Dati personali trasferiti fuori dall'Unione Europea. Pronte le linee guida sui codici di condotta

Diritto

Dati personali trasferiti fuori dall'Unione Europea. Pronte le linee guida sui codici di condotta

Secondo quanto stabilito dall’Articolo 46 del Regolamento n. 679/2016 (GDPR), i titolari e i responsabili del trattamento sono tenuti a mettere in atto garanzie adeguate per il trasferimento di dati personali verso paesi terzi (non UE) o organizzazioni internazionali.

Per tale finalità, il GDPR individua le garanzie adeguate che possono essere utilizzate dalle organizzazioni internazionali, ai sensi dell’Articolo 46, per effettuare i trasferimenti di dati personali verso paesi non soggetti al GDPR nel rispetto dei principi del Regolamento n. 679.
Tra tali garanzie vengono menzionati i codici di condotta approvati dalle Autorità garanti competenti, la cui validità generale viene riconosciuta anche dalla Commissione UE.
Un codice di condotta, una volta riconosciuto come valido a livello unionale dalla Commissione Europea, può essere utilizzato da titolari o responsabili del trattamento non soggetti al GDPR ubicati in paesi terzi, al fine di fornire adeguate garanzie ai dati trasferiti verso i paesi terzi.

Tali i titolari e i responsabili del trattamento, aderendo ad un codice di condotta, sono tenuti ad applicare le regole del medesimo codici di condotta, assumendo impegni vincolanti ed esecutivi, tramite contratti o altri strumenti giuridicamente vincolanti anche con riguardo ai diritti degli interessati, come richiesto dall'articolo 40-3 del GDPR.

A tal proposito, il Comitato Europeo per la protezione dei dati personali ha adottato, il 22 febbraio 2022, la versione definitiva delle linee guida sui codici di condotta nei trasferimenti di dati personali fuori dai confini europei; tali linee guida, assieme alle Linee guida 1/2019 sui codici di condotta e sugli Organismi di monitoraggio di cui al Regolamento 2016/679, costituiscono la disciplina generale per l’adozione dei Codici di Condotta di cui all’articolo 46 del GDPR.

Cosa sono i Codici di Condotta nel GDPR

I codici di condotta sono uno strumento che può essere adottato per garantire che i trattamenti effettuati da titolari/responsabili del trattamento sono in linea con i dettami previsti dal Regolamento n. 679; i codici di condotta possono anche regolare il trasferimento di dati personali fuori dallo Spazio Economico Europeo prevedendo regole e misure adeguate di protezione affinchè nel trasferimento dei dati in paesi extra UE sia assicurato un livello di sicurezza adeguato. I codici possono essere elaborati da associazioni o altri organismi rappresentativi di categorie di titolari del trattamento o responsabili del trattamento, secondo quanto specificato dall'articolo 40-2 del Regolamento n. 679/2016.

Come indicato nelle Linee Guida 1/2019, possibili fautori di un codice di condotta possono essere associazioni di categoria e rappresentanti, organizzazioni di settore, organizzazioni accademiche e gruppi di interesse.
Secondo le stesse Linee guida n. 1/2019, i codici destinati ai trasferimenti potrebbero ad esempio essere elaborati da organismi rappresentativi di un settore (es. associazione/federazione bancaria e finanziaria, settore assicurativo), ma potrebbero anche essere redatti per settori distinti che compiono un’attività di trattamento comune, condividendo lo stesso tipo di trattamento nelle caratteristiche ed esigenze (ad es. un codice HR redatto da un’associazione/federazione di professionisti delle risorse umane o un codice sui dati dei bambini). Tali codici permetterebbero, quindi, ai titolari del trattamento e/o ai responsabili del trattamento ubicati in paesi terzi di ricevere dati personali di cittadini UE, aderendo a quel codice.

Un codice di condotta, utilizzato come strumento per i trasferimenti di dati personali fuori dal SEE, consente, in particolare, ad un determinato titolare del trattamento o responsabile del trattamento ubicato in un paese terzo di ricevere dati personali dall’Unione Europea, fornendo garanzie adeguate per più categorie di trasferimenti verso il paese terzo legati ad uno specifico settore o una determinata attività di trattamento di dati.
Inoltre, per inquadrare i propri trasferimenti nell’ambito di un codice di condotta, non è necessario che le entità che utilizzano tale codice facciano parte del medesimo gruppo d’impresa (come invece accade nel caso delle Binding Corporate Rules).
Un codice di condotta destinato ai trasferimenti di dati fuori dall’UE a cui ha aderito un importatore di dati di un terzo paese, può essere invocato dai titolari del trattamento/responsabili del trattamento soggetti al GDPR (es. esportatore di dati) per provare l’adempimento ai propri obblighi in caso di trasferimenti verso paesi terzi ai sensi del GDPR, senza la necessità che tali titolari/responsabili del trattamento che hanno sede o stabilimento nell’UE, aderiscano necessariamente a tale codice.

