Linee Guida EDPB 05/2021: le tre condizioni per il trasferimento dei dati all’estero
Nella prima relazione redatta e comunicata ai sensi dell'art. 97 del Regolamento UE 2016/679 (documento del 24 giugno 2020), la Commissione (oltre al resto) indirizzava una esortazione al Comitato europeo per la protezione dei dati nel senso di chiarire “l'interazione tra le norme sui trasferimenti internazionali di dati (capo V) e l'ambito di applicazione territoriale (articolo 3) del regolamento generale sulla protezione dei dati”.
(Nella foto: l'Avv. Paolo Marini)
A distanza di oltre un anno, lo scorso 18 novembre il Board ha pubblicato sull'argomento le Linee Guida 05/2021 ed ha avviato una consultazione pubblica che si concluderà il 31 gennaio 2022.
Il Board ha individuato tre condizioni cumulative per il trasferimento dei dati, che altresì ne rappresentano una definizione (assente, come noto, nel GDPR).
La prima è che si abbia un titolare o un responsabile che, per un determinato trattamento, sia soggetto all'applicazione del GDPR. Il Board richiama l'attenzione del lettore sulla circostanza che anche titolari e responsabili non stabiliti in Unione Europea possano essere soggetti al GDPR (cfr. art. 3.2) e che in tal caso essi debbano soddisfare i requisiti del Capo V quando si accingano a trasferire i dati personali ad un destinatario stabilito in un Paese terzo.
La seconda condizione per la sussistenza di un trasferimento di dati è che vi sia una comunicazione di dati o anche una loro messa a disposizione da parte di un titolare/responsabile nei confronti di un altro titolare/responsabile. Qui, a parte il rinvio alle Linee Guida 07/2020 in tema di protagonisti (attivi) dei trattamenti, il Board ricorda che non potrà aversi “trasferimento” quando i dati siano comunicati o comunque messi a disposizione dell'impresa stabilita extra-UE da parte di un interessato. L'interessato ai sensi del GDPR non potrà, evidentemente, essere qualificato come un esportatore dei dati in questione.
Al punto 14 è precisato che il concetto di trasferimento “only applies to disclosures of personal data where two different (separate) parties (each of them a controller, joint controller or processor) are involved”. Si porta l'esempio di George, impiegato di una società polacca, che si reca in India per una trasferta di lavoro. Ebbene, il suo accesso da remoto al database aziendale non configura un trasferimento di dati, perché George non è un (nuovo, un diverso) titolare, bensì dipende e fa parte (è un incaricato/autorizzato) dell'organizzazione del datore/titolare stabilito in Polonia. In questa evenienza che - si ripete - non configura un “trasferimento”, bisogna tenere presente che titolari e responsabili restano pur sempre obbligati ad attuare tutte le misure adeguate ex art. 32. Il fatto che con le operazioni descritte non si dia vita ad un trasferimento di dati, non significa che l'accesso da remoto da un sito collocato in un Paese extra-UE non debba essere analizzato e presidiato da specifiche attenzioni/cautele.
Altra precisazione riguarda i gruppi di imprese: qui i flussi di dati diventano “trasferimento” nella misura in cui le operazioni con i dati siano eseguite tra due organizzazioni distinte (titolari o responsabili).
Il terzo criterio vuole che l'importatore sia stabilito in un Paese terzo, indipendentemente dal fatto che, per quel determinato trattamento di dati, esso sia soggetto al GDPR. In inglese il punto 18 è proposto così: “The third criterion requires that the importer is geographically in a third country or is an international organisation, but regardless of whether the processing at hand falls under the scope of the GDPR”. Su questo criterio - va subito detto - sarà necessario sviluppare una riflessione supplementare, approfondita. Per il momento ci limitiamo a riportare, al proposito, l'esempio n. 7 contenuto nelle Linee Guida: abbiamo l'impresa A, titolare non stabilito in UE, che offre beni e servizi a clienti in UE. L'impresa B, che è francese, tratta i dati per conto di A e glieli ri-trasmette. Il trattamento gestito dal responsabile B si svolge sotto la signoria del GDPR, essendo riconducibile alle attività dello stabilimento di B in Francia (art. 3.1). Senonché, anche il trattamento di A è soggetto al GDPR, poiché sotto l'ombrello dell'art. 3.2. In ogni caso, essendo A stabilita in un Paese terzo, il passaggio dei dati da B ad A sarà da inquadrare come “trasferimento” e pertanto sottoposto alle disposizioni del Capo V.
Nelle righe susseguenti il Board aggiunge che, a fronte di flussi di dati verso titolari o responsabili extra-UE ma soggetti al GDPR, la detta circostanza della soggezione dovrebbe essere tenuta in considerazione, sia per evitare duplicazioni di adempimenti/obblighi, sia per implementare quelle misure che si rendessero necessarie a fronte di eventuali conflitti tra ordinamento/legislazione del Paese terzo e GDPR.
I titolari e i responsabili soggetti al GDPR dovranno sempre rispettare le disposizioni del Capo V quando comunicheranno dati personali a titolari o responsabili stabiliti in Paesi terzi, ciò valendo anche per i titolari/responsabili stabiliti extra-UE che siano soggetti al GDPR ai sensi dell'art. 3.2 e trasferiscano dati ad un destinatario nel loro stesso Paese o in un altro Paese terzo.