Durante la sessione plenaria, tenutasi il 19 novembre scorso a Bruxelles, il Comitato Europeo per la Protezione dei Dati (EDPB) ha adottato le Linee guida 05/2021 sull’interazione tra l’applicazione dell’articolo 3 e le disposizioni sui trasferimenti internazionali delineate nel Capo V del Regolamento europeo in materia di protezione dei dati personali.
Obiettivo: chiarire quali trasferimenti internazionali di dati rientrino nell’ambito di applicazione del Capo V del GDPR, pertanto, richiedano specifiche garanzie al fine di assicurare la protezione dei dati personali.
Il contesto normativo e giurisprudenziale
Prima di entrare nel vivo dell’argomento oggetto del presente contributo, pare opportuno soffermarsi sull’ambito normativo di riferimento. In particolare, l’articolo 3 definisce l’ambito territoriale del GDPR, disponendo che esso si applica anche alle attività di trattamento svolte da un titolare o un responsabile non stabilito nello Spazio Economico Europeo (SEE), quando il trattamento sia connesso all’offerta di beni e/o servizi o al monitoraggio del comportamento di individui all’interno dell’Unione europea. Il Capo V del GDPR (artt. 44-50) limita i trasferimenti dei dati personali verso paesi extra-europei, a meno che non vengano impiegati adeguati strumenti di tutela, per garantire che il trasferimento di dati personali non pregiudichi il livello di protezione garantito dalla normativa comunitaria. Le misure previste, alternativamente, dal Regolamento sono:
- l’esistenza di un livello di protezione adeguato nel paese terzo o nell’organizzazione internazionale, (arti. 45 GDPR);
- l’attuazione da parte del paese terzo o di un’organizzazione internazionale di garanzie adeguate, (art. 46 GDPR) ovvero clausole contrattuali tipo (SCC), norme vincolanti d’impresa (BCR), codici di condotta, meccanismi di certificazione, clausole contrattuali ad hoc, accordi internazionali o amministrativi;
- deroghe ai sensi dell’art. 49 del GDPR, che comprendono, tra gli altri, il consenso dell’interessato al trasferimento.
Nell’ultimo anno, in seguito alla sentenza Schrems II (C-311/18 CGUE), il tema del trasferimento dei dati ha costituito il fulcro di accesi dibattiti che hanno coinvolto giuristi e commentatori della materia, oltre ad avere destato notevole preoccupazione per i colossi dell’imprenditoria moderna. È noto infatti che, numerose organizzazioni (pubbliche e private) tendono ad esternalizzare una pluralità di servizi offerti, con l’obiettivo di ottimizzare i costi, rivolgendosi, nella maggior parte dei casi ad aziende i cui stabilimenti principali sono collocati al di fuori dal territorio europeo (solo per citarne alcuni: AWS, Google, Oracle). Nell’arresto poc’anzi menzionato – che, si ricorda, ha invalidato il Privacy Shield – la Corte di Giustizia europea ha opportunamente evidenziato che i canoni di protezione dei dati personali all’interno dello spazio economico europeo debbano essere adeguatamente conservati e rispettati, a prescindere dalla “destinazione” transfrontaliera dei dati stessi. Di conseguenza, non è ammissibile che il trasferimento verso paesi terzi indebolisca la tutela apprestata dal GDPR.
La portata chiarificatoria delle Linee Guida in commento
Le Linee guida 5/2021 – aperte alla consultazione pubblica fino al 31 gennaio 2022 – dopo l’adozione delle Raccomandazioni 01/2020 (relative alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE) e delle Raccomandazioni 2/2020 (relative alle garanzie essenziali europee per le misure di sorveglianza) integrano un contributo ulteriore dell’EDPB alla puntuale regolamentazione del trasferimento dei dati verso paesi extra UE attraverso precise indicazioni, a garanzia dei diritti e delle libertà degli interessati. Secondo il Comitato Europeo, il trattamento è considerato “trasferimento”, indipendentemente dal fatto che l’importatore stabilito in un paese terzo sia già soggetto al GDPR, ai sensi dell’art. 3 GDPR. Anzi, il fattore determinante, ai fini della qualificazione del concetto di “trasferimento” è la collocazione geografica delle organizzazioni: “quando i dati personali sono trasferiti e resi accessibili a entità al di fuori del territorio dell’UE, il quadro giuridico generale fornito all’interno dell’Unione non si applica più (par. 1, n. 2 Linee Guida 5/2021).
