Con l’incremento dell’e.commerce e dello sbarco su internet di molte aziende, che anche a causa della pandemia Covid hanno trasferito sul web diverse attività, è tornata alla ribalta delle richieste di informazioni la gestione e il trattamento dati ai sensi del GDPR EU.
I flussi di trasferimento dei dati sono a doppio senso:
- Ci sono i casi di quelle aziende con sede all’estero che raccolgono e trattano dati sensibili in EU, tutelati dal GDPR.
- E poi ci sono i casi di aziende che, invece, raccolgono i dati personali in Europa, per trasferirli e gestirli all’estero.
Privacy shield list, l’accordo che ha sciolto i dubbi sui soggetti titolari e responsabili dei dati personali e sul trasferimento dei dati personali raccolti in EU
Il Privacy Shield, ovvero lo “scudo per la privacy” fra UE e USA, è un meccanismo di autocertificazione per le società stabilite negli USA che intendano ricevere e gestire dati personali dall’Unione europea.
Facciamo un esempio concreto: una società con sede in USA titolare di un software online per i servizi di newsletter, come tratta e gestisce dati personali raccolti in Europa e protetti dal GDPR?
Dalle società extra EU con sede in USA che si trovano a raccogliere dati protetti in Europa, come viene trattata la Privacy GDPR?
Ma i casi possono essere ancora più evidenti. Pensiamo ad una società USA, che intenda assumere personale europeo per svolgere alcune delle sue attività in EU e che trasferisca i dati sensibili e personali dei suoi dipendenti EU in USA.
In questi casi viene in soccorso il Privacy Shield
Si tratta di un accordo cui la società USA interessata chiede di aderire e che poi viene inserita nella Privacy Shield List.
L’accordo prevede che le società USA si impegnano a rispettare i principi della Tutela della Privacy EU ai senso del GDPR e a fornire ai titolari europei dei dati personali che sono stati trasferiti negli USA, gli adeguati strumenti di tutela pena l’eliminazione dalla Privacy Shield List come società certificata da parte del Dipartimento del Commercio statunitense. La Commissione europea ha ritenuto che il sistema offra un livello adeguato di protezione per i dati personali trasferiti da un soggetto nell’UE a una società stabilita negli Stati Uniti e che, pertanto, Il Privacy Shield costituisca una fonte di garanzie giuridiche con riguardo ai trasferimenti di dati in questione.
Lo Scudo della Privacy è applicabile a tutte le categorie di dati personali trasferiti dall’UE agli USA, compresi informazioni commerciali, dati sanitari o relativi alle risorse umane, purché la società USA destinataria di tali dati abbia autocertificato la propria adesione allo schema.
La distinzione dei ruoli dei soggetti individuati per tutelare e gestire i datipersonali
Com’è noto, i soggetti che hanno titolarità di trattamento dei dati personali sono:
- Il Titolare del Trattamento o Data Controller: che è “la persona fisica o giuridica, che determina le finalità e i mezzi del trattamento di dati personali. In sostanza il titolare è colui che tratta i dati senza ricevere istruzioni da altri e che decide perché e come devono essere trattati i dati. Nel caso di un Tool online di email marketing è colui che apre l’account.
- L’interessato: che è la persona fisica a cui si riferiscono i dati personali. Un inciso per chiarire che la continua evoluzione tecnologica della società ci rende tutti soggetti interessati al trattamenti dei dati personali. Basta pensare alla capillarità dei sistemi di videocontrollo, alle fidelity card, e via dicendo, per comprendere che in ogni istante siamo potenziali soggetti interessati di un trattamento dei dati.
- Il responsabile del Trattamento o Data Processor: che è la persona fisica o giuridica che elabora i dati personali per conto del titolare del trattamento. Nel mondo del web queste figure sono, ad esempio, le internet company titolari dei Tool di servizi di email marketing, come nel caso in esempio, ma anche del web hosting. Occorre tenere presente che chiunque elabori i dati per conto del titolare è responsabile del trattamento, così come succede con il web hosting.
Come reso evidente, il responsabile del trattamento è un soggetto distinto dal titolare del trattamento e può essere interno o esterno all’azienda. Il titolare del trattamento risponde della gestione del responsabile. Deve scegliere soggetti che presentino garanzie sufficienti in termini di conoscenza specialistica, affidabilità e risorse, per garantire e mettere in atto il principio di sicurezza del GDPR con le misure tecniche e organizzative che soddisfino i requisiti del Regolamento.
