I dati personali non possono essere comunicati all’estero senza una protezione adeguata. Proprio in questo momento entra in gioco l’IFPDT che ha la facoltà di pubblicare un elenco di contratti modello e di clausole contrattuali standard.
Riprendendo i concetti espressi nei mese scorsi (si veda articolo del settembre 2020), con specifico riferimento alla giurisprudenza della Corte di giustizia dell’Unione europea (CGUE) in materia di protezione dei dati, che ha invalidato il Privacy shield, meccanismo di autocertificazione con il quale le aziende ubicate in USA certificavano un livello di protezione dei dati equivalente agli standard europei per i dati ivi trasferiti, vediamo di seguito quali sono le attività da svolgere, ai sensi della LPD, nel caso in cui un titolare del trattamento ubicato in Svizzera voglia veicolare / comunicare i dati al di fuori della Svizzera.
Le parole della Legge federale sulla protezione dei dati svizzera LPD
Il testo della LPD prevede, in apposito articolo rubricato “Comunicazione di dati all’estero” le regole in forza delle quali i dati personali possono essere comunicati all’estero. Di seguito il testo dell’articolo in esame:
“1. I dati personali non possono essere comunicati all’estero qualora la personalità della persona interessata possa subirne grave pregiudizio, dovuto in particolare all’assenza di una legislazione che assicuri una protezione adeguata.
2. Se manca una legislazione che assicuri una protezione adeguata, dati personali possono essere comunicati all’estero soltanto se:
a. garanzie sufficienti, segnatamente contrattuali, assicurano una protezione adeguata all’estero;
b. la persona interessata ha dato il suo consenso nel caso specifico;
c. il trattamento è in relazione diretta con la conclusione o l’esecuzione di un contratto e i dati trattati concernono l’altro contraente;
d. nel caso specifico la comunicazione è indispensabile per tutelare un interesse pubblico preponderante oppure per accertare, esercitare o far valere un diritto in giustizia;
e. nel caso specifico la comunicazione è necessaria per proteggere la vita o l’incolumità fisica della persona interessata;
f. la persona interessata ha reso i dati accessibili a chiunque e non si è opposta formalmente al loro trattamento;
g. la comunicazione ha luogo all’interno della stessa persona giuridica o società oppure tra persone giuridiche o società sottostanti a una direzione unica, sempreché emittente e destinatario sottostiano a regole sulla protezione dei dati che assicurano una protezione adeguata.
3. L’Incaricato federale della protezione dei dati e della trasparenza (art. 26) deve essere informato sulle garanzie date conformemente al capoverso 2 lettera a e sulle regole di protezione dei dati conformemente al capoverso 2 lettera g. Il Consiglio federale regola i dettagli di questo obbligo di informare”.
Comunicazione di dati all’estero: in USA
Ipotizzando il caso di una comunicazione di dati all’estero, in USA, presso un provider di servizi (data processor) che tratta i dati per conto di un titolare del trattamento svizzero come possiamo operare? Quali sono gli step da compiere?
- verificare che il paese verso il quale i dati vengono veicolati rientri nell’elenco dei paesi provvisti di una legislazione che assicuri una protezione adeguata.
La verifica può essere effettuata consultando la lista dei paesi, provvisti di una legislazione che assicuri una protezione adeguata, presente sul sito dell’IF. Per contestualizzare la tematica all’esempio in oggetto, gli USA non rientrano in tale lista.
Cosa può fare dunque il titolare del trattamento?
- in assenza di una legislazione che assicuri una protezione adeguata, verifichiamo quali altri strumenti possono essere utilizzati per determinare le garanzie sufficienti a garantire uno standard di sicurezza rispetto a tale comunicazione di dati all’estero.
Il Titolare può dunque utilizzare e avvalersi, come previsto dall’art. 6 CPV 2 lettera a) della LPD sopra riportato,di “garanzie sufficienti, segnatamente contrattuali, assicurano una protezione adeguata all’estero” o utilizzare gli altri strumenti previsti dal medesimo articolo.
Garanzie “sufficienti, segnatamente contrattuali […]” in tal senso possono ad esempio risultare da una normativa alla quale si sottopongono le persone o gli organi federali che si scambiano i dati.
I contratti modello pubblicati dall’IFPDT
L’IFPDT ha la facoltà di pubblicare un elenco di contratti modello e di clausole contrattuali standard che ha predisposto oppure che ha riconosciuto.
Sono considerati contratti modello riconosciuti per la trasmissione di dati all’estero:
- le clausole contrattuali standard dell’Unione europea disponibili e scaricati sul sito della Commissione Europea;
- il contratto modello del Consiglio d’Europa per la garanzia di un’adeguata protezione nell’ambito del flusso di dati transfrontaliero;
- Il contratto modello dell’IFPDT per l’esternalizzazione (outsourcing) di trattamenti di dati all’estero.
Il contratto modello dell’IFPDT per l’esternalizzazione (outsourcing) di trattamenti di dati all’estero
Uno degli strumenti applicabili nell’esempio di cui sopra è proprio l’utilizzo del contratto modello dell’IFPDT per l’esternalizzazione (outsourcing) di trattamenti di dati all’estero.
Questo contratto vale esclusivamente per la trasmissione di dati all’estero in vista di un’esternalizzazione secondo la LPD.
Quali sono i principi di cui all’articolo sopra menzionato?
“Il trattamento di dati personali può essere affidato a terzi mediante convenzione o per legge se:
– non è diverso da quello che il mandante stesso avrebbe il diritto di fare;
– nessun obbligo legale o contrattuale di mantenere il segreto lo vieta.
Il mandante deve in particolare assicurarsi che il terzo garantisca la sicurezza dei dati.
Il terzo può far valere gli stessi motivi giustificativi del mandante.”
In caso di esternalizzazione dunque, lo scopo del trattamento dei dati resta immutato (il mandante e il mandatario trattano i dati allo stesso scopo).
Il mandante resta sempre l’unico detentore della collezione di dati, poiché è colui che decide esclusivamente in merito allo scopo e al contenuto di quest’ultima.
Tali clausole contrattuali devono comprendere tutti gli elementi rilevanti di una comunicazione di dati: identità dell’emittente e del destinatario, categorie dei dati da trasmettere, scopo della trasmissione, categorie delle persone interessate, destinatari definitivi e durata della conservazione dei dati e devono chiaramente rispettare i principi in materia di protezione dei dati prevedendone un costante monitoraggio e aggiornamento, se necessario.
Se la comunicazione riguarda dati particolarmente degni di protezione o profili della personalità, occorre prevedere clausole contrattuali supplementari atte a garantire sicurezza e riservatezza. Da ultimo, nel rispetto di quanto previsto dall’articolo della LPD rubricato “Comunicazione di dati all’estero”, ultimo capoverso, l’incaricato federale della protezione dei dati e della trasparenza deve essere informato sulle garanzie date ai fini della comunicazione di dati all’estero.
Articolo a cura di Roberta De Giusti | Data Protection Consultant, Privacy Desk Suisse
