Il Comitato Europeo per la Protezione dei Dati (EDPB) ha aggiornato le linee guida 05/2021 in materia di trasferimento extra UE di dati personali.
Le nuove linee guida, pubblicate il 14/02/2023, includono numerosi esempi pratici per guidare gli operatori nell’applicazione del GDPR.
La nozione di trasferimento internazionale di dati personali
L’EDPB ricorda che il GDPR non fornisce una definizione giuridica del “trasferimento di dati personali verso un Paese terzo o un’organizzazione internazionale”. Pertanto, con le linee guida vengono individuati i criteri che consentono di qualificare una determinata operazione di trattamento dati come “trasferimento”.
In particolare, confermando l’impostazione delle precedenti linee guida, si afferma che si è in presenza di un trasferimento internazionale di dati, con conseguente applicabilità del capo V del GDPR, se ricorrono queste 3 circostanze:
- il titolare o il responsabile del trattamento (“esportatore”) è soggetto al GDPR per il trattamento in questione.
- L‘esportatore rende disponibili, mediante trasmissione o in altro modo, i dati personali oggetto del trattamento a un altro titolare, contitolare o responsabile del trattamento (“importatore”).
- L’importatore si trova in un paese terzo, indipendentemente dal fatto che tale importatore sia soggetto o meno al GDPR.
Alcuni esempi: l’accesso ai dati da remoto
Attraverso numerosi esempi e illustrazioni, l’EDPB aiuta gli operatori a declinare i tre criteri nei diversi contesti pratici.
Così, rispetto al criterio n. 2, si precisa che i dati personali potrebbero essere “resi disponibili” attraverso la creazione di un account, l’inserimento di un disco rigido, l’invio di una password di accesso a un file o consentendo l’accesso ai dati da remoto. Si chiarisce ulteriormente che, in caso di accesso remoto ai dati da un paese terzo, può configurarsi un “trasferimento” anche se i dati vengono soltanto visualizzati su uno schermo (ad esempio per erogare servizi di assistenza o di risoluzione problemi).
Invece, non c’è un “trasferimento” se il trattamento dei dati viene svolto fuori dall’UE dallo stesso titolare o responsabile, senza condividere i dati con altri soggetti: è il caso, ad esempio, del dipendente di una società con sede in UE che si reca all’estero per lavoro e accede da remoto ai dati mentre si trova nel paese terzo.
La valutazione dei rischi
Infine, l’EDPB ricorda che il titolare del trattamento rimane responsabile delle sue attività indipendentemente dal luogo in cui si svolgono. Ciò significa che anche quando non si verifica un trasferimento dei dati extra UE resta comunque l’obbligo di valutare attentamente i potenziali rischi connessi allo specifico trattamento.
Ad esempio, si è detto che il dipendente che accede da remoto ai dati mentre si trova in un paese terzo non effettua un “trasferimento” di dati, perché non li “rende disponibili” ad altri soggetti. Tuttavia, anche in questo caso grava sul titolare l’obbligo di valutare il quadro giuridico del paese terzo e le circostanze che possono avere un impatto sulla sua capacità di rispettare il GDPR.
Infatti, anche se i dati non vengono trasferiti verso il paese terzo, l’operazione di trattamento svolta fuori dall’UE (come l’accesso da remoto) potrebbe comunque comportare dei rischi maggiori a causa, ad esempio, di leggi nazionali contrastanti con il GDPR o della possibilità, per le autorità del paese terzo, di accedere ai dati senza rispettare le prescrizioni del GDPR.
Ilaria Feriti