ACQUISTI ONLINE: FIDARSI È BENE…..PREVENIRE È MEGLIO!!!
15 Dicembre 2018
DATA PROCESSOR ESTABLISHED IN COUNTRIES EXTRA EU (AS SAN MARINO REPUBLIC IS)? THE CONTRACT PURSUANT ART. 28 GPDR IS NOT ENOUGH !
3 Gennaio 2019
by Avv. Francesco Cucci
Si sa che la Repubblica di San Marino pur essendo geograficamente, culturalmente, economicamente e monetariamente inglobata nell’Unione Europea, politicamente ed istituzionalmente non lo è.
Nel mese di maggio 2018 (con un “tempismo” invero non dei migliori) è stato depositato presso la “Segreteria di Stato – Affari Interni” della Repubblica di San Marino, un progetto di legge sulla “Protezione delle persone fisiche con riguardo al trattamento dei dati personali”, progetto che è stato finalmente approvato e pubblicato dal Consiglio Grande e Generale il 21 dicembre 2018 (la legge è la n. 171 del 2018, e la potete trovare sul sito del Consiglio Grande e Generale https://www.consigliograndeegenerale.sm/on-line/home/streaming-video-consiglio/scheda17161069.html).
Per tutto il tempo necessario alla Commissione Europea per emettere la propria decisione in ordine all’adeguatezza dello Stato di San Marino in materia di protezione dei dati personali, ai sensi dell’art. 45 GDPR – che si prevede positiva ma non immediata (si parla solitamente di qualche anno), occorrerà comprendere come regolarsi nel caso in cui il trattamento dei dati personali fatto da Titolari italiani, preveda “scambi” con soggetti situati nella Serenissima Repubblica del Titano.
Mi è capitato assai di frequente, negli ultimi tempi, di leggere a favore di operatori sammarinesi, semplici nomine come “Responsabili del trattamento”, ai sensi dell’art. 28 GDPR, nella loro qualità di incaricati in outsourcing, su territorio sammarinese, di trattare dati personali per conto di Titolari del trattamento italiani.
Si tratta in gran parte, ma non solo, di società di servizi sammarinesi, le quali svolgono vari tipi di elaborazione dati per conto di imprese italiane.
Devo rilevare, purtroppo, che il testo utilizzato per redigere tali nomine è, nella stragrande maggioranza dei casi, lo stesso generico testo ex art. 28 GDPR, utilizzato di solito per nominare Responsabili esterni del Trattamento stabiliti nell’Unione.
Nel caso di San Marino, tuttavia, questa soluzione non è assolutamente corretta e rischia di creare serissimi problemi al Titolare del trattamento stabilito in Italia, che dovesse subire accertamenti da parte del Garante, e che, subito dopo, perderà ogni fiducia nel proprio consulente outsourcer sammarinese reticente sul punto (soprattutto se si tratta di imprese con sede in regioni italiane diverse dall’Emilia-Romagna, nelle quali si ha anche minor percezione dell'”alterità” nazionale della piccola repubblica).
Il Responsabile del trattamento sammarinese, a ben vedere, ha sede in uno stato qualificabile a tutti gli effetti come “extra UE“, sicché i dati personali affidatigli in outsourcing dal Titolare del trattamento stabilito in Italia (o, in ipotesi astratta, da Titolari stabiliti in qualunque altro stato membro dell’Unione Europea) sono sostanzialmente sottoposti ad un trasferimento in uno stato extra UE, trasferimento che la normativa europea non vede di buon grado e che, difatti, sottopone a stringenti limiti e condizioni.
Occorrerà quindi procedere ad un’apposita – e differente – contrattualizzazione, secondo gli standard previsti dalla Commissione Europea, (al netto degli ulteriori obblighi applicabili ai responsabili del trattamento sammarinesi direttamente dalla loro nuova legge nazionale 171/2018).
Nonostante non esistano ancora pronunce della Commissione Europea, successive all’entrata in vigore del Regolamento (UE) 679/2016, in ordine a tali standard, l’ultrattività espressamente prevista dall’art. 45, paragrafo 4 del GDPR alle decisioni di adeguatezza della Commissione Europea sugli Stati extra UE assunte “ante GDPR” ai sensi dell’art. 25, paragrafo 6 della abrogata Direttiva 95/46/CE, autorizza a ritenere estensibile tale “sopravvivenza” giuridica anche alle decisioni della Commissione Europea sugli standard contrattuali, ai sensi dell’art. 26 della stessa abrogata Direttiva 95/46/CE.
Questa impostazione, peraltro, mi è stata anche recentementne confermata in via informale dallo stesso Ufficio del Garante, a fronte di una mia richiesta ufficiale.
Avv. Francesco Cucci
Sulla base di queste riflessioni, e con il “viatico” dell’URP dell’autorità di controllo italiana, ho recentemente redatto alcuni contratti per regolarizzare il trasferimento a San Marino di dati da parte di aziende italiane. Se necessiti di assistenza/consulenza per rendere conforme la tua attività alla nuova normativa europea ed italiana in materia di privacy e tuteta dei dati personali, contattami anche solo per un preventivo gratuito a questi recapiti:
Cell. 3713305150
Tel. 054156050
email: info@studiolegalecucci.net
Avv. Francesco Cucci
are you interested in the english version of this article? Read here
