A giugno 2021 l’IFPDT ha emanato una Guida “ per l’esame dell’ammissibilità della comunicazione di dati all’estero (secondo art. 6 cpv.2 lett a LPD)” qualora nel Paese destinatario manchi una legislazione che assicuri una protezione adeguata e questa lacuna debba essere compensata con garanzie sufficienti.

In particolare:

a) Se il trasferimento dei dati è destinato ad un Paese UE/SEE, si può presupporre che il livello di protezione sia adeguato, purchè sia escluso l’inoltro di dati in un Paese terzo senza una protezione dei dati adeguata. In quest’ultimo caso è necessario che l’esportatore di dati personali assicuri la protezione dei dati con sufficienti garanzie, in particolare mediante un contratto. Le garanzie vengono concretamente assicurate come segue:

1.     A tal scopo ci si basa di norma su clausole contrattuali modello, le cosiddette Standard Contract Clauses (SCC). È da notare che un esportatore di dati non può utilizzare in un rapporto esterno, al posto delle SCC, le cosiddette Binding Corporate Rules (BCR), ovvero norme vincolanti d’impresa che disciplinano la comunicazione transfrontaliera di dati in seno a un gruppo e tra diverse imprese sotto un’unica direzione. Le BCR possono perlopiù essere modificate individualmente dall’importatore dei dati senza l’approvazione dell’esportatore esterno e indipendentemente dalla durata del contratto; inoltre non prevedono elementi essenziali presenti nelle SCC (p. es.disposizioni concernenti l’impiego di subappaltatori).

2.     E’ necessario tenere una registrazione del trasferimento da parte dell’esportatore, ad esempio mediante un registro dove vengano in particolare chiariti i seguenti aspetti:

- se i dati da esportare sono dati personali;

- se le persone sono identificate o identificabili;

- qual è lo scopo della comunicazione dei dati;

- quali categorie di dati personali sono trasferiti;

- se vi sono altri responsabili del trattamento dei dati o subappaltatori e questi si trovano in Paesi terzi;

- se i dati personali sono trattati da imprese che sottostanno a disposizioni legali inPaesi terzi (p. es. fornitori di servizi di cloud americani con server inCH/UE/SEE);

- se i dati saranno in seguito inoltrati all’interno del Paese terzo oppure in un altro Paese terzo o vi sono indizi che questo possa accadere;

b) Se il detentore di collezioni di dati trasferisce dati in uno Stato che figura nell’elenco degli Stati dell’IFPDT tra quelli che assicurano un livello di protezione adeguata, si presume la buona fede secondo l’articolo 3 CC. Tuttavia si tratta di una presunzione relativa. Il detentore della collezione di dati non può invocare la buona fede se, ad esempio, è a conoscenza che in un caso specifico in un determinato Paese non è in realtà assicurata una protezione adeguata (art. 3cpv. 2 CC). L’esportatore di dati resta in ogni caso responsabile per l’esportazione dei dati e deve informarsi periodicamente se l’adeguatezza è ancora assicurata e se non vi siano altri motivi (p. es. a seguito di indicazioni emerse dalla prassi o notizie sui media) che depongono contro un trattamento di dati sicuro nel Paese destinatario in questione.

c) Se un Paese non figura nell’elenco degli Stati dell’IFPDT non significa automaticamente che tale Paese non assicuri un livello di protezione adeguato.. In tal caso l’esportatore di dati deve pertanto provvedere agli approfondimenti legali necessari, ad esempio attraverso la consultazione della dottrina e della giurisprudenza oppure commissionando perizie legali indipendenti.

d) Se lo Stato non figura nell’elenco dell’IFPDT tra quelli con protezione adeguata o se, nonostante vi figuri, vi sono indizi concreti che i dati personali da esportare non saranno adeguatamente protetti, l’esportatore di dati personali deve assicurare la protezione dei dati con sufficienti garanzie, in particolare mediante un contratto, e secondo quanto indicato  nei punti a)1 e 2.

