Art. 46 GDPR — Trasferimento soggetto a garanzie adeguate

Commento

Le garanzie adeguate come strada principale

L'art. 46 GDPR disciplina i trasferimenti basati su garanzie adeguate, in assenza di decisione di adeguatezza ex art. 45. È la strada più frequente nella prassi: per i trasferimenti UE→USA (fuori DPF), UE→Cina, UE→Russia, UE→India e altri paesi non adeguati, si ricorre alle garanzie dell'art. 46. La logica è quella di compensare l'assenza di equivalenza legislativa con strumenti contrattuali o codici che vincolino il data importer al rispetto degli standard GDPR. Il considerando 108 spiega la ratio: facilitare la circolazione mantenendo la tutela.

Elenco delle garanzie (par. 1-2)

Il par. 1 prevede che il trasferimento possa avvenire se il titolare/responsabile ha fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi. Il par. 2 elenca gli strumenti: (a) strumenti giuridicamente vincolanti tra autorità pubbliche; (b) norme vincolanti d'impresa (BCR, art. 47); (c) clausole tipo di protezione dei dati adottate dalla Commissione (SCC); (d) clausole tipo adottate da un'Autorità di controllo e approvate dalla Commissione; (e) codici di condotta approvati con impegni vincolanti; (f) meccanismi di certificazione approvati con impegni vincolanti.

Standard Contractual Clauses (SCC)

Le SCC (Standard Contractual Clauses) sono lo strumento più diffuso. La Commissione ha adottato nuove SCC nel giugno 2021 (Decisione 2021/914) con quattro moduli: controller-to-controller, controller-to-processor, processor-to-processor, processor-to-controller. Le SCC sono modular: si selezionano i moduli pertinenti e si compilano. Sono soggette a TIA dopo Schrems II: valutazione della legge del paese di destinazione e adozione di supplementary measures se necessario.

Codici di condotta e certificazioni

I codici di condotta (art. 40) e i meccanismi di certificazione (art. 42) possono essere usati come garanzia se prevedono impegni vincolanti dei data importer. È strada in sviluppo: l'EDPB ha approvato schemi pilota. Il vantaggio è la standardizzazione settoriale; la sfida è la diffusione capillare. Per certi settori (cloud, ad-tech), codici e certificazioni sono in via di consolidamento.

Norme vincolanti d'impresa (BCR)

Le BCR (Binding Corporate Rules) sono norme vincolanti d'impresa per trasferimenti intragruppo. Sono approvate dall'Autorità di controllo capofila in cooperazione con altre Autorità (procedura complessa, 12-24 mesi). Una volta approvate, valgono per tutti i trasferimenti intragruppo a livello mondiale. Vantaggi: framework unico, certezza giuridica, semplificazione operativa. Per grandi gruppi multinazionali, BCR è scelta strategica. Per PMI, SCC è generalmente più pratica.

Schrems II e supplementary measures

Schrems II ha trasformato la pratica: per le SCC, il titolare deve effettuare TIA. Le supplementary measures sono tecniche (cifratura forte con chiave in UE), organizzative (policy di accesso ristrette, log), contrattuali (impegni rafforzati del data importer su accessi delle autorità). L'EDPB nelle linee guida 1/2024 (e precedenti 1/2020) ha consolidato la metodologia. Per i flussi USA, la cifratura E2E con chiave UE è oggi standard di adeguatezza per dati sensibili.

Regola pratica e checklist operativa

Compliance art. 46: (i) scegliere strumento adatto (SCC standard, BCR per gruppi); (ii) per SCC, TIA documentato; (iii) supplementary measures tecniche/organizzative/contrattuali; (iv) tracciamento nel registro; (v) monitoring delle decisioni CGUE; (vi) review annuale dei trasferimenti; (vii) piano B per invalidazioni. Cifratura E2E è oggi standard.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.