Ai sensi dell’art 45 del Regolamento 679/16, è necessario in caso di trasferimenti di dati personali verso Paesi extra Europa o verso un’organizzazione internazionale riconoscere l’adeguatezza del Paese terzo o dell’organizzazione ricevente tali dati sia supportata dal placet della Commissione europea.
Tale organo sovranazionale segue, nel valutare se vige effettivamente tale parametro, le prescrizioni dettate dall’art 45, par. 2 GDPR al fine di stabilire se il Paese terzo o l’organizzazione internazionale garantiscano un livello di protezione adeguato tale da garantire l’adeguata protezione ai dati ad essi destinati.
Sono davvero molte le decisioni attualmente adottate ed in vigore fino a quando non vengano modificate, sostituite o abrogate dalla stessa Commissione (art. 45, par. 9 del Regolamento UE 2016/679), tra cui, in via solo esemplificativa, quelle sottoscritte con: Andorra, Argentina Australia PNR, Canada, Giappone, Nuova Zelanda, Svizzera, etc.
A supplire la mancanza di una simile decisione, viene in soccorso l’art. 46 del Regolamento UE 2016/679, il quale dispone che il trasferimento dei dati personali in territorio extra UE può essere lecito solo se è il Titolare del Trattamento (o il Responsabile e art 28 GDPR) forniscono garanzie adeguate che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati.
Al riguardo, possono costituire garanzie adeguate, senza o previa autorizzazione del Garante privacy, i seguenti elementi:
- gli strumenti giuridici vincolanti ed esecutivi tra soggetti pubblici (art. 46, par. 2, lett. a);
- le norme vincolanti d’impresa (art. 46, par. 2, lett. b)
- le clausole tipo (art. 46, par. 2, lett. c e lett. d)
- i codici di condotta (art. 46, par. 2, lett. e)
- i meccanismi di certificazione (art. 46, par. 2, lett. f)
- le clausole contrattuali ad hoc (art. 46, par. 3, lett. a)
- gli accordi amministrativi tra autorità o organismi pubblici (art. 46, par. 3, lett. b)
In assenza di ogni altro presupposto, è in ogni caso possibile trasferire i dati personali fuori dal territorio comunitario solo se sono rispettate le condizioni dettate dall’art. 49 del Regolamento UE 2016/679).
Ed invero, qualora il trasferimento avvenga in caso di mancanza di una decisione di adeguatezza, l’art 49 GDPR prevede espressamente che:
- In mancanza di una decisione di adeguatezza ai sensi dell’articolo 45, paragrafo 3, o di garanzie adeguate ai sensi dell’articolo 46, comprese le norme vincolanti d’impresa, è ammesso il trasferimento o un complesso di trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale soltanto se si verifica una delle seguenti condizioni:
- a) l’interessato abbia esplicitamente acconsentito al trasferimento proposto, dopo essere stato informato dei possibili rischi di siffatti trasferimenti per l’interessato, dovuti alla mancanza di una decisione di adeguatezza e di garanzie adeguate;
- b) il trasferimento sia necessario all’esecuzione di un contratto concluso tra l’interessato e il titolare del trattamento ovvero all’esecuzione di misure precontrattuali adottate su istanza dell’interessato;
- c) il trasferimento sia necessario per la conclusione o l’esecuzione di un contratto stipulato tra il titolare del trattamento e un’altra persona fisica o giuridica a favore dell’interessato;
- d) il trasferimento sia necessario per importanti motivi di interesse pubblico;
- e) il trasferimento sia necessario per accertare, esercitare o difendere un diritto in sede giudiziaria;
- f) il trasferimento sia necessario per tutelare gli interessi vitali dell’interessato o di altre persone, qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
- g) il trasferimento sia effettuato a partire da un registro che, a norma del diritto dell’Unione o degli Stati membri, mira a fornire informazioni al pubblico e può esser consultato tanto dal pubblico in generale quanto da chiunque sia in grado di dimostrare un legittimo interesse, solo a condizione che sussistano i requisiti per la consultazione previsti dal diritto dell’Unione o degli Stati membri.
Se non è possibile basare il trasferimento su una disposizione dell’articolo 45 o 46, comprese le disposizioni sulle norme vincolanti d’impresa, e nessuna delle deroghe in specifiche situazioni a norma del primo comma del presente paragrafo è applicabile, il trasferimento verso un paese terzo o un’organizzazione internazionale sia ammesso soltanto se non è ripetitivo, riguarda un numero limitato di interessati, è necessario per il perseguimento degli interessi legittimi cogenti del titolare del trattamento, su cui non prevalgano gli interessi o i diritti e le libertà dell’interessato, e qualora il titolare e del trattamento abbia valutato tutte le circostanze relative al trasferimento e sulla base di tale valutazione abbia fornito garanzie adeguate relativamente alla protezione dei dati personali. Il titolare del trattamento informa del trasferimento l’autorità di controllo. In aggiunta alla fornitura di informazioni di cui agli articoli 13 e 14, il titolare del trattamento informa l’interessato del trasferimento e degli interessi legittimi cogenti perseguiti.
Importante è che il Titolare del trattamento specifichi molto bene questa eventualità di destinare i dati personali allo stesso affidati fuori UE, in quanto, se necessario, dovrà prevedere anche uno specifico consenso da parte dell’Interessato, il quale, tramite questa specifica, potrà consapevolmente decidere se accettare tale condizione o meno.
Eleonora Mataloni