e) Se lo Stato di trasferimento prevede accessi ai dati da parte di autorità (per esempio per scopi di sicurezza nazionale o perseguimento penale), l’esportatore di dati deve provvedere da sé a condurre accertamenti volti a verificare la conformità alla legislazione svizzera in materia di protezione dei dati e ai principi costituzionali svizzeri e a tale scopo non può basarsi esclusivamente sulle dichiarazioni dell’importatore dei dati. Può piuttosto consultare la dottrina e la giurisprudenza e commissionare perizie giuridiche indipendenti. Gli aspettii n particolare che devono essere assicurati sono i seguenti:

1.     Principio della legalità: norme chiare, precise e accessibili (art. 5 e 164Cost.) Base legale sufficientemente definita e chiara concernente gli obiettivi, le procedure e le condizioni legali materiali dell’accesso ai dati da parte di autorità e i poteri delle autorità.

2.     Proporzionalità dei poteri e delle misure rispetto agli obiettivi normativi perseguiti (art. 5cpv. 2 Cost. e art. 4 cpv. 2 LPD) I poteri e le misure delle autorità devono essere idonei e necessari ad adempiere gli obiettivi legali degli accessi da parte delle autorità. Inoltre, devono essere ragionevoli per gli interessati.

3.     I singoli devono avere a disposizione mezzi di ricorso efficaci (art. 13 cpv. 2 Cost. per far valere l’art. 15 LPD e l’art. 8 CEDU) Gli interessati in Svizzera devono disporre di efficaci mezzi di ricorso sanciti nella legge per far valere i loro diritti per quanto riguarda la protezione della sfera privata e l’autodeterminazione in materia di informazioni (p. es diritto alle informazioni, alla rettifica e alla cancellazione).

4.     Garanzia della via giudiziaria e accesso a un tribunale indipendente e imparziale (art. 29segg. Cost. e art. 15 LPD) Le ingerenze nella sfera privata e l’autodeterminazione in materia di informazioni devono sottostare a un sistema di controllo efficace, indipendente e imparziale (tribunale o altro ente indipendente, p. es. autorità amministrativa o organo parlamentare). Oltre all’approvazione preventiva (di un tribunale) di misure di vigilanza(protezione dall’arbitrio), deve potere essere esaminato anche l’effettivo funzionamento del sistema di controllo.

Se tali garanzie risultano soddisfatte, è possibile raggiungere un livello di protezione dei dati adeguato con un SCC standard.

Qualora tali garanzie NON risultino soddisfatte, occorre esaminare misure supplementari da adottare “in sostituzione” delle quattro garanzie mancanti:

·      Misure contrattuali supplementari (tra esportatore e importatore di dati) sono difficilmente applicabili, perché non vincolano le autorità di Paesi terzi e non possono impedire gli accessi da parte delle autorità. Ad esempio, anche disposizioni di risarcimento di danni, l’assicurazione del ricorso a rimedi giuridici e lo sfruttamento di mezzi di ricorso contro ordini delle autorità o resoconti sulla trasparenza risultano insufficienti se nel Paese terzo vi sono disposizioni giuridiche che hanno la precedenza o che interferiscono con queste misure contrattuali.

·      Le misure supplementari tecniche e organizzative devono essere tali da impedire di fatto nel Paese destinatario che le autorità possano accedere ai dati personali comunicati. Nel trattamento di dati inteso come pura gestione del cloud da parte del fornitore di servizi di uno Stato senza un livello di protezione adeguato potrebbe ad esempio entrare in considerazione una cifratura da attuare secondo i principi BYOK («bring your own key») e in aggiunta BYOE («bring your own encryption»), in modo tale che nel cloud non vi siano dati in chiaro o non vi avvengano decifrazioni 7 o cifrature. Per i servizi derivanti dalla pura detenzione di dati nel Paese terzo, la sostituzione di tali misure tecniche rappresenta invece una sfida difficile. Se emerge dall’esame che la mancanza di una o più delle quattro garanzie non può essere compensata mediante misure supplementari, il trasferimento dei dati all’estero deve essere immediatamente sospeso o concluso.

‍