Trasferimento dati all’estero: a cosa prestare attenzione
22 Settembre 2022 in Audit & Compliance
Nel corso degli ultimi anni, si assiste a una crescente internazionalizzazione di molteplici aspetti connessi all’operatività aziendale, prima fra tutti la gestione dei dati personali. Si tratta di un tema che coinvolge su più fronti sia le società che si trovano a operare al di fuori dello Spazio Economico Europeo, sia le società che, invece, hanno sede in Paesi Extra-UE ma sono attive in Italia, oltre ai grandi gruppi internazionali che si muovono in diversi stati, europei e non.
Le società a carattere internazionale, in particolar modo, sono chiamate ad adottare politiche di trattamento dei dati che siano coerenti sia con la normativa applicabile nel paese in cui hanno la sede legale, sia con la normativa dei diversi Paesi con cui si trovano ad operare. In tale contesto, essenziale è la corretta gestione dei trasferimenti di dati personali, oggetto non solo delle diverse regolamentazioni internazionali ma anche di numerosi provvedimenti delle Autorità, anche a carattere sanzionatorio.
Appare fondamentale, dunque, specialmente per le società che operano in settori data-based come il marketing, che venga attuata una serie di attività volte ad assicurare la conformità dei trasferimenti di dati posti in essere alle diverse prescrizioni normative vigenti, spesso molto diverse fra loro, e a preservare il controllo sui dati oggetto del trasferimento.
Trasferimento dati all’estero: cosa succede a livello extra UE e internazionale
La tematica di cui qui si discute costituisce, come detto, uno dei profili di criticità più rilevanti a livello internazionale, soprattutto in virtù della necessità di conciliare quanto previsto dal GDPR con le specifiche previsioni contenute nella normativa di settore estera e nelle singole leggi nazionali, di volta in volta applicabili al trattamento.
Dette normative, oltre a presentare una serie di differenze e incompatibilità, presentano dei profili di complessità anche sotto il profilo dell’interpretazione, derivando da impianti legislativi e prassi differenti.
A ciò si aggiunga la circostanza per cui alcuni paesi non possano essere considerati sicuri per il trasferimento dei dati, richiedendo l’implementazione di specifiche misure di sicurezza – anche legali, ai sensi di quanto disposto dal Capo V del GDPR – volte a impedire che possa esserci una perdita di controllo sui dati oggetto del trasferimento e a legittimare il trasferimento medesimo.
Ne consegue che si rende necessario per il Titolare eseguire una serie di valutazioni, sia tecniche che normative, circa la possibilità di attuare il trasferimento di dati all’estero e le modalità tramite cui riuscire a garantire l’aderenza dello stesso alle prescrizioni normative, di volta in volta applicabili.
Trasferimento dati all’estero: 6 adempimenti essenziali da tenere a mente
Alla luce di quanto esposto, è possibile individuare una serie di attività essenziali che il Titolare dovrà porre in essere, tramite l’ausilio di personale o consulenti specializzati sul tema che siano anche dotati di competenze trasversali, giuridiche, organizzative e informatiche:
- analisi delle necessità del Titolare, anche in relazione allo specifico modello di business adottato e agli obiettivi che la Società intende perseguire;
- analisi della normativa applicabile ai dati nel Paese di destinazione del trasferimento e della compatibilità con le prescrizioni richieste dal GDPR (si pensi, a tal riguardo, alle decisioni che hanno fatto seguito alla Sentenza Schrems II e al venir meno della decisione di adeguatezza per i trasferimenti verso la Russia);
- individuazione delle misure di sicurezza – tecniche e organizzative – adeguate a mantenere il “controllo” dei dati oggetto di trasferimento: l’immaterialità del dato, infatti, lo espone ad elevatissimi rischi di diffusione nel caso in cui non siano attuate idonee politiche di mappatura dei flussi e dei server ove i dati saranno collocati;
- formalizzazione di accordi, ove necessario, che disciplinino compiti e responsabilità delle parti coinvolte nel trasferimento dei dati, conformemente alla struttura organizzativa del Titolare, secondo quanto previsto al Capo V del GDPR;
- monitoraggio del trattamento e costante adeguamento dello stesso alle modifiche normative e alle prassi di settore.