La compliance al GDPR è un cammino ricco di insidie, ma anche di dubbi a cui far fronte. Uno dei temi più dibattuti riguarda la conformità al Regolamento UE 2016/679 a livello internazionale. In particolare:
- il trasferimento di dati in paesi extra SEE (Spazio Economica Europeo, ovvero UE + Norvegia, Liechtenstein, Islanda) è consentito?
- come deve essere gestito il trasferimento?
- in che modo, un’azienda con sede extra SEE, dovrà gestire il trattamento dei dati di persone residenti in paesi SEE ?
Risponderemo a queste domande nei prossimi paragrafi.
Compliance GDPR: il trasferimento di dati in paesi extra SEE
Iniziamo a rispondere ai primi due quesiti. Il trasferimento di dati in paesi extra SEE è sì consentito, ma a determinate condizioni.
In tal senso, la conformità al GDPR passa per quello che il Regolamento Europeo definisce adeguatezza. In particolare, il Garante della Privacy scrive:
“I trasferimenti di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo o verso un’organizzazione internazionale sono consentiti a condizione che l’adeguatezza del Paese terzo o dell’organizzazione sia riconosciuta tramite decisione della Commissione europea (art. 45 del Regolamento UE 2016/679).
In assenza di tale decisione, il trasferimento è consentito ove il titolare o il responsabile del trattamento forniscano garanzie adeguate che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati (art. 46 del Regolamento UE 2016/679)”.
Ti consigliamo di leggere anche: protezione dati, le ultime novità
Compliance GDPR extra UE: i paesi che offrono garanzie
Ma quali sono i paesi che, secondo la Commissione Europea, offre adeguati livelli di garanzia, rendendo così, di fatto, sicuro il trasferimento di dati?
Molto pochi, così come confermato dal report del 15 gennaio 2024. Essi sono: Andorra, Argentina, Canada, Fær Øer, Giappone, Guernsey, Isola di Man, Israele, Jersey, Nuova Zelanda, Svizzera, Uruguay.
A questi paesi vanno aggiunti Australia e USA (limitatamente al trasferimento dei dati del codice di prenotazione da parte di compagnie aeree).
Ricordiamo che, nel caso il trasferimento riguardi paesi considerati non adeguati, vale quanto stabilito all’interno dell’articolo 46 del GDPR (vedi paragrafo precedente).
La compliance al GDPR nelle imprese con sede extra SEE
Passiamo al terzo quesito. Un’azienda con sede Extra SEE, ma che tratta dati personali di cittadini comunitari, dovrà comunque rispettare il GDPR?
Assolutamente sì.
In un mondo globalizzato sono tantissime le aziende che si trovano in queste condizioni. Basti pensare a giganti come Meta, Amazon e Google, solo per fare qualche esempio.
Il paragrafo 1 dell’articolo 3 del Regolamento Europeo 2016/679, d’altronde, parla molto chiaro:
“Il presente regolamento si applica al trattamento dei dati personali nell’ambito delle attività di uno stabilimento di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento abbia luogo o meno nell’Unione.“
Il considerando 101
Su questo tema è bene citare il considerando 101 del GDPR:
“I flussi di dati personali verso e da paesi al di fuori dell’Unione e organizzazioni internazionali sono necessari per l’espansione del commercio internazionale e della cooperazione internazionale. L’aumento di tali flussi ha posto nuove sfide e problemi riguardanti la protezione dei dati personali. È opportuno però che, quando i dati personali sono trasferiti dall’Unione a titolari del trattamento e responsabili del trattamento o altri destinatari in paesi terzi o a organizzazioni internazionali, il livello di tutela delle persone fisiche assicurato nell’Unione dal presente regolamento non sia compromesso“
“Il trasferimento potrebbe aver luogo soltanto se, fatte salve le altre disposizioni del presente regolamento, il titolare del trattamento o il responsabile del trattamento rispetta le condizioni stabilite dalle disposizioni del presente regolamento in relazione al trasferimento di dati personali verso paesi terzi o organizzazioni internazionali“.
I casi di applicazione
Gli ambiti di applicazione del GDPR in paesi extra SEE sono principalmente due:
- L’offerta di beni e servizi. Se un cittadino residente a Madrid acquista una mazza da baseball da un’azienda con sede a Buenos Aires, questa dovrà essere GDPR compliance.
- Il monitoraggio del comportamento. Qualsiasi sito internet deve proporre una cookie policy agli utenti. I cookie sono strumenti che tracciano l’attività di un utente all’interno del sito.
Il GDPR in ambito extra SEE non si applica quando l’attività è puramente domestica o personale, ad esempio, una mail scritta da un cittadino russo ad un amico greco non è soggetta al Regolamento.
Esso si applica, infatti, ad attività “professionali e commerciali” e in maniera più rigorosa ad aziende con più di 250 dipendenti.
Sanzioni
Ci si può chiedere, a questo punto, cosa accadrebbe se un’azienda con sede in paese extra SEE non rispettasse gli obblighi imposti dal GDPR.
Il rischio è quello di una sanzione fino a 20 milioni di Euro o, per le imprese, fino al 4% del fatturato globale annuo dell’esercizio precedente, se superiore.
Continua a seguirci
Hai trovato interessante l’articolo sulla compliance internazionale al GDPR? Condividilo con amici e colleghi. Ti ricordiamo che mettiamo a tua disposizione la demo gratuita di GENIAM Privacy, il software che ti aiuta ad essere conforme al Regolamento Europeo 2016/679.
