di Antonio Serriello
Un’azienda con sedi in Paesi extra-UE può trasferire i dati personali dei dipendenti solo in presenza di presupposti che ne assicurino la protezione.
Il trasferimento verso Paesi extra UE di dati personali dei dipendenti può essere effettuato solamente rispettando le restrittive condizioni stabilite dalle direttive europee e dal Codice della Privacy. In particolare, è previsto che tale trasferimento possa avere luogo soltanto se il Paese terzo garantisca un livello di protezione adeguato.
Il problema: l’adeguatezza del sistema di tutela della privacy nel Paese terzo
5 anni fa il titolare della filiale di una multinazionale operante nel settore medical device ha trasferito i dati di un suo dipendente dalla sede italiana ad una divisione negli USA avvalendosi della certificazione Safe Harbour. Ora con un nuovo dipendente può seguire la stessa procedura?
No, perché la Corte Europea ha recentemente dichiarato invalida la certificazione Safe Harbour, stabilendo che la stessa non rispetta quei criteri di adeguatezza che permetterebbero il trasferimento all’estero dei dati personali dei dipendenti.
Le condizioni che permettono il trasferimento all’estero dei dati personali dei dipendenti
Il trasferimento in Paesi extra-UE dei dati personali dei dipendenti è, in linea di principio, vietato, ma viene consentito in presenza di determinate condizioni.
Innanzitutto, tale trasferimento è possibile se il Paese terzo garantisce un livello di protezione adeguato di tali dati; la Commissione Europea ha il potere di stabilire tale adeguatezza attraverso una specifica decisione.
Inoltre, tale trasferimento è consentito in alcuni casi specifici: quando la persona interessata abbia manifestato il proprio consenso, oppure se il trasferimento sia necessario per l’esecuzione di un contratto tra la persona interessata ed il responsabile del trattamento, quando sia necessario per la salvaguardia di un interesse pubblico rilevante o per difendere un diritto per via giudiziaria, oppure per salvaguardare un interesse vitale della persona interessata.
Il trasferimento è consentito anche nel caso in cui vengano inserite nel contratto determinate clausole contrattuali standard, individuate dalla Commissione Europea e ritenute sufficienti per garantire l’adeguatezza della protezione dei dati personali dei dipendenti. In pratica, incorporando il testo delle clausole contrattuali in questione in un contratto utilizzato per il trasferimento dei dati, l’esportatore dei dati garantisce che questi ultimi saranno trattati conformemente ai principi stabiliti nella Direttiva anche nel Paese terzo di destinazione.
Infine, su richiesta dell’azienda interessata, il Garante della Privacy può rilasciare un’apposita autorizzazione, denominata BCR (Binding Corporate Rules), per il trattamento dei dati tra società facenti parti dello stesso gruppo d’impresa. Tale autorizzazione contiene una serie di clausole che fissano i principi vincolanti al cui rispetto sono tenute tutte le società appartenenti al gruppo. Per ottenere il rilascio dell’autorizzazione, l’azienda deve presentare idonea documentazione, consistente in una bozza delle suddette BCR, che viene valutata dalle Autorità interessate.
Caso particolare: il trasferimento di dati personali negli USA
Il trasferimento di dati personali tra gli Stati Uniti e i Paesi dell’Unione Europea è stato regolato dall’accordo Safe Harbour fino al 2015, quando la Corte Europea lo ha dichiarato invalido, poiché non ritenuto sufficiente ad assicurare una tutela adeguata della privacy degli interessati. La decisione della Corte Europea riguardava il ricorso di un cittadino austriaco, Max Schrems, il quale aveva denunciato le violazioni del diritto alla riservatezza da parte di Facebook, sulla base di precedenti casi giudiziari che avevano stabilito che il sistema di diritto statunitense non era sufficiente a garantire un’adeguata tutela dei dati trasferiti dall’Europa.
Per tale motivo, la Commissione Europea e le competenti autorità statunitensi hanno messo a punto un nuovo accordo, l’EU-US Privacy Shield, che il 12 luglio 2016 è stato dichiarato adeguato dalla Commissione Europea in ordine al grado di tutela garantito nel trattamento dei dati personali.
Il trasferimento di dati personali tra Stati Uniti e Paesi dell’Unione Europea, pertanto, viene ora regolato da quest’ultimo accordo, mentre non si potrà più utilizzare il vecchio accordo Safe Harbor, ormai definitivamente decaduto.
Gli strumenti per effettuare il trasferimento di dati personali dei dipendenti verso Paesi extra-UE
Sebbene il trasferimento dei dati personali dei dipendenti in Paesi extra-UE sia in linea di principio vietato, vi sono diversi strumenti a disposizione delle aziende europee che consentono tale tipo di trasferimento.
Oltre ai casi specifici sopra esaminati (consenso della persona interessata, necessità del trasferimento ai fini di misure contrattuali, interesse pubblico preminente, ecc.), è possibile stipulare accordi, sulla cui adeguatezza si esprime la Commissione Europea.
In mancanza di tali accordi, o nei casi in cui questi vengano dichiarati invalidi, come è successo nel caso del Safe Harbour, le aziende hanno la possibilità di richiedere un’autorizzazione BCR al Garante, sulla base di una bozza a questi presentata, che contenga soddisfacenti regole di tutela della privacy dei dipendenti, al fine di traferire i dati ad aziende facenti parte dello stesso gruppo d’impresa.
Infine, è sempre possibile per qualsiasi azienda (esportatrice dei dati) stipulare con l’azienda importatrice (statunitense o di qualsiasi altro Paese extra-UE) un contratto, il cosiddetto Data Transfer Agreement, nel quale siano incluse e sottoscritte le clausole di contratto standard. Tali clausole, essendo state predisposte direttamente dalla Commissione Europea, garantiscono in ogni caso l’adeguatezza della tutela dei dati personali da parte dell’azienda del Paese terzo che li riceve.