Trasferimento di dati personali verso Paesi terzi o organizzazioni internazionali

 

 

Trasferimento di dati personali verso Paesi terzi o organizzazioni internazionali

I requisiti per il trasferimento di dati personali verso Paesi terzi o organizzazioni internazionali  

Le regole in vigore prima dell’avvento del GDPR per il lecito trasferimento di dati personali verso Paesi al di fuori dell’Unione europea e Spazio Economico Europeo («SEE») sono confermate, salvo alcune particolarità.

I dati possono essere trasferiti verso Paesi terzi o organizzazioni internazionali se sussiste almeno una delle seguenti condizioni:

a. adeguatezza del Paese terzo riconosciuta tramite decisione della Commissione europea

b. in assenza di decisioni di adeguatezza della Commissione, garanzie adeguate di natura contrattuale o pattizia che devono essere fornite dai titolari coinvolti che possono essere, per esempio:

a. norme vincolanti d’impresa («Binding Corporate Rules – BCR»)

b. clausole contrattuali standard decise dalla Commissione europea per trasferimenti da titolare a titolare e da titolare a responsabile

c. «Privacy Shield» per trasferimenti verso gli Stati Uniti quando il destinatario ha aderito a questo meccanismo di salvaguardia

c. in assenza di ogni altro presupposto, utilizzo di deroghe al divieto di trasferimento applicabili in specifiche situazioni, quali il consenso o quando il trattamento è necessario per la conclusione o l’esecuzione di un contratto o per accertare, esercitare o difendere un diritto in sede giudiziaria.

Trasferimento basato sulle decisioni di adeguatezza

Le decisioni di adeguatezza sinora adottate dalla Commissione Europea (cioè il livello di protezione dei dati in Paesi terzi, a partire dal «Privacy Shield»), così come gli accordi internazionali in materia di trasferimento di dati stipulati prima del 24 maggio 2016 dagli Stati membri restano in vigore fino a loro eventuale revisione o modifica o abrogazione. Restano valide, conseguentemente, le autorizzazioni nazionali emesse dal Garante successivamente a tali decisioni di adeguatezza della Commissione.

Allo stato attuale, le decisioni di adeguatezza per il trasferimento di dati personali verso Paesi terzi riguardano: Andorra, Argentina, Australia – PNR, Canada, Faer Oer, Guernsey, Isola di Man, Israele, Jersey, Nuova Zelanda, Svizzera, Uruguay, Giappone. Ad ampliamento per il SEE sono applicabili le decisioni per i trasferimenti verso Norvegia, Liechtenstein, Islanda. In aggiunta, è valida la decisione relativa al «Privacy Shield» per trasferimenti verso gli Stati Uniti.

Norme vincolanti di impresa («Binding Corporate Rules – BCR»)

Il GDPR fissa i requisiti per l’approvazione delle norme vincolanti d’impresa e i contenuti obbligatori di tali norme. L’elenco indicato dal GDPR non è esaustivo e, pertanto, potranno essere previsti dalle autorità competenti, a seconda dei casi, requisiti ulteriori. In qualsiasi caso, l’iter di approvazione è alquanto complesso e prevede l’intervento del Comitato europeo per la protezione dei dati («European Data Protection Board – EDPB»).

Trasferimento soggetto a garanzie adeguate

Oltre alle norme vincolanti di impresa, le garanzie adeguate sono rappresentate dalle clausole contrattuali tipo emanate dalla Commissione europea per trasferimenti da titolare UE a titolare extra-UE e da titolare UE verso responsabile extra-UE. Le clausole emanate sono ancora efficaci. È la formula più adottata per il trasferimento di dati personali verso Paesi terzi. Il «Privacy Shield» è considerato una garanzia adeguata. A queste condizioni di garanzia adeguata si aggiungono nuovi meccanismi: i codici di condotta e gli schemi di certificazione.

Trasferimento in presenza di deroghe in specifiche situazioni

Il trasferimento di dati personali verso Paesi terzi è ammesso, in assenza delle precedenti condizioni, se l’interessato ha prestato il consenso o se il trasferimento è necessario all’esecuzione di un contratto tra l’interessato e il titolare ovvero all’esecuzione di misure precontrattuali adottate su richiesta dell’interessato. È anche ammesso se è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria oppure per importanti motivi di interesse pubblico e per salvaguardare la salute dell’interessato o di un terzo e non sia possibile acquisire il consenso per motivi di incapacità fisica o giuridica dell’interessato.

Cosa è cambiato con il GDPR

Rispetto alla previgente legislazione, sono introdotti i codici di condotta e i meccanismi di certificazione che possono rappresentare una garanzia adeguata. Inoltre, viene meno il requisito dell’autorizzazione nazionale dell’autorità di controllo. Ciò significa che il trasferimento verso un Paese terzo adeguato ai sensi della decisione assunta in futuro dalla Commissione, ovvero sulla base di clausole contrattuali tipo, debitamente adottate, o di norme vincolanti d’impresa potrà avere inizio senza attendere l’autorizzazione nazionale dell’autorità di controllo. Continua a essere necessaria l’autorizzazione se un titolare intende utilizzare clausole contrattuali ad hoc (cioè diverse da quelle emanate dalla Commissione Europea) oppure accordi amministrativi stipulati tra autorità pubbliche.

 

Per approfondire clicca qui oppure consulta le FAQ o contattami.

 

Privacy Policy - Cookie Policy - Condizioni uso sito - Website map


Tiziana Minella - Via Vittoria Colonna, 32 - 10155 Torino (TO) - P.I. 03152590018 - mob. 366.4761338 - 338.6626635