Trasferimenti internazionali di dati: come inviare dati all'estero ai sensi del GDPR del Regno Unito?

Come parte di un mercato globale interconnesso e in continua evoluzione, è probabile che la tua azienda debba inviare dati all'estero per svolgere molte delle sue attività commerciali quotidiane. Dopo l'implementazione del GDPR del Regno Unito, molti di questi trasferimenti saranno probabilmente considerati un "trasferimento di dati limitato". Ecco tutte le informazioni di cui hai bisogno per continuare a inviare dati all'estero in base al nuovo regolamento:

Il trasferimento dati che stai effettuando è un trasferimento limitato?

Se la tua azienda invia dati a un paese ricevente che non è coperto dal GDPR del Regno Unito ma i dati che stai trasferendo lo sono, allora effettuerai un trasferimento limitato. Se il destinatario è un'entità legale separata dalla tua, anche se fa parte dello stesso gruppo aziendale, questo rientrerà comunque in un trasferimento limitato.

Tuttavia, se invii dati personali a un individuo impiegato nella tua organizzazione ma che si trova in un paese diverso, questo non sarà considerato un trasferimento di dati limitato, poiché non stai inviando dati al di fuori della tua azienda.

Il Paese in cui stai trasferendo i dati personali è coperto dalle normative di adeguatezza?

Una decisione di adeguatezza significa che il paese in cui stai trasferendo i dati è ritenuto avere lo stesso standard di protezione dei dati e quadro giuridico di quello coperto dal GDPR del Regno Unito. In questi casi, non dovresti preoccuparti di implementare misure di salvaguardia e puoi trasferire liberamente tra questi territori. Un regolamento di adeguatezza stabilisce semplicemente questo fatto per legge.

Di seguito è riportato un elenco dei paesi e territori per i quali il Regno Unito attualmente dispone di normative di adeguatezza:

Decisioni di piena adeguatezza:

• Paesi UE (Austria, Belgio, Bulgaria, Croazia, Cipro, Repubblica Ceca, Danimarca, Estonia, Finlandia, Francia, Germania, Grecia, Ungheria, Irlanda, Italia, Lettonia, Lituania, Lussemburgo, Malta, Paesi Bassi, Polonia, Portogallo, Romania, Slovacchia, Slovenia, Spagna, Svezia)
• Paesi EFTA (Islanda, Norvegia, Liechtenstein)
• Andorra,
• Argentina,
• Gibilterra
• Guernsey,
• Isola di Man,
• Israele,
• Maglia,
• Nuova Zelanda,
• Svizzera, e
• Uruguay.

Decisioni di adeguatezza parziale:

• Giappone e
• Canada

Cosa succede se il Paese in cui trasferisco i dati personali non è presente in tale elenco?

Qui è dove ci si aspetta che tu implementi le "adeguate misure di sicurezza" che ti consentiranno di trasferire i dati personali in un altro territorio al di fuori dell'elenco.

Le misure di sicurezza disponibili nel tuo arsenale sono le seguenti:

1. Strumenti giuridici stipulati tra enti pubblici che contengono “adeguate garanzie”

Sebbene il GDPR del Regno Unito non definisca cosa sia un ente pubblico, di solito descrive gli enti governativi che intraprendono determinate misure per l'interesse pubblico. Una "tutela appropriata" ai sensi di questo consentirebbe "diritti esecutivi" e "rimedi efficaci per l'individuo i cui dati vengono trasferiti".

Professionisti

Questa implementazione potrebbe essere più semplice se il Paese in cui si desidera trasferire i dati personali dispone già di questi strumenti giuridici e vincolanti.

Contro

Non tutti i territori hanno in vigore questi accordi e pertanto potrebbero non essere utilizzati per il territorio scelto.

