Quando parliamo di Standard Security Clauses (SSC) o clausole standard di sicurezza, stiamo parlando nell’ambito del trasferimento di dati personali all’estero, che è consentito solo se i dati vengono spostati effettivamente in condizioni di sicurezza, altrimenti non si può fare.
Ma cosa si intende per estero? dobbiamo riferirci ai confini nazionali Italiani o quelli dell’Unione Europea?
Il quadro di riferimento è quello del GDPR, quindi per estero intendiamo il trasferimento di dati personali verso i Paesi che non appartengono allo Spazio Economico Europeo, cioè quelli che non rientrano nell’area che comprende i Paesi dell’UE + Norvegia, Liechtenstein e Islanda, o verso un’organizzazione internazionale.
Prima di capire cosa sono le clausole standard di sicurezza e perché è importante conoscerle – soprattutto quando si sceglie un responsabile esterno – dobbiamo chiarire una differenza importante: il trasferimento dei dati all’estero non è un trasferimento transfrontaliero dei dati.

Trasferimento dei dati all’estero VS trasferimento transfrontaliero dei dati: quali sono le differenze

Il trasferimento transfrontaliero dei dati riguarda solo un trasferimento all’interno dell’Unione europea.
Quindi, passare un dato personale dal Piemonte a Parigi è come passare il dato dal Piemonte alla Lombardia, non cambia nulla. Infatti, essendo tutti parte dell’Unione Europea, gli Stati sono reputati adeguati, perché il GDPR vale in tutti i Paesi membri dell’UE, anche se non è detto che venga applicato con lo stesso rigore nei vari paesi.

Invece, se il dato viene trasferito al di fuori dell’Unione Europea, le cose si complicano e si entra nell’ambito del trasferimento di dati all’estero.

Trasferimento dei dati all’estero: la White List dei Paesi adeguati

Il primo aspetto da considerare è quanto riportato dall’articolo 45 del GDPR che recita che i trasferimenti di dati personali verso Paesi che non appartengono allo Spazio Economico Europeo o verso un’organizzazione internazionale sono consentiti, a condizione che l’adeguatezza del Paese terzo o dell’organizzazione sia riconosciuta, tramite decisione della Commissione europea.
Quindi la Commissione decide quali Stati garantiscono un livello di protezione adeguato e poi monitora periodicamente – almeno ogni 4 anni – se è ancora così.

Quali sono i criteri in base ai quali l’Unione Europea decide se un Paese estero è adeguato o meno? Le decisoni vengono prese sulla base:

  • delle norme in materia di privacy che ha adottato,
  • degli impegni internazionali che ha sottoscritto,
  • di come vengono applicate e rispettate queste norme.

Se il Paese risulta adeguato, la Commissione lo inserisce nella sua White List, che in questo momento comprende solo 15 Paesi e territori. Ma la White List non è immodificabile nel tempo.

Per esempio, adesso in lista c’è l’Argentina. Se durante la valutazione o successivamente dovessero succedere accadimenti che non permettano l’adeguatezza del paese, la Commissione europea può tranquillamente e immediatamente sospendere la decisione di adeguatezza o addirittura arrivare a revocarla.
E per i Paesi che non rientrano nella White List?
Il trasferimento è consentito se il titolare o il responsabile del trattamento forniscono garanzie adeguate, per loro è un OBBLIGO tutelare i diritti dell’interessato e devono anche spiegargli perché li hanno trasferiti lì, su quale base e dargli la possibilità di far valere i suoi diritti.
In molti paesi esclusi dalla White List le Autorità del Paese estero in cui abbiamo fatto il trasferimento spesso non sono disposte a collaborare in caso di un Data Breach, per cui bisogna fare molta attenzione.

Paesi fuori dalla White List e Standard Security Clauses

Se un Paese è fuori dallo Spazio Economico Europeo e fuori dalla White List, il trasferimento di dati è consentito, ma a condizione che il titolare o il responsabile del trattamento dia delle garanzie adeguate. Garanzie che possono essere di diverso tipo.
Una delle possibilità sono le Standard Security Clauses, cioè delle clausole contrattuali, incluse nel contratto relativo al trasferimento dei dati, in cui le parti si impegnano a garantire che le informazioni personali saranno trattate secondo i princìpi del GDPR, anche nel Paese estero in cui vengono trasferite.
Ecco il link al Sito del Garante per la protezione dei dati personali per la definizione dei trasferimenti dei dati all’estero (CLICCA QUI)
Articolo tratto dall’intervento del Dottor Gianrico Gambino su RAISE Academy.
Questo era solo un assaggio!
FONTE: PrivacyLab BLOG: di Andrea Chiozzi – socio fondatore e CEO di PRIVACYLAB SRL –
Adattamento: N4B SRL
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.