L’internazionalizzazione è in crescita costante e le aziende sono portate sempre più spesso al trasferimento dei dati personali all’interno dell’Unione Europea e in campo internazionale. Questa tendenza ha portato ad inserire all’interno del Nuovo Regolamento Europeo in materia di protezione dei dati personali un intero capitolo che va ad analizzare tutti i casi in cui le informazioni lasciano la loro sede di origine.
Quando si trattano argomenti di tipo burocratico, bisogna prestare particolare attenzione alla terminologia utilizzata. Per questo motivo, è bene fare una distinzione tra i concetti di: trattamento, comunicazione e diffusione dei dati.
Con il termine trattamento si intende tutto l’iter che coinvolge informazioni a partire dalla raccolta, passando per elaborazione, conservazione, trasmissione e confronto dei dati, fino ad arrivare alla distruzione degli stessi. Con comunicazione dei dati personali, invece, si intende il processo con il quale un soggetto trasferisce dati personali ad altro soggetto (anche solo permettendogli di vederli).
Infine, il termine diffusione va ad indicare la divulgazione di dati personali attraverso i media come la stampa, i social, la televisione, internet ed altri (in sostanza non si conosce chi vedrà queste informazioni).
Vuoi sapere quali sono gli adempimenti previsti dalla nuova normativa europea sulla privacy?
Clicca qui e scarica gratuitamente la nostra checklist!
Per quanto riguarda la gestione del traffico di dati, la politica UE è tendenzialmente di stampo protezionista. In sostanza, l’Unione Europea parte dal presupposto che ci si possa “fidare” solamente delle leggi comunitarie in materia di trattamento e trasferimento dei dati personali. Non avendo il diretto controllo sulla legislazione in materia di privacy di altri Paesi extraeuropei, infatti, l’UE non considera privo di rischi la trasmissione dei dati in questi Paesi.
Già presente nella Direttiva 95/46/CE la libera circolazione dei dati tra gli Stati membri, seppur con alcuni accorgimenti procedurali/documentali, viene riconfermata anche all’interno del testo della nuova normativa General Data Protection Regulation (UE 2016/679). L’Unione Europea, dunque, cerca di limitare trattamento e comunicazione delle informazioni solo all’interno della comunità.
Nel caso in cui non si possa fare a meno di trasferire i dati personali del proprio database in Paesi extra-UE, esistono diverse soluzioni per condividere le informazioni raccolte in sicurezza grazie ad alcuni accordi internazionali.
La prima possibilità è molto semplice: bisogna chiedere il consenso ai diretti interessati. Chiedere l’approvazione per il trattamento, la comunicazione e la diffusione dei dati personali è un must in ogni caso ma, nel caso di trasferimenti extraeuropei, bisogna presentare una richiesta specifica.
Nella richiesta è necessario inserire, oltre allo scopo per cui verranno utilizzati i dati e in che modo verranno trattati, anche le garanzie a tutela dei soggetti coinvolti, soprattutto quando la legislazione del Paese di arrivo non presenti un livello di tutela adeguato.
Esiste un’opzione dedicata a multinazionali che hanno sedi in Europa ed in altri Paesi extraeuropei: in questo caso è possibile stipulare una policy di gruppo e, successivamente, farla approvare dal Garante della sede principale e degli altri paesi europei ove risiedono le varie sedi. Così si potrà facilitare la circolazione delle informazioni all’interno di tutte le sedi della multinazionale senza dover richiedere l’autorizzazione ogni volta.
Un’altra opzione, per quanto riguarda gli adempimenti privacy, è rappresentata dal Data Export Agreement, strumento elaborato dalla Commissione UE e che viene stipulato tra esportatore europeo e importatore extra-UE. Questo accordo risulta particolarmente comodo per chi trasferisce i propri dati sempre agli stessi partner.
Un’eccezione è rappresentata dai trasferimenti di dati tra UE e Stati Uniti. Questi sono possibili solo a patto che l’importatore abbia aderito al programma Privacy Shield, un accordo stipulato tra Unione Europea e USA che pone delle limitazioni nell’utilizzo dei dati e un monitoraggio annuale delle attività portate avanti.
Il Garante è un organo nominato dal Parlamento ogni sette anni - senza possibilità di rinnovo del mandato - che si occupa della tutela dei dati. Non solo l’Italia ha questo organo, ogni Stato europeo ne ha uno e questo viene nominato internamente al Paese stesso.
Quali sono gli incarichi principali del Garante sulla Protezione dei Dati Personali? Innanzitutto si occupa di proporre norme e modifiche ai regolamenti in vigore alle autorità competenti. Uno dei suoi compiti fondamentali è quello di controllare il rispetto delle normative attraverso ispezioni ed è incaricato, inoltre, di comminare sanzioni in caso di infrazioni.
Infine, in materia di trasferimento dei dati personali, il Garante ha il preciso dovere di tutelare l’Interessato (soggetto cui i dati si riferiscono) supervisionando ogni attività che preveda la comunicazione/diffusione dei suoi dati personali ad opera di un qualunque Titolare.