In tempi di globalizzazione, proprio nei grandi gruppi internazionali assume sempre maggiore importanza la trasmissione di dati all'estero nel quadro di una esternalizzazione. Inoltre, per ragioni legate alla divisione del lavoro, oggi per il trattamento dei dati ci si affida spesso a un submandatario. Occorre perciò chiedersi quale livello di protezione deve soddisfare la trasmissione di dati a un mandatario o a un submandatario all'estero.
La legge sulla protezione dei dati prevede che il trattamento dei dati personali può essere affidato a un terzo, ossia a un mandatario, mediante convenzione. Conformemente alla legge, il suo trattamento non può però essere diverso da quello che il mandante stesso avrebbe il diritto di fare. Ne deriva che un mandatario deve stipulare una convenzione qualora, per il trattamento dei dati, voglia avvalersi di un submandatario e che anche il trattamento di quest'ultimo non può essere diverso da quello che il mandante o il mandatario avrebbero il diritto di fare. Queste esigenze legali valgono indipendentemente dal fatto che il trattamento dei dati sia effettuato da un (sub)mandatario in Svizzera o all'estero. Se si trova all'estero, si applicano inoltre le disposizioni dell'art. 6 LPD.
Sul tema della trasmissione di dati all'estero nel quadro di un'esternalizzazione abbiamo pubblicato documenti sulla nostra pagina Web. Vi sono rappresentate le principali situazioni di esternalizzazione e le pertinenti direttive in materia di protezione dei dati (v. www.lincaricato.ch sotto Temi - Protezione dei dati - Trasmissioni all'estero - Esternalizzazione).
Abbiamo poi rielaborato il contratto modello per l'esternalizzazione di trattamenti di dati all'estero («Swiss Transborder Data Flow Agreement» [soltanto in inglese]), completandolo con disposizioni supplementari riguardanti il trattamento di dati da parte di un submandatario (soltanto in inglese). Di conseguenza, affidare in questo modo il trattamento di dati è possibile solamente previo assenso scritto del mandante. Inoltre, il mandatario è tenuto a stipulare con il submandatario un contratto scritto nel quale questi si impegna a rispettare i medesimi standard di protezione dei dati del suo mandante (diretto). Il contratto (in inglese) può essere scaricato dalla nostro pagina Web (www.lincaricato.ch sotto Temi - Protezione dei dati - Trasmissioni all'estero - Esternalizzazione).
Per finire, segnaliamo che anche la Commissione europea si è occupata dell'argomento e ha sottoposto a revisione le attuali «clausole contrattuali tipo per il trasferimento di dati personali da responsabili del trattamento [stabiliti nell'Unione europea] a incaricati del trattamento [stabiliti in paesi terzi]» («Data Controller to Data Processor»); le nuove clausole sono entrate in vigore il 15 maggio 2010.