Il trasferimento di dati personali all’estero verso un fornitore di servizi o un’entità estera afferente al gruppo di cui siete parte deve essere oggetto di attenta valutazione e di conseguente regolamentazione. Premesso che per qualsiasi trasferimento di dati verso un qualsivoglia outsourcer o shared service di gruppo richiede l’impostazione di un sistema di nomine di privacy, la normativa nazionale e comunitaria addossa al Titolare che trasferisce i dati – data exporter –  verso un soggetto terzo residente in paese extra-europeo – data importer – la responsabilità di individuare i corretti strumenti per la legittimazione di un trasferimento verso un paese terzo che non vanti una normativa di privacy ritenuta adeguata dalle istituzioni comunitarie (tali problematiche non si pongono, viceversa, qualora la UE abbia classificato come essentially equivalent la normativa del “paese terzo” rispetto a quella europea).

Qualora il “paese terzo” non abbia beneficiato di una Decisione di Adeguatezza, il flusso extra-europeo potrà ritenersi lecito soltanto se, alternativamente:

1. in caso di trasferimenti infra-gruppo, le società del Gruppo abbiano sottoscritto specifiche Binding Corporate Rules (BCR) ossia specifiche regole vincolanti eventualmente approvate da un’Autorità Garante “capofila” della UE o, comunque, dal Garante Italiano;
2. data exporter e data importer abbiano sottoscritto apposite Standard Contractual Clasuses (SCC) di cui all’allegato alla Decisione della Commissione Europea del 5/2/2010;
3. data exporter e data importer abbiano richiesto ed ottenuto apposita approvazione dal Garante circa garanzie contrattuali pari o superiori a quelle da rendersi tramite le summenzionate procedure;
4. il Titolare ottenga consenso espresso e specifico di tutti gli interessati (soluzione non consigliabile perché un solo diniego potrebbe guastare l’integrità del flusso di output con gravi ricadute operative);
5. qualora il destinatario sia statunitense, esso abbia aderito al EU-USA Privacy Shield ossia a quel meccanismo (sostitutivo del Safe Harbor Agreement dichiarato invalido dalla Corte di Giustizia Europea nell’ottobre 2015) che impone al soggetto ricevente di assumere obblighi tali da garantire, almeno nelle intenzioni, agli interessati tutele pari a quelle garantite nel continente.

Sono questioni complesse, in cui sovente si deve tener conto del ruolo svolto da terzi ulteriori (ad es. quello del subfornitore a suo volta extra-UE), che necessitano senza dubbio di una competenza specialistica e qualificata. Il team di Privacy.it è pronto a rendere le vostre attività di data transfer conformi alla normativa:

• analizzando le caratteristiche dei flussi ed individuando lo strumento di legittimazione più adeguato;
• se lo desiderate, interagendo con i vostri interlocutori esteri per spiegare “perché e come” è necessario che essi collaborino su queste tematiche;
• producendo tutta la documentazione necessaria in maniera comprensibile, organica e coordinata con le procedure e i contratti riconnessi all’attività che origina il trasferimento dei dati.

La nostra piena padronanza della lingua inglese potrà, inoltre, rivelarsi elemento di grande utilità nella gestione dei rapporti coi terzi e nell’analisi o stesura di atti negoziali.