di Antonio Serriello

Un’azienda con sedi in Paesi extra-UE può trasferire i dati personali dei dipendenti solo in presenza di presupposti che ne assicurino la protezione.

Il trasferimento verso Paesi extra UE di dati personali dei dipendenti può essere effettuato solamente rispettando le restrittive condizioni stabilite dalle direttive europee e dal Codice della Privacy. In particolare, è previsto che tale trasferimento possa avere luogo soltanto se il Paese terzo garantisca un livello di protezione adeguato.

Il problema: l’adeguatezza del sistema di tutela della privacy nel Paese terzo

5 anni fa il titolare della filiale di una multinazionale operante nel settore medical device ha trasferito i dati di un suo dipendente dalla sede italiana ad una divisione negli USA avvalendosi della certificazione Safe Harbour. Ora con un nuovo dipendente può seguire la stessa procedura?

No, perché la Corte Europea ha recentemente dichiarato invalida la certificazione Safe Harbour, stabilendo che la stessa non rispetta quei criteri di adeguatezza che permetterebbero il trasferimento all’estero dei dati personali dei dipendenti.

Le condizioni che permettono il trasferimento all’estero dei dati personali dei dipendenti

Il trasferimento in Paesi extra-UE dei dati personali dei dipendenti è, in linea di principio, vietato, ma viene consentito in presenza di determinate condizioni.

Innanzitutto, tale trasferimento è possibile se il Paese terzo garantisce un livello di protezione adeguato di tali dati; la Commissione Europea ha il potere di stabilire tale adeguatezza attraverso una specifica decisione.

Inoltre, tale trasferimento è consentito in alcuni casi specifici: quando la persona interessata abbia manifestato il proprio consenso, oppure se il trasferimento sia necessario per l’esecuzione di un contratto tra la persona interessata ed il responsabile del trattamento, quando sia necessario per la salvaguardia di un interesse pubblico rilevante o per difendere un diritto per via giudiziaria, oppure per salvaguardare un interesse vitale della persona interessata.

Il trasferimento è consentito anche nel caso in cui vengano inserite nel contratto determinate clausole contrattuali standard, individuate dalla Commissione Europea e ritenute sufficienti per garantire l’adeguatezza della protezione dei dati personali dei dipendenti. In pratica, incorporando il testo delle clausole contrattuali in questione in un contratto utilizzato per il trasferimento dei dati, l’esportatore dei dati garantisce che questi ultimi saranno trattati conformemente ai principi stabiliti nella Direttiva anche nel Paese terzo di destinazione.

Infine, su richiesta dell’azienda interessata, il Garante della Privacy può rilasciare un’apposita autorizzazione, denominata BCR (Binding Corporate Rules), per il trattamento dei dati tra società facenti parti dello stesso gruppo d’impresa. Tale autorizzazione contiene una serie di clausole che fissano i principi vincolanti al cui rispetto sono tenute tutte le società appartenenti al gruppo. Per ottenere il rilascio dell’autorizzazione, l’azienda deve presentare idonea documentazione, consistente in una bozza delle suddette BCR, che viene valutata dalle Autorità interessate.

Caso particolare: il trasferimento di dati personali negli USA

Il trasferimento di dati personali tra gli Stati Uniti e i Paesi dell’Unione Europea è stato regolato dall’accordo Safe Harbour fino al 2015, quando la Corte Europea lo ha dichiarato invalido, poiché non ritenuto sufficiente ad assicurare una tutela adeguata della privacy degli interessati. La decisione della Corte Europea riguardava il ricorso di un cittadino austriaco, Max Schrems, il quale aveva denunciato le violazioni del diritto alla riservatezza da parte di Facebook, sulla base di precedenti casi giudiziari che avevano stabilito che il sistema di diritto statunitense non era sufficiente a garantire un’adeguata tutela dei dati trasferiti dall’Europa.

Per tale motivo, la Commissione Europea e le competenti autorità statunitensi hanno messo a punto un nuovo accordo, l’EU-US Privacy Shield, che il 12 luglio 2016 è stato dichiarato adeguato dalla Commissione Europea in ordine al grado di tutela garantito nel trattamento dei dati personali.

Il trasferimento di dati personali tra Stati Uniti e Paesi dell’Unione Europea, pertanto, viene ora regolato da quest’ultimo accordo, mentre non si potrà più utilizzare il vecchio accordo Safe Harbor, ormai definitivamente decaduto.

Gli strumenti per effettuare il trasferimento di dati personali dei dipendenti verso Paesi extra-UE

Sebbene il trasferimento dei dati personali dei dipendenti in Paesi extra-UE sia in linea di principio vietato, vi sono diversi strumenti a disposizione delle aziende europee che consentono tale tipo di trasferimento.

Oltre ai casi specifici sopra esaminati (consenso della persona interessata, necessità del trasferimento ai fini di misure contrattuali, interesse pubblico preminente, ecc.), è possibile stipulare accordi, sulla cui adeguatezza si esprime la Commissione Europea.