In altri termini, un codice di condotta destinato ai trasferimenti di dati fuori dall’Unione potrebbe applicarsi ai trasferimenti di dati anche se i titolari/responsabili del trattamento soggetti al GDPR, non hanno aderito a tale codice di condotta, purchè il titolare del trattamento/responsabile del trattamento del paese terzo importatore abbia aderito al codice, fermo restando l'impegno a rispettare gli obblighi previsti dal codice di condotta anche da parte dell’esportatore UE, quando il trattamento dei dati conferiti, ivi compreso, in particolare, con riguardo ai diritti degli interessati, è incluso in uno strumento vincolante.

Ciò significa che l’importatore di dati nel paese terzo deve aderire al codice destinato ai trasferimenti, mentre non necessariamente gli esportatori di dati soggetti al GDPR sono tenuti ad aderire a tale codice. Gruppi di società che trasferiscono dati da soggetti del SEE tenuti al rispetto del GDPR a quelli al di fuori del SEE, possono anche utilizzare un solo codice di condotta come strumento di trasferimento purchè le entità al di fuori del SEE abbiano aderito a quel codice destinato ai trasferimenti e si siano impegnate a vincolare il trasferimento ai dettami del codice.

Cosa deve contenere un codice di condotta?

Secondo quanto stabilito dalle Linee Guida del 22 febbraio 2022, un Codice di condotta dovrebbe includere le regole che un titolare/responsabile del trattamento situato nel paese terzo (l'importatore di dati) deve rispettare per assicurare che i dati personali dei cittadini UE da lui trattati in occasione del trasferimento, siano adeguatamente protetti e in linea con quanto richiesto dal Capo V del GDPR quando trattati dall’importatore di dati.

Più precisamente in termini di contenuto, al fine di fornire tutele adeguate ai dati personali trattati, un Codice di condotta dovrebbe includere:

Principi essenziali, diritti e obblighi derivanti dal GDPR per i titolari/responsabili del trattamento;
Garanzie specifiche (ad esempio rispetto a trasferimenti successivi, o conflitti con leggi nel paese terzo).

Al riguardo, vale la pena notare che un codice di condotta può essere originariamente redatto solo allo scopo di specificare i termini dell’applicazione del GDPR ai sensi dell'articolo 40-2 o anche come strumento destinato agli accreditamenti ai sensi dell'articolo 40-3. Di conseguenza, a seconda della finalità e del contenuto principale del codice, potrebbe essere necessario modificarlo per coprire tutto quanto innanzi indicato, qualora vada utilizzato come strumento per i trasferimenti.

A chiarire meglio tale punto, lo EDPB nelle sue linee guida propone l’esempio seguente:

L’Associazione ABC che riunisce le organizzazioni operanti nel settore del marketing diretto a livello dell'UE ha adottato un codice di condotta che mira a specificare l'applicazione del principio della trasparenza e i requisiti ad esso associati ai sensi del GDPR nell'ambito delle attività di trattamento per tali settore. L'Associazione desidera utilizzare questo codice di condotta come strumento per inquadrare i trasferimenti al di fuori del SEE. Nella misura in cui il codice di condotta è incentrato sul principio di trasparenza, sarebbe necessario modificarlo al fine di coprire le garanzie aggiuntive appropriate necessarie per i trasferimenti internazionali di dati personali, inserendo tutti i principi essenziali e i principali requisiti richiesti dal GDPR (diversi dalla trasparenza), nonché includere garanzie specifiche, al fine di ottenere l'approvazione di tale codice come codice destinato ai trasferimenti.

In ogni caso, in linea con i chiarimenti forniti dallo EDPB nelle sue Linee Guida 1/2019, tutti gli elementi di cui sopra dovranno essere definiti nel codice in un modo che ne faciliti l'effettiva applicazione e specifichi come si applicano in pratica allo specifico settore di attività o di trattamento.

Lo EDPB ha predisposto in merito una check-list degli elementi da inserire in un codice di condotta destinato ai trasferimenti.

Come imporre il rispetto del Codice di Condotta ai soggetti che vi hanno aderito?