2. Norme vincolanti d'impresa del Regno Unito (BCR del Regno Unito)

Si tratta di codici di condotta interni che si applicano ai gruppi multinazionali. Per le aziende più grandi, è più comune adottare norme aziendali vincolanti (BCR) in quanto sono adatte ai trasferimenti internazionali tra entità separate all'interno della stessa organizzazione e quindi più adatte alle aziende globali.

Professionisti

È riconosciuto a livello mondiale come uno standard elevato per la conformità ed è utile per adattarsi alle mutevoli esigenze della tua azienda. È un buon modo per dimostrare la responsabilità e un buon modello che può essere utilizzato per molti scopi.

Contro

Esiste un processo di approvazione impegnativo e la mancanza di risorse da parte degli enti regolatori può avere un impatto sul processo di approvazione e causare ritardi. È anche più tecnico delle clausole contrattuali standard e quindi richiede risorse interne sufficienti all'interno della tua organizzazione.

3. Clausole contrattuali standard (SCC)

Le più comuni per le PMI sono le clausole contrattuali standard (SCC), ovvero contratti pre-approvati dall'UE che consentono a un'azienda di continuare a trasferire dati tra i paesi dello SEE dopo che il Regno Unito avrà lasciato l'Unione Europea.

Professionisti

Clausole ampiamente standardizzate disponibili senza la necessità di modifiche significative. È pre-approvato, può essere relativamente semplice da presentare ed è adatto anche per trasferimenti una tantum.

Contro

La formulazione standardizzata comporta problemi di adattamento delle clausole a trasferimenti specifici e alle esigenze in evoluzione dell'azienda. Esiste anche il rischio di inosservanza da parte degli importatori di dati ed è soggetta ad ulteriori requisiti amministrativi nella maggior parte dell'UE.

4. Contratto

Un contratto tra la tua organizzazione e l'entità ricevente, creato appositamente per trasferimenti limitati e che deve essere autorizzato anche dall'ICO.

Professionisti

Consentirà il trasferimento di determinati dati riservati, personalizzati in base alle esigenze della tua organizzazione.

Contro

Un contratto richiederà ulteriori risorse per garantire che la sua stesura sia giuridicamente vincolante e che soddisfi tutti i criteri pertinenti stabiliti dall'ICO.

Informazioni complete sui pro e contro di ogni salvaguardia qui

Eseguire una valutazione dell'impatto prima di effettuare trasferimenti di dati limitati

L'ICO raccomanda di condurre una valutazione dell'impatto del trasferimento, mediante la quale è necessario accertarsi che la garanzia scelta sia adeguata a proteggere i dati personali degli interessati e che sia compatibile con il quadro giuridico del paese di destinazione.

Se al termine della valutazione hai bisogno di ulteriori misure di sicurezza, perché quella scelta sembra inadeguata da sola, puoi includere ulteriori misure.

Come Privasee può aiutarti

La piattaforma Privasee può aiutarti a memorizzare e mappare i dati della tua organizzazione in modo che tu sappia esattamente quali dati hai, da quanto tempo li hai e a chi sono correlati. Questo può aiutarti a capire meglio dove si trovano i tuoi dati e qualsiasi segnale di pericolo nel tuo archivio dati di cui dovresti essere a conoscenza. Rende anche i trasferimenti di dati internazionali molto più semplici: comprendere i dati che possiedi e dove si trovano ti consentirà di identificare i dati che devono essere trasferiti altrove, sia nel Regno Unito che a livello internazionale. La nostra piattaforma può anche aiutarti a tenere traccia delle misure di sicurezza che stai utilizzando per questi trasferimenti e ti aiuterà a identificare quale potrebbe essere la migliore.

Ci sono delle eccezioni?

