degli Stati membri, mira a fornire informazioni al pubblico e può esser consultato tanto dal pubblico in generale quanto da chiunque sia in grado di dimostrare un legittimo interesse, solo a condizione che sussistano i requisiti per la consultazione previsti dal diritto dell’Unione o degli Stati membri.
In tali casi, tuttavia, il trattamento deve sempre essere comunicato all’autorità di controllo a solo scopo informativo e deve rispettare determinati requisiti.
Il trasferimento dei dati personali all’estero rimane, quindi, una tipologia di trattamento peculiare e particolarmente delicata e complessa sia per i rischi che può comportare per gli interessati, sia per la peculiare informativa da rendere agli interessati nel caso in cui manchino valutazioni di adeguatezza o le garanzie adeguate previste dal GDPR, sia per i requisiti peculiari da rispettare.