Il GDPR richiede nel suo articolo 40-3 che i titolari e responsabili del trattamento non soggetti al GDPR aderiscano ad un codice destinato ai trasferimenti, gli impegni del Codice devono però essere vincolanti ed esecutivi e ciò può essere ottenuto attraverso contratti o altri strumenti giuridicamente vincolanti.
Lo EDPB ricorda che non solo il contratto può essere uno strumento valido a provare l’adesione vincolante al Codice di condotta, ma anche altri strumenti possono essere utilizzati a tale scopo, purché il titolare/i responsabili del trattamento che aderiscono al codice, siano in grado di dimostrare il carattere vincolante ed esecutivo di tali altri mezzi.

In ogni caso, l'atto deve avere natura vincolante ed esecutiva a livello giuridico e dunque ai sensi delle leggi dell’Unione europea e dovrebbe anche essere vincolante e applicabile dagli interessati in quanto terzi beneficiari.

Come chiarito precedentemente, un codice di condotta come strumento di trasferimento può applicarsi ad aderenti situati nel SEE e ad aderenti situati al di fuori del SEE.

Per quanto riguarda i membri del Codice ubicati al di fuori del SEE, è necessario garantire che il loro l'impegno a rispettare un "livello specifico di protezione dei dati" assicuri che la protezione fornita ai dati personali non pregiudichi il livello di protezione prevista dal GDPR.
Questo è un requisito imprescindibile affinchè il codice di condotta sia uno strumento efficace di trasferimento.

A tal fine, potrebbe essere stipulato un contratto dal titolare/responsabile del trattamento del paese terzo (ossia i dati importatore) con, ad esempio, l'entità che trasferisce i dati in base al codice (es. esportatore di dati). In pratica, lo EDPB suggerisce di utilizzare un contratto esistente, se del caso (ad es. un contratto di servizio tra l'esportatore e importatore o il contratto da stipulare ai sensi dell'articolo 28 GDPR nel caso in cui l’importatore sia un responsabile del trattamento) in cui potrebbero essere inseriti gli impegni vincolanti ed esecutivi ai sensi del Codice di Condotta.

Un'altra opzione potrebbe essere quella di affidarsi ad un contratto separato aggiungendo al codice destinato ai trasferimenti un contratto tipo che dovrebbe essere poi firmato, ad esempio, dai titolari del trattamento/responsabili del trattamento nel paese terzo e tutti gli altri suoi esportatori di dati.

Dovrebbe essere garantita, in ogni caso, una certa flessibilità per consentire di scegliere l'opzione più adatta a seconda della situazione specifica.

Quando il codice di condotta deve essere utilizzato anche per trattamenti che prevedono trasferimenti successivi da parte di un responsabile del trattamento a sub- responsabili del trattamento, un riferimento al codice di condotta e allo strumento di vincolo e impegni esecutivi dovrebbero essere assunti anche nel contratto con il sub-responsabile firmato tra il responsabile del trattamento e il suo responsabile del trattamento, laddove possibile.

In generale, il contratto o altro strumento utilizzato per vincolare le parti o la parte al Codice di condotta deve prevedere l'impegno del titolare/responsabile del trattamento a rispettare le regole specificate nel codice stesso destinato ai trasferimenti in caso di trattamento dei dati ricevuti. Il contratto o altro strumento dovrebbe prevedere anche meccanismi che consentano di far rispettare gli impegni in caso di violazioni da parte del titolare/responsabile del trattamento in particolare rispetto ai diritti degli interessati i cui dati saranno oggetto i trasferimenti ai sensi del GDPR.

Più in particolare, secondo quanto indicato nelle linee guida dello EDPB, il contratto o altro strumento dovrebbe includere:

un impegno a far valere i diritti degli interessati i cui dati sono trasferiti ai sensi del codice;
regolare le responsabilità in caso di violazione delle norme previste dal codice da parte degli aderenti al codice esterni al SEE.

Il Codice dovrebbe, inoltre, includere una clausola di giurisdizione in cui si precisa che gli interessati possano, in caso di violazione delle regole previste dal codice da parte di un membro del codice situato fuori del SEE condurre una causa, facendo valere il proprio diritto di terzo beneficiario, anche di natura risarcitoria, nei suoi confronti dinanzi ad un Garante del SEE e un tribunale del SEE dove l'interessato risiede abitualmente.

Inoltre, l'importatore e l'esportatore di dati dovrebbero accettare che l’interessato possa farsi rappresentare da un ente o associazione senza scopo di lucro ai sensi dell'articolo 80, paragrafo 1, del GDPR.

Occorrerebbe poi prevedere l'esistenza di un diritto per l'esportatore di far valere nei confronti dell’aderente al codice che agisce come importatore, le regole del codice in qualità di terzo beneficiario, nonché un obbligo dell'importatore di notificare all'esportatore qualsiasi violazione del codice rilevata dallo stesso aderente al codice in qualità di importatore che si trova al di fuori del SEE e delle eventuali misure correttive adottate dall’ organismo di monitoraggio in risposta a tale violazione.