Il paragrafo 2 delle Linee Guida è certamente quello più significativo, dal momento che l’organismo europeo specifica tre criteri cumulativi che consentono di qualificare un trattamento come “trasferimento”:
- l’esportatore di dati (un titolare o responsabile del trattamento) è soggetto al GDPR per il dato trattamento;
- l’esportatore divulga mediante trasmissione o mette a disposizione secondo modalità diverse i dati personali in favore dell’importatore (altro titolare, contitolare o responsabile);
- l’importatore di dati si trova in un paese terzo o è un’organizzazione internazionale.
Quanto al primo dei criteri su elencati, è possibile affermare che il titolare o responsabile del trattamento (il cosiddetto “esportatore”) – che siano soggetti al GDPR – anche se non stabiliti all’interno dell’UE, hanno l’obbligo di rispettare le prescrizioni del Capo V quando trasferiscono i dati personali verso un paese terzo o un’organizzazione internazionale.
Il secondo criterio, definito al punto 2), richiede che ci sia un titolare o un responsabile del trattamento che divulga mediante trasmissione o rende altrimenti disponibili i dati a un altro titolare o responsabile del trattamento (importatore). La qualificazione in termini di “trasferimento”, in buona sostanza, implica l’esistenza di un flusso di dati dall’esportatore all’importare.
L’EDPB chiarisce, inoltre, che il trasferimento non sussiste quando i dati sono comunicati direttamente dall’interessato al destinatario (ad esempio inserendo le proprie informazioni in un modulo online).
Il terzo criterio richiede che l’importatore sia collocato “geograficamente” in un paese terzo o sia un’organizzazione internazionale, indipendentemente dal fatto che questi sia soggetto o meno al GDPR per quanto riguarda il trattamento.
Nel caso in cui i tre criteri individuati dalle Linee guida siano soddisfatti, si concretizzerà un trasferimento; dunque, il titolare o responsabile del trattamento dovranno rispettare le condizioni del Capo V ed utilizzare gli strumenti che mirano a proteggere i dati personali in seguito al trasferimento in un paese terzo o verso un’organizzazione internazionale.
Una “nuova” definizione di trasferimento
Se i punti 1 e 3 del paragrafo 2 espongono circostanza già note nella valutazione d’impatto del trasferimento di dati personali (TIA), il punto 2 definisce in modo chiaro il concetto di “trasferimento”, mai espressamente delineato nel GDPR: “this controller or processor (“exporter”) discloses by transmission or otherwise makes personal data, subject to this processing, available to another controller, joint controller or processor (“importer”).”
Tale affermazione permette di ritenere che si possa effettuare un “trasferimento”, non solo quando l’esportatore (titolare o responsabile del trattamento) proceda alla comunicazione dei dati mediante trasmissione, ma anche quando li renda altrimenti disponibili all’importatore (titolare, contitolare o responsabile del trattamento). Un’interpretazione, senza dubbio, estensiva del termine “trasferimento” che determinerà significative ripercussioni economiche sugli operatori commerciali sempre attenti alla sperimentazione di nuove metodologie di condivisione dei dati con i propri partner.
Ci si attende la redazione di nuove Clausole Contrattuali Standard?
A conclusione della trattazione, occorre rilevare, peraltro, che nel verbale della seduta plenaria, l’EDPB ha sottolineato l’importanza della rapida finalizzazione delle Linee guida, evidenziando che la Commissione europea – successivamente all’adozione della versione finale del documento – si occuperà di predisporre uno specifico set di Clausole Contrattuali Standard (SCC) riguardanti i trasferimenti a importatori soggetti all’art. 3, par. 2 del GDPR ed alle organizzazioni che abbiano sede al di fuori dell’Unione Europea.