Tempo di lettura stimato: 3'
Quando parliamo di Standard Security Clauses (SSC) o clausole standard di sicurezza, siamo nel contesto del trasferimento di dati personali all’estero, che è consentito solo se i dati vengono spostati effettivamente in condizioni di sicurezza, altrimenti non si può fare.
Ma all’estero dove e rispetto a cosa: all’Italia o all’Unione Europea?
Il quadro è quello del GDPR, quindi per estero intendiamo il trasferimento di dati personali verso i Paesi che non appartengono allo Spazio Economico Europeo, cioè quelli che non rientrano nell’area che comprende i Paesi dell’UE + Norvegia, Liechtenstein e Islanda, o verso un’organizzazione internazionale.
Prima di capire cosa sono le clausole standard di sicurezza e perché è importante conoscerle - soprattutto quando si sceglie un responsabile esterno - dobbiamo chiarire una differenza importante: il trasferimento dei dati all’estero non è un trasferimento transfrontaliero dei dati.
Trasferimento dei dati all’estero VS trasferimento transfrontaliero dei dati: c’è differenza
Il trasferimento transfrontaliero dei dati è un trasferimento all’interno dell’Unione europea.
Quindi, passare un dato personale dal Piemonte a Parigi è come passare il dato dal Piemonte alla Lombardia, non cambia nulla. Infatti, essendo tutti parte dell’Unione Europea, gli Stati sono reputati adeguati, perché il GDPR vale in tutti i Paesi membri dell’UE, anche se non è detto che venga applicato con la stessa solerzia e con lo stesso rigore ovunque. Diciamo però che puoi trasferire dati in un altro Paese dell’Unione senza metterti troppi pensieri.
Invece, se il dato viene trasferito al di fuori dell’Unione Europea, le cose si complicano.
Trasferimento dei dati all’estero: la White List dei Paesi adeguati
L’articolo 45 del GDPR ci dice che i trasferimenti di dati personali verso Paesi che non appartengono allo Spazio Economico Europeo o verso un’organizzazione internazionale sono consentiti, a condizione che l’adeguatezza del Paese terzo o dell’organizzazione sia riconosciuta, tramite decisione della Commissione europea.
Quindi la Commissione decide quali Stati garantiscono un livello di protezione adeguato e poi monitora periodicamente – almeno ogni 4 anni – se è ancora così.
Sulla base di quali criteri l’Unione Europea decide se un Paese estero è adeguato o meno? Sulla base delle norme in materia di privacy che ha adottato, agli impegni internazionali che ha sottoscritto, a come vengono applicate e rispettate queste norme. Se risulta adeguato, la Commissione lo inserisce nella sua White List, che in questo momento comprende solo 15 Paesi e territori.
La White List però non è scolpita nella pietra.
Per esempio, adesso – nell’istante esatto in cui scriviamo - in lista c’è l’Argentina. Ma se domani l’Argentina si sveglia con un golpe e fa in modo che la tutela dei diritti umani e gli impegni internazionali assunti decadano, cosa succede? Succede che la Commissione europea può tranquillamente e immediatamente sospendere la decisione di adeguatezza o addirittura arrivare a revocarla.
E per i Paesi che non rientrano nella White List?
Il trasferimento è consentito se il titolare o il responsabile del trattamento forniscono garanzie adeguate, perché, se trasferiamo i dati personali a Timbuctù e Peppino, l’interessato di cui stiamo trasferendo i dati, ci chiama e ci dice: “Oh, vorrei sapere se state trasferendo i miei dati all’estero e dove”, non basta dirgli “Stanno a Timbuctù”, dobbiamo anche spiegargli perché li abbiamo trasferiti lì e su quale base.
Dobbiamo tutelare Peppino e dargli la possibilità di far valere i suoi diritti.
È un obbligo, non è una possibilità.
Oltretutto, se c’è un Data Breach e i dati personali vengono rubati e venduti, non è mica detto che le Autorità del Paese estero in cui abbiamo fatto il trasferimento siano disposte a collaborare.
Per cui bisogna fare molta attenzione.
Paesi fuori dalla White List e Standard Security Clauses
Se un Paese è fuori dallo Spazio Economico Europeo e fuori dalla White List, il trasferimento di dati è consentito, ma a condizione che il titolare o il responsabile del trattamento dia delle garanzie adeguate. Garanzie che possono essere di diverso tipo.
Una delle possibilità sono le Standard Security Clauses, cioè delle clausole contrattuali, incluse nel contratto relativo al trasferimento dei dati, in cui le parti si impegnano a garantire che le informazioni personali saranno trattate secondo i princìpi del GDPR, anche nel Paese estero in cui vengono trasferite.
Articolo tratto dall’intervento del Dottor Gianrico Gambino su RAISE Academy.
Questo era solo un assaggio!
La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.