In mancanza di tali accordi, o nei casi in cui questi vengano dichiarati invalidi, come è successo nel caso del Safe Harbour, le aziende hanno la possibilità di richiedere un’autorizzazione BCR al Garante, sulla base di una bozza a questi presentata, che contenga soddisfacenti regole di tutela della privacy dei dipendenti, al fine di traferire i dati ad aziende facenti parte dello stesso gruppo d’impresa.

Infine, è sempre possibile per qualsiasi azienda (esportatrice dei dati) stipulare con l’azienda importatrice (statunitense o di qualsiasi altro Paese extra-UE) un contratto, il cosiddetto Data Transfer Agreement, nel quale siano incluse e sottoscritte le clausole di contratto standard. Tali clausole, essendo state predisposte direttamente dalla Commissione Europea, garantiscono in ogni caso l’adeguatezza della tutela dei dati personali da parte dell’azienda del Paese terzo che li riceve.

Condividi su twitter
Condividi su linkedin
Condividi su email

Pubblicato il:

Ti interesserà leggere anche

Non perdere le novità

Non perdere le ultime novità dal mondo della Privacy e GDPR

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.

Informativa al trattamento dei dati ex art. 13 Regolamento UE 2016/679

La informiamo che, ai sensi del Regolamento UE 2016/679 (infra: “Regolamento”), i Suoi Dati Personali saranno trattati da Sistemi HS S.p.A. con sede Via Torino 176 10093 Collegno (TO), in qualità di titolare del trattamento (“Titolare”).
Il Responsabile della Protezione dei Dati (“DPO”) è raggiungibile ai seguenti indirizzi: dpo@sistemihs.it  – sistemihsdpo@cert.unonet.it
Il Titolare tratterà i Suoi dati personali per la finalità di gestione delle comunicazioni e delle newsletter relative alla community PrivacyRevolution.
La base giuridica del trattamento è riferita all’espressione del consenso da parte dell’interessato al trattamento dei propri dati personali (art. 6(1)(a) del Regolamento).
Il conferimento dei Suoi Dati Personali per la finalità di cui sopra è facoltativo; non è prevista alcuna conseguenza in caso di un Suo rifiuto. In mancanza dei dati però, non sarà possibile per il Titolare inviarle alcuna comunicazione.
L’interessato ha la possibilità di revocare il consenso prestato e di opporsi a tale trattamento in ogni momento in maniera agevole e gratuita, anche scrivendo al Servizio Privacy presso il Titolare all’indirizzo: compliance@sistemiuno.it
I Suoi dati personali potranno essere condivisi con persone fisiche autorizzate dalla Titolare al trattamento di dati personali previa sottoscrizione di un accordo di riservatezza (es. dipendenti e amministratori di sistema); soggetti terzi coinvolti nella gestione delle attività legate alla predetta finalità, alcuni dei quali agiscono in qualità di responsabili del trattamento (l’elenco completo ed aggiornato è disponibile e consultabile previa richiesta a compliance@sistemiuno.it); soggetti, enti o autorità a cui sia obbligatorio comunicare i suoi dati personali in forza di disposizioni di legge o di ordini delle autorità.
Il Titolare non trasferisce i Suoi Dati Personali al di fuori dello Spazio Economico Europeo.
I suoi Dati Personali saranno conservati fino alla revoca del consenso prestato. È fatto salvo in ogni caso l’ulteriore conservazione prevista dalla normativa applicabile tra cui quella prevista dall’art. 2946 cod. civ. Maggiori informazioni sono disponibili presso il Titolare
Lei ha diritto di chiedere al Titolare, in qualunque momento, l’accesso ai Suoi Dati, la rettifica o la cancellazione degli stessi o di richiedere la limitazione del trattamento, o di ottenere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che La riguardano nei casi previsti dall’art. 20 del Regolamento.
È possibile formulare una richiesta di opposizione al trattamento dei Suoi dati ex articolo 21 del GDPR nella quale dare evidenza delle ragioni che giustifichino l’opposizione: il Titolare si riserva di valutare l’istanza, che non verrebbe accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui tuoi interessi, diritti e libertà.
In qualsiasi momento potrà revocare ex art. 7 del Regolamento, il consenso già prestato, senza che ciò pregiudichi la liceità del trattamento effettuato anteriormente alla revoca del consenso.
Le richieste vanno rivolte per iscritto al Titolare o al DPO ai recapiti sopra indicati. In ogni caso Lei ha sempre diritto di proporre reclamo all’autorità di controllo competente (Garante per la Protezione dei Dati Personali), ai sensi dell’art. 77 del Regolamento, qualora ritenga che il trattamento dei Suoi dati sia contrario alla normativa in vigore.

Unisciti a Privacy Revolution!

Iscrivendoti a Privacy Revolution riceverai gratuitamente aggiornamenti sulle ultime novità in campo Privacy, GDPR e Compliance, inviti a webinar ed eventi speciali!

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.