| Il Garante ha autorizzato l’utilizzo delle clausole-tipo (elaborate dalla Commissione europea) per regolare il trasferimento di dati ad un responsabile del trattamento insediato in un Paese al di fuori dall’Unione Europea.
Approfondimenti
A seguito della nuova decisione della Commissione europea (1), il Garante ha autorizzato dal 15 maggio scorso le nuove clausole tipo (che sostituiscono le precedenti del 2002) da utilizzare per permettere il trasferimento da un titolare situato in Italia verso responsabili del trattamento stabiliti in Paesi terzi extra UE che non garantiscano un livello di protezione dei dati adeguato.
La Decisione della Commissione
La Commissione CE, già in passato, con propria deliberazione del 2001, aveva individuato le clausole contrattuali tipo da rispettare per poter effettuare il trasferimento (2). Ora la Commissione è intervenuta nuovamente sul tema con una nuova decisione (che abroga la precedente), fissando le clausole-tipo da adottare per regolare il trasferimento di dati. La nuova decisione regola anche l’ipotesi del trasferimento dei dati dal destinatario del Paese terzo (l’“importatore”) ad un ulteriore responsabile del trattamento stabilito in un Paese terzo (“subincaricato”).
Il trasferimento dei dati extra UE secondo il Codice della privacy
Il Codice in materia di protezione dei dati personali (3) individua i diversi casi nei quali è ammesso il trasferimento dei dati personali fuori dall’Unione Europea. Fra le varie ipotesi, viene anche prevista l’autorizzazione del Garante per il trasferimento regolato da accordi contrattuali tra l'”esportatore” di dati residente nell’Unione e l'”importatore” di dati situato in un Paese extra UE che non garantisca un livello di protezione dei dati adeguato.
Con propria deliberazione (4) il Garante ha quindi autorizzato i trasferimenti di dati personali dal territorio dello Stato verso Paesi non appartenenti all’Unione Europea effettuati sulla base ed in conformità alle clausole contrattuali tipo previste dalla Commissione europea. In questo modo, i trasferimenti di dati personali da parte di un’azienda con sede nel territorio italiano verso filiali (o controllanti, controllate o collegate) con sede in Paesi extra UE privi di normative che consentano un adeguato livello di protezione dei dati stessi, vengono dal Garante autorizzati in via generale se effettuati sulla base ed in conformità delle clausole contrattuali tipo sopra citate.
Ricordiamo, peraltro, che il Codice in materia di protezione dei dati personali (3) elenca altre ipotesi ai sensi delle quali il trasferimento dei dati verso Paesi extra UE viene ammesso anche senza l’adozione di specifiche clausole contrattuali.
La norma transitoria
Sebbene la nuova delibera del Garante abroghi la precedente del 2002, tuttavia, in via generale, rimangono validi i contratti già stipulati sulla base delle precedenti clausole tipo.
Note
(1) Decisione 2010/87/UE del 5 febbraio 2010.
(2) Decisione 2002/16/CE del 27 dicembre 2001.
(3) Più in particolare gli articoli 43 e 44 del D.lgs. n.196/2003.
(4) Deliberazione del 27 maggio 2010 (pubblicata in G.U. n.141 del 19 giugno 2010).
Clausole per trasferimento dati all’estero.2010 |
