EDPB e trasferimenti esteri: un argomento che non smette di essere al centro delle analisi del board e degli addetti ai lavori. Un tema che si riflette necessariamente nell’operatività di qualsiasi azienda o pubblica amministrazione trasferisca dati all’estero.
I criteri del documento
Il 19 novembre la sessione plenaria del Comitato ha approvato le linee guida relative alla relazione tra articolo 3 del GDPR e Capo V.
The Guidelines specify three cumulative criteria that qualify a processing as a transfer: (1) the data exporter (a controller or processor) is subject to the GDPR for the given processing; (2) the data exporter transmits or makes available the personal data to the data importer (another controller, joint controller or processor); (3) the data importer is in a third country or is an international organisation.
Le linee guida specificano tre criteri cumulativi che qualificano un trattamento come trasferimento: (1) l’esportatore di dati (un titolare del trattamento o un responsabile del trattamento) è soggetto al GDPR per il trattamento dato; (2) l’esportatore di dati trasmette o mette a disposizione i dati personali all’importatore di dati (altro titolare del trattamento, controllore congiunto o responsabile del trattamento); (3) l’importatore di dati si trova in un paese terzo o è un’organizzazione internazionale.
Criterio 1
Si richiede che un controller o un processor siano assoggettati alla disciplina del GDPR. Questo avviene se incappano nei due casi previsti dall’articolo 3.
1. Il presente regolamento si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione.
2. Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano:
a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure
b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.
3. Il presente regolamento si applica al trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell’Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico.
Criterio 2
richiede che vi sia un titolare del trattamento o un responsabile del trattamento che comunichi mediante trasmissione o altrimenti metta i dati a disposizione di un altro titolare del trattamento o responsabile del trattamento
Questo criterio esclude quindi l’iniziativa di un soggetto interessato.
Esempio 1
Se un soggetto interessato compila un form su un sito per fare acquisti in modo diretto presso un venditore extra EU, non si configura un trasferimento estero di dati ai sensi del Capo V, in quanto i dati non sono passati all’importatore da un soggetto esportatore. Quando compriamo direttamente su Amazon.
Esempio 2
Un titolare stabilito in EU fornisce i dati dei propri dipendenti a un responsabile extra EU. Si configura un trattamento ai sensi del Capo V del GDPR in quanto il titolare è stabilito sul territorio dell’Unione e quindi soggetto alla disciplina del GDPR articolo 3 paragrafo 1.
Esempio 3
Un titolare extra EU invia i dati di persone fisiche non residenti in EU a un responsabile europeo. Lo scopo è fare delle elaborazioni. Il responsabile europeo restituisce i dati elaborati al titolare. La prima fase non rientra nello spettro di applicabilità del Capo V, la seconda sì (vedi esempio 2). Lo scandalo Cambridge Analytica aveva questa dinamica (al di là del non essere minimamente legittimo).
Esempio 4
Un titolare EU ingaggia un responsabile EU questi a sua volta invia i dati che tratta per conto del titolare extra EU a un sub responsabile. Di nuovo abbiamo l’applicazione dell’articolo 3 paragrafo 1 e la conseguente rilevanza del trasferimento internazionale ai sensi del Capo V del GDPR.
Esempio 5
Il dipendente di un’azienda europea viaggia all’estero in paesi extra EU e si connette col portatile all’infrastruttura aziendale e tratta dei dati personali. In questo caso non abbiamo alcun trasferimento di dati in quanto l’operatore è parte dell’azienda. Attenzione perché se a connettersi dall’estero fosse il dipendente di un sub responsabile o un responsabile residente in paese extra EU avremmo invece un trasferimento di dati.
Esempio 6
Una controllata europea di un’azienda extra EU (un esempio proprio a caso!) trasferisce i dati personali sui server della controllante. Nuovamente avremmo un coinvolgimento dell’articolo 3 paragrafo 1 e per converso il Capo V.
Criterio 3
Qui non interessa invece se il trattamento ricada o meno sotto il GDPR
Esempio 7
Un titolare extra EU senza base nel territorio, ma che vende bene e servizi nel territorio EU, invia a un responsabile nel territorio dell’Unione dati personali affinché li tratti per suo conto. Questo passaggio non si configura come trasferimento estero ai sensi del Capo V, ma ricade sotto l’articolo 3 paragrafo 2 e il titolare è obbligato a seguire le leggi dell’Unione. Il responsabile nell’Unione elabora i dati e li restituisce e in quel caso rientra nello spettro di azione dell’articolo 3 paragrafo 1 e del Capo V configurandosi un trasferimento estero di dati personali.
Conclusioni
Come sempre gli esempi sono illuminanti e chiarificatori. Il punto su cui in pochi avevano posto attenzione è che se io tratto dati di un titolare estero e glieli restituisco sto eseguendo un trasferimento estero e quindi devo prendere in esame tutto quanto le Recommendations 01/2020 hanno richiesto di tenere da conto.
In sostanza se questi criteri (di cui gli esempi sono la sostanza) non vengono riscontrati non si ha trasferimento di dati ai sensi del Capo V. E come avete potuto osservare accade in pochissime situazioni.