Se il trasferimento limitato dei dati non è coperto da adeguate garanzie, dovrai prendere in considerazione le seguenti "eccezioni" ai sensi dell'articolo 49 del GDPR del Regno Unito, che ti consentiranno comunque di effettuare un trasferimento limitato:

Consenso

• Deve essere specifico e informato
• È necessario fornire dettagli sul trasferimento limitato all'individuo in questione
• Non è possibile ottenere il consenso generalizzato per tutti i trasferimenti limitati di dati
• Le informazioni che devono essere fornite all'individuo includono:
• L'identità del destinatario
• Paese del destinatario
• Motivo del trasferimento limitato
• L'area dei dati trasferiti
• Come un individuo può revocare il proprio consenso a tali trasferimenti limitati
• I possibili rischi di acconsentire a tali trasferimenti limitati senza adeguate garanzie e una decisione di adeguatezza in atto.

Contrarre

• Deve essere solo per trasferimenti limitati che non si verificano regolarmente
• Deve essere necessario effettuare il trasferimento limitato per soddisfare i termini del contratto

Interesse pubblico

• Deve esistere una legge britannica che consenta un trasferimento limitato sulla base dell'interesse pubblico
• Di solito si tratta anche di un accordo internazionale
• Possono fare affidamento sia enti pubblici che privati
• Deve essere utilizzato per trasferimenti occasionali limitati e non deve essere utilizzato per trasferimenti sistematici

Richiesta legale

• Deve essere per trasferimenti occasionali che non sono regolari
• Deve essere per uno scopo necessario che richiede una stretta connessione tra il trasferimento e la richiesta legale
• Un reclamo legale può essere interpretato come tutti i reclami giudiziari e le procedure amministrative o regolamentari
• Non si può fare affidamento su questa eccezione se il reclamo non è ancora stato sollevato e rimane una possibilità in futuro

Proteggere gli interessi vitali

• Applicabile in caso di emergenza medica in cui i dati devono essere trasferiti tra paesi per fornire la corretta assistenza medica
• Non ci si può affidare a loro per svolgere ricerche mediche
• Non è possibile fare affidamento su questo se l'individuo i cui dati sono in questione può dare il consenso

Registri pubblici

• Il registro sarà stato creato secondo la legge del Regno Unito e sarà aperto al pubblico in generale o a chiunque sia in grado di dimostrare un legittimo interesse.
• I trasferimenti limitati devono essere conformi alla legge generale sulla divulgazione e devono essere valutati rispetto ai diritti di protezione dei dati delle persone i cui dati devono essere trasferiti.

Interessi legittimi una tantum

• Deve essere per trasferimenti occasionali che non sono regolari
• Trasferimento limitato solo ai dati di un numero limitato di individui
• L'interesse legittimo deve essere "impellente", il che rappresenta una soglia più elevata da soddisfare; maggiori informazioni sono disponibili sul sito web dell'ICO.
• L'interesse legittimo cogente deve prevalere sui diritti e sulle libertà degli individui che devono essere dimostrati quando vengono interrogati
• Viene condotta una valutazione completa dell'interesse legittimo e vengono individuate le ragioni
• L'ICO deve essere informato del trasferimento, il che comporterà la fornitura di tutti i dettagli delle misure adottate per garantire quanto sopra.
• La persona a cui appartengono i dati oggetto del trasferimento limitato deve essere informata e deve essere spiegato il legittimo interesse.

Ulteriori informazioni sulle eccezioni sopra menzionate sono disponibili sul sito web dell'ICO .

Ci auguriamo che questo articolo possa aiutarti a comprendere meglio cosa ci si aspetta dalla tua organizzazione quando effettui un trasferimento internazionale e a semplificare alcuni dei concetti identificati dall'ICO. Ulteriori informazioni sono disponibili sul sito Web dell'ICO sulla conduzione di trasferimenti internazionali e i dettagli completi sono disponibili qui .

Disclaimer

Privasee non ritiene che l'articolo sopra riportato costituisca in alcun modo consulenza legale.

Fonti e ulteriori risorse

https://iapp.org/media/pdf/resource_center/HL-International-Data-Transfers-Considering-your-options.pdf

‍