Quindi, il responsabile del trattamento dovrà:
- avere una competenza qualificata;
- garantire particolare affidabilità, ad esempio l’assenza di condanne penali;
- disporre delle risorse tecniche adeguate per l’attuazione degli obblighi derivanti dal contratto di designazione e dalle norme in materia. Se è soggetto interno all’azienda le risorse saranno a carico del titolare.
Ecco perché si sono sviluppati molti servizi di gestione conto terzi dei dati in cloud – ma anche di nomina del DPO ovvero Data Protection Officer – per fare in modo che possa essere relativamente semplice per il titolare del trattamento, gestire i dati personali raccolti in EU e trasferiti in USA.
La tipologia dei dati EU trattati dalle società USA possono essere:
- nome, email, indirizzo o numero telefonico;
- informazioni sul dispositivo;
- modalità di interazione con la mail;
- l’indirizzo IP;
- data e orario di connessione o di apertura e click sui link;
- eventualmente altri dati raccolti dai social network, come quando facciamo il login attraverso Facebook o Google.
Quindi, il Titolare del Trattamento dovrà essere conforme alle norme europee e per farlo dovrà:
- firmare il “Data Processing Agreement”, cioè l’accordo di elaborazione dati col responsabile del trattamento;
- attivare i campi GDPR Fileds nei modulo di iscrizione ai servizi.
Trasferimento dati all’estero
Per Trasferimento dei Dati all’Estero si intende il flusso o il trasferimento transfrontaliero di dati personali verso un destinatario soggetto a una giurisdizione straniera.
A scanso di equivoci e allarmi, la semplice pubblicazione dei dati personali su un sito web, non comporta trasferimento all’estero.
Solo la comunicazione diretta a destinatari specifici rientra nella nozione di “flusso transfrontaliero dei dati” e, quindi, solo in questo caso si intende trasferimento dati da una paese coperto dal GDPR EU ad uno estero.
In generale il trasferimento di dati personali al di fuori dello SEE – Spazio Economico Europeo – è ammesso se il destinatario garantisce un livello di protezione dei dati adeguato a quello europeo.
Ci sono 2 casi di adeguatezza di protezione dei dati:
Il primo riguarda il trasferimento di dati all’estero quando il paese terzo garantisce un livello di protezione dei dati adeguato a quello europeo e dal GDPR ed è inserito nella Lista dello Scudo della Privacy. In ogni caso l’adeguatezza è valutata sulla base della:
- natura dei dati;
- finalità del trattamento;
- possibilità che tali dati transitano in altri paesi prima di giungere alla destinazione finale;
- norme di diritto anche settoriali;
- misure di sicurezza e Data Breach previste.
Il secondo caso riguarda il trasferimento dei dati personali verso paesi che non garantiscono un adeguato livello di protezione. L’esempio è quello del Titolare del Trattamento di un’azienda basata in Europa, che può stipulare un contratto col titolare dell’azienda che si trova nel paese terzo. In sostanza, le clausole del contratto internazionale devono essere tali da offrire un livello di protezione adeguato per il trattamento dei dati personali trasferiti. In particolare per quanto riguarda un soddisfacente livello di sicurezza e la tutela dei diritti degli interessati, con meccanismi di ricorso effettivi.
Chiaramente la il trasferimento e la gestione dei dati personali all’estero è una materia complessa che non può essere assolta in queste poche righe. Anche perché, trattandosi di materia contrattuale internazionale, entrano in gioco molte rules, regole e norme da definire per i diversi campi di azione:
- clausole contrattuali tra tra il titolare del trattamento, il responsabile, il destinatario;
- norme vincolanti e diritti effettivi;
- codice di condotta;
- meccanismo di certificazione.
Ecco perché in casi del genere è inderogabile l’intervento di un avvocato esperto di trattamento e gestione internazionale dei dati sensibili e personali.
Ed ecco perché consigliamo la consulenza legale del team di avvocati esperti nella gestione della Privacy ai sensi del GDPR EU dello Studio Legale Internazionale Damiani&Damiani.
Compila il Form ed esponi il tuo caso
