Cosa cambia?
Non è più necessaria l’autorizzazione nazionale, ciò significa che nel caso in cui il trasferimento verso un Paese terzo “adeguato” ai sensi della decisione assunta in futuro dalla Commissione, ovvero sulla base di clausole contrattuali, debitamente adottate, potrà avere inizio senza dover attendere l’autorizzazione nazionale del Garante della Privacy.
Tuttavia l’autorizzazione potrà essere ancora necessaria se un titolare utilizza clausole contrattuali ad-hoc (cioè non riconosciute come adeguate dalla Commissione Europea) oppure nel caso di accordi amministrativi stipulati fra autorità pubbliche.
Il nuovo regolamento consente, al titolare, di ricorrere a dei codici di condotta ovvero a schemi di certificazione che consentano di dimostrare di possedere “garanzie adeguate” previste dall’art.46. Ovvero i titolari o i responsabili del trattamento stabiliti in un Paese terzo potranno far valere gli impegni sottoscritti attraverso l’adesione al codice di condotta o allo schema di certificazione, ove questi disciplinino anche o esclusivamente i trasferimenti di dati verso Paesi terzi, al fine di legittimare tali trasferimenti.
Tuttavia, i titolari dovranno assumere un impegno vincolante mediante uno specifico strumento contrattuale o altro strumento che sia giuridicamente vincolante e azionabile dagli interessati.
Il nuovo regolamento inoltre vieta il trasferimento dei dati verso titolari o responsabili di una Paese terzo nel caso di una decisione giudiziaria o ordinanza amministrativa emessa da un’autorità di tale Paese terzo, a meno dell’esistenza di accordi internazionali di mutua assistenza giudiziaria o analoghi accordi fra gli Stati.
Sarà possibile utilizzare, inoltre, altri presupposti o deroghe previste per situazioni specifiche di cui all’art. 49.
Il regolamento chiarisce come sia lecito trasferire dati personali verso un Paese terzo non adeguato “per motivi di interesse pubblico”, in deroga al divieto generale, ma deve trattarsi di un interesse pubblico riconosciuto dallo Stato membro del titolare e dal diritto dell’Unione Europea e dunque non può essere fatto valere l’interesse pubblico dello Stato terzo ricevente.
Il regolamento fissa i requisiti per l’approvazione delle norme vincolanti d’impresa ed i contenuti obbligatori di tali norme. L’elenco non è esaustivo ed, infatti, potranno essere previste dalle autorità competenti, a seconda dei casi, requisiti ulteriori. Ad ogni modo, l’approvazione delle norme vincolanti d’impresa deve avvenire attraverso il meccanismo di coerenza degli art. 63-65 del regolamento, ossia è previsto in ogni caso l’intervento del Comitato Europeo per la protezione dei dati.
Cosa non cambia?
Il nuovo regolamento ha confermato l’approccio attuale in base alla direttiva 95/46 ed al Codice Italiano per quanto riguarda i flussi di dati al di fuori dell’Unione Europea e dello spazio economico europeo, prevedendo che tali flussi siano vietati, in linea di principio, a meno che non intervengano specifiche garanzie che il regolamento elenca in questo modo:
- Adeguatezza del Paese terzo riconosciuta tramite decisione della Commissione Europea del Codice;
- In assenza di decisioni di adeguatezza della Commissione, garanzie adeguate di natura contrattuale o pattizia che devono essere fornite dai titolari coinvolti;
- In assenza di ogni altro presupposto, utilizzo di deroghe al divieto di trasferimento applicabili in specifiche situazioni (corrispondenti in parte alle disposizioni dell’art.43, comma 1, del Codice).
Le decisioni di adeguatezza sinora adottate dalla commissione e gli accordi internazionali in materia di trasferimento dati stipulati prima del 24 Maggio 2016 dagli Stati membri restano in vigore fino a loro eventuale revisione o modifica.
Restano valide le autorizzazioni nazionali sinora emesse dal Garante successivamente a tali decisioni di adeguatezza della Commissione.
Hai bisogno di aiuto?