Check-list degli elementi da inserire in un codice di condotta destinato ai trasferimenti

Alla luce delle garanzie previste dagli strumenti di trasferimento indicati dal GDPR e tenendo conto della sentenza Schrems II della CGUE, lo EDPB ha individuato in una check list ciò che un Codice di Condotta dovrebbe essenzialmente contenere, e quindi:

Una descrizione dei trasferimenti che devono essere coperti dal codice (natura dei dati trasferiti, categorie di interessati, paesi);
Una descrizione dei principi in materia di protezione dei dati da rispettare ai sensi del Codice (trasparenza, correttezza e liceità, limitazione delle finalità, minimizzazione e accuratezza dei dati, conservazione limitata dei dati, trattamento dei dati sensibili, sicurezza, per il rispetto degli incaricati del trattamento istruzioni del titolare del trattamento), comprese le regole sull'utilizzo di responsabili o sub-responsabili del trattamento e regole sui trasferimenti successivi;
Principio di responsabilità e misure da adottare ai sensi del codice;
L'impostazione di un'adeguata governance attraverso un DPO o altro personale preposto alla privacy in adempimento degli obblighi in materia di protezione dei dati derivanti dal codice;
L'esistenza di un adeguato programma di formazione sugli obblighi derivanti dal codice;
L'esistenza di un audit sulla protezione dei dati (da parte di revisori interni o esterni) o altro interno meccanismo di controllo sul rispetto del codice, indipendentemente dal presidio preposto svolto dall'organismo di controllo come per qualsiasi codice di condotta. Considerando che lo scopo del programma di audit è quello di garantire e dimostrare il rispetto del codice, l'obiettivo di un audit effettuato dall'organismo di monitoraggio è quello di valutare se il richiedente dichiarato inizialmente idoneo ad aderire al codice, continua ad essere idoneo una volta iscritto e se sono necessarie sanzioni in caso di infrazioni;
Misure di trasparenza, compreso un facile accesso, per quanto riguarda l'uso del codice in particolare con rispetto dei diritti di terzi beneficiari;
La fornitura dei diritti di accesso, rettifica, cancellazione, limitazione, notifica all'interessato in materia di rettifica o cancellazione o limitazione, opposizione al trattamento, diritto di non essere soggetto a decisioni basate unicamente su trattamenti automatizzati, compresa la profilazione come quelle previste dall'art Articoli 12, 13, 14, 15, 16, 17, 18, 19, 21 e 22 GDPR;
Il rispetto dei diritti di terzi beneficiari come gli interessati (oltre alla possibilità di proporre reclamo all’autorità garante competente e davanti ai tribunali del SEE);
L'esistenza di un adeguato processo di gestione dei reclami;
La garanzia che, al momento dell’adesione al codice, non esista per il titolare/responsabile del trattamento del paese terzo nessun motivo per ritenere che le leggi applicabili al trattamento dei dati personali gli impediscano di adempiere agli obblighi previsti dal codice e/o di attuare quanto richiesto dalla Sentenza Schrems della Corte (Grande Sezione) del 16 luglio 2020;
Dopo una consultazione pubblica, ove necessario la possibilità di prevedere, insieme all'esportatore, misure supplementari per garantire il necessario livello di protezione ai sensi del diritto del SEE;
Inoltre, una descrizione dei passi da compiere (inclusa la notifica all'esportatore nel SEE e l’attuazione di misure adeguate e supplementari), nel caso in cui, dopo aver aderito al codice, il titolare/responsabile del trattamento del paese terzo venga a conoscenza di una normativa del Paese terzo che gli impedisca di osservare il codice, compresa l’indicazione dei provvedimenti da adottare nel caso di accessi ai dati richiesti dal governo del paese terzo;
I meccanismi di gestione delle modifiche al codice;
Le conseguenze del recesso di un aderente dal codice;
Un impegno per l’aderente al codice e per l'organismo di monitoraggio a cooperare con i Garanti europei;
Un impegno per l’aderente al codice di accettare di soggiacere alla giurisdizione dei Garanti europei e dei tribunali SEE in qualsiasi procedura tesa a garantire il rispetto del codice di condotta;
I criteri di selezione dell'organismo di monitoraggio per dimostrare che lo stesso abbia il livello di competenza necessario a svolgere il proprio ruolo.

In ogni caso, va rilevato che tali elementi costituiscono garanzie minime eventualmente necessarie da integrare con impegni e misure aggiuntivi a seconda del trasferimento in questione effettuato in base al codice di condotta.

Lo EDPB si riserva di fornire ulteriori indicazioni sui requisiti dei Codici di Condotta.