Gli adempimenti che si rendono necessari in caso di trasferimento di dati personali verso un Paese extra UE possono rivelarsi complessi, soprattutto quando vengono a meno gli accordi internazionali che definiscono i principi di protezione nel trattamento dei dati. Questo scenario si è già prospettato con la dichiarazione di invalidità del Privacy Shield da parte della Corte di giustizia europea. I recenti sviluppi politici che hanno comportato l’uscita dall’ UE del Regno Unito, fanno ritornare in auge questa tematica. Le raccomandazioni del Comitato Europeo per il trasferimento dei dati in paesi terzi, a breve potranno essere applicate anche al caso del Regno Unito. Le indicazioni del Comitato guidano il Titolare/Responsabile nella verifica del livello di protezione garantito nel Paese terzo.

Condizione necessaria del trasferimento di dati personali verso Paesi extra UE è l’equivalenza del livello di protezione garantito nel SEE (Spazio Economico Europeo) nel trattamento dei dati personali. La verifica di tale equivalenza, in ossequio all’art. 5 del GDPR, incombe sul Titolare o Responsabile del trattamento.

In primo luogo, è necessario avere contezza della destinazione dei dati personali trattati, tracciando il loro percorso. Qualora i dati vengano trattati in un Paese terzo che sia già stato soggetto a decisione di adeguatezza da parte del Commissione Europea, a norma dell’art. 45 del GDPR, non incombono ulteriori adempimenti sul Titolare/Responsabile, se non il dovere di verificare con regolarità se la decisione di adeguatezza sia ancora valida, o sia stata oggetto di riesame.

Se il trattamento dei dati personali avviene in Paesi extra UE carenti di decisione di adeguatezza, il Titolare/Responsabile del trattamento è tenuto ad avvalersi degli strumenti forniti dagli artt. 46-49 del GDPR. Se il trattamento dei dati non è occasionale, il Titolare/Responsabile del trattamento potrà ricorre alle garanzie adeguate elencate all’art. 46 del GDPR, tra le quali figurano le norme vincolanti d’impresa, cui sono soggetti tutti i membri interessati del gruppo imprenditoriale o del gruppo d’imprese che svolgono un’attività economica comune, o le clausole contrattuali standard adottate dalla Commissione Europea. Queste garanzie potranno essere utilizzate a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi. Se il trasferimento ha i caratteri dell’occasionalità, il Titolare/Responsabile del trattamento potrà avvalersi delle deroghe di cui all’art. 49 del GDPR, tra le quali vi è l’esplicito consenso dell’interessato o che il trasferimento dei dati abbia le caratteristiche della necessarietà.

Il Titolare/Responsabile del trattamento dovrà altresì verificare che la legislazione o la prassi del Paese terzo in materia di trattamento dei dati non incida sull’efficacia delle garanzie adeguate adottate, ponendo particolare attenzione sulle norme che disciplinano l’accesso ai dati da parte delle autorità pubbliche ai fini di sorveglianza. Ove il Titolare/Responsabile del trattamento opti per il trasferimento dei dati nel Paese terzo, nonostante l’assenza di legislazione che disciplini l’accesso ai dati da parte dell’autorità pubblica, è necessario predisporre una congrua documentazione, dove porre al vaglio i fattori oggettivi, motivo di tale decisione. La responsabilità della scelta effettuata ricade sul Titolare/Responsabile del trattamento, in ossequio al principio dell’accountability.

Qualora la legislazione del Paese terzo incida sull’efficacia delle garanzie adeguate cui il Titolare/Responsabile intende avvalersi, è necessaria l’adozione di misure supplementari che possano fornire lo stesso livello di protezione dei dati garantito nel SEE. Tali misure si sostanziano in misure tecniche (ad esempio una conservazione dei dati per il backup che non richieda l’accesso ai dati in chiaro, oppure trasferimento di dati pseudonimizzati, o cifrati). L’efficacia in concreto delle misure di sicurezza adottate dovrà essere verificata dal Titolare/Responsabile, alla luce della legislazione del Paese terzo.

Infine, il Titolare/Responsabile dovrà verificare con regolarità se nei Paesi terzi sono intervenuti sviluppi in grado di incidere sul livello di protezione dei dati personali. Qualora, malgrado l’adozione di misure di sicurezza, il livello di protezione dei dati personali nel Paese extra UE non sia equivalente a quello garantito nel SEE, il trattamento dovrà essere evitato, sospeso o interrotto.

Nella peculiare ipotesi del Regno Unito, a seguito della Brexit, è stato adottato un particolare regime transitorio. Ad oggi, la normativa in vigore nel Regno Unito, è il Data Protection Act del 2018, oltre al Regolamento generale per la protezione dei dati nel Regno Unito (UK GDPR). In attesa di una decisione di adeguatezza da parte della Commissione Europea (che il 19 febbraio ha pubblicato due progetti per la sua adozione) è stata prevista, nelle disposizioni finali dell’accordo UE-UK, una moratoria di sei mesi, durante la quale i dati potranno essere trasferiti liberamente. Trascorsa questa finestra temporale, qualora la Commissione Europea non si sia ancora pronunciata circa l’adeguatezza del Regno Unito, ci si potrà avvalere, dopo aver effettuato una valutazione d’impatto a norma dell’art. 35 GDPR, delle clausole contrattuali standard, delle norme vincolanti d’impresa, o di altre garanzie ex art. 46 GDPR. In assenza di quest’ultime, sarà possibile trasferire dati personali in UK applicando le deroghe all’art. 49 GDPR.