Close

GDPR: le regole per il trasferimento dei dati

Il GDPR contiene disposizioni specifiche in merito al trasferimento dei dati con l'obiettivo di garantire un livello di protezione equivalente a quello di cui godono all'interno del SEE
GDPR: le regole per il trasferimento dei dati
Tempo di lettura: 4 minuti

Indice dei contenuti

GDPR: cos’è il “trasferimento dei dati”

In un mondo sempre più globalizzato e iperconnesso, il trasferimento dei dati è un’operazione quotidiana per molte organizzazioni. Tuttavia, questo scambio di informazioni può comportare rischi significativi per la privacy. Per questo motivo, con il General Data Protection Regulationmeglio noto con l’acronimo GDPR, l’Unione Europea ha introdotto regole rigorose per garantire un adeguato livello di protezione dei dati personali.

Il GDPR prevede regole su come le aziende raccolgono, utilizzano e condividono i dati personali dallo Spazio economico europeo (SEE) a un’altra giurisdizione, al fine di evitare che i dati personali dei cittadini dell’UE finiscano in paesi o aziende che non offrono lo stesso livello di protezione di queste informazioni.

Oggi la necessità di trasferire dati personali al di fuori dell’UE è molto comune e spesso necessaria nell’ottica del commercio o della cooperazione internazionale. Ad esempio, un’azienda può dover trasferire tali informazioni nel caso in cui un suo partner commerciale o fornitore si trovi in un paese terzo posto al di fuori del SEE. In questo contesto, il GDPR fornisce gli strumenti che mirano a garantire ai dati personali trasferiti un livello di protezione equivalente a quello di cui godono all’interno del SEE.

Va altresì evidenziato che il GDPR non fornisce una vera e propria definizione di “trasferimento di dati”. Tuttavia, l’EDPB (European Data Protection Board, il Comitato europeo per la protezione dei dati) ha individuato tre criteri cumulativi per poter identificare un trasferimento al di fuori del SEE:

  • la presenza di un responsabile o incaricato del trattamento soggetto al GDPR;
  • la trasmissione o comunque la messa a disposizione dei dati personali a un’altra organizzazione da parte del responsabile o incaricato del trattamento;
  • il fatto che l’organizzazione che riceve i dati si trovi in un paese esterno allo Spazio Economico Europeo o sia comunque un’organizzazione internazionale.

Se questi tre criteri vengono soddisfatti, allora si verifica un trasferimento ed è quindi applicabile il Capo V del GDPR. Ciò significa che il trasferimento può avvenire solo a determinate condizioni, ad esempio nei casi di una decisione di adeguatezza da parte della Commissione europea nei confronti del Paese in cui verrà effettuato il trasferimento o se sono fornite garanzie adeguate.

Al contrario, se i tre criteri non sono soddisfatti, non si può parlare di trasferimento dei dati personali e il Capo V non è applicabile, ma il titolare del trattamento deve comunque rispettare tutte le altre disposizioni del Regolamento.

Come trasferire i dati personali al di fuori del SEE

I dati personali possono essere trasferiti al di fuori del SEE solo nel rispetto delle condizioni stabilite nel Capitolo V del General Data Protection Regulation che si aggiungono al rispetto generale delle altre norme previste dal Regolamento.

Come abbiamo già sottolineato, i trasferimenti possono avvenire sulla base di una decisione di adeguatezza oppure sulla base di garanzie adeguate. In assenza di una di queste condizioni, il trasferimento può essere autorizzato solo in circostanze particolari previste dal Regolamento.

Vediamo un po’ più nel dettaglio come funziona il trasferimento dei dati personali a seconda delle diverse situazioni:

    1. Trasferimento dati sulla base di una decisione di adeguatezza

      La Commissione europea ha la possibilità di adottare decisioni di adeguatezza per confermare formalmente, con effetto vincolante per i Paesi del SEE, che il livello di protezione dei dati in un Paese non appartenente al SEE o in un’organizzazione internazionale è sostanzialmente equivalente al livello di protezione nello Spazio economico europeo. Un caso recente è quello relativo al quadro UE-USA per la protezione dei dati personali.

      Nel valutare l’adeguatezza del livello di protezione vengono presi in considerazione elementi quali lo Stato di diritto, il rispetto dei diritti umani e delle libertà fondamentali, l’efficacia e l’applicabilità dei diritti degli interessati, l’esistenza e l’effettivo funzionamento di un’autorità indipendente per la protezione dei dati nel Paese non SEE e gli impegni internazionali assunti dal suddetto Paese o dall’organizzazione internazionale.

      Se la Commissione europea ritiene che il Paese offre un livello di protezione adeguato e viene adottata una decisione di adeguatezza, i dati personali possono essere trasferiti a un’altra società o organizzazione extra SEE senza che il data exporter, ossia l’entità che trasferisce i dati, sia tenuto a fornire ulteriori garanzie o sia soggetto a condizioni aggiuntive relative ai trasferimenti internazionali. In altre parole, i trasferimenti verso un paese extra SEE che si ritiene “adeguato” saranno paragonati a un trasferimento di dati intra SEE.

      Va inoltre ricordato che le decisioni di adeguatezza possono riguardare un Paese nel suo complesso oppure essere limitate a una parte di esso, come una regione. Oltre a ciò, queste decisioni possono riguardare tutti i trasferimenti di dati verso un Paese o essere circoscritte ad alcuni tipi di trasferimento (ad esempio, in un settore).

    2. Trasferimenti di dati sulla base di garanzia adeguate

      In assenza di una decisione di adeguatezza, le organizzazioni possono trasferire dati personali a patto che forniscano garanzie adeguate sull’organizzazione che li riceve. Inoltre, le persone devono essere in grado di esercitare i propri diritti e disporre di mezzi di ricorso efficaci.

      I riferimenti relativi a tutta una serie di strumenti di trasferimento che contengono “garanzie adeguate” sono illustrati all’art. 46 del GDPR. Tra le garanzie adeguate rientrano:

      • clausole standard di protezione dei dati (Standard data protection clauses – SCC);
      • norme vincolanti d’impresa (Binding corporate rules-BCRs);
      • codici di condotta (Codes of conduct);
      • meccanismi di certificazione (Certification mechanisms);
      • clausole contrattuali ad hoc.
    3.  Trasferimenti di dati sulla base di deroghe

    Oltre alle decisioni di adeguatezza e agli strumenti di trasferimento previsti dall’art. 46, il General Data Protection Regulation prevede una terza via che consente il trasferimento di dati personali in determinate situazioni sulla base di una delle deroghe elencate nell’art. 49 che hanno carattere eccezionale.

    Secondo tali disposizioni, un trasferimento può essere effettuato qualora questa operazione sia:

    • effettuata con il consenso esplicito dell’individuo;
    • necessaria per:
      • l’esecuzione di un contratto tra l’individuo e l’organizzazione o per le misure precontrattuali adottate su richiesta dell’individuo;
      • l’esecuzione di un contratto stipulato nell’interesse dell’individuo tra il titolare del trattamento e un’altra persona;
      • importanti motivi di interesse pubblico;
      • l’istituzione, l’esercizio o la difesa di diritti legali;
      • proteggere gli interessi vitali dell’individuo in questione o di altre persone, qualora l’individuo sia fisicamente o legalmente incapace di dare il proprio consenso;
    • ricavata da un registro che, ai sensi del diritto nazionale di un paese SEE o del diritto dell’UE, è destinato a fornire informazioni al pubblico (e che è aperto alla consultazione del pubblico in generale o di coloro che possono dimostrare un interesse legittimo a consultare il registro).

TAG