Il capo V del reg. Ue 679/2016 (GDPR) è interamente dedicato alla disciplina del trasferimento dei dati personali, anche nel caso dei servizi cloud, verso tutti i Paesi che si trovano al di fuori dei confini dell’Unione Europea (all’interno dei confini, infatti, la circolazione dei dati è libera ai sensi dell’articolo 12 della Convenzione 108 del Consiglio d’Europa).
Benché una definizione precisa di “trasferimento di dati” non sia stata formalizzata, né dal GDPR né dagli enti preposti, possiamo altresì affermare che il cosiddetto flusso transfrontaliero di dati pertiene alla comunicazione diretta degli stessi a specifici destinatari i quali, secondo l’articolo 44 del GDPR, sono identificabili in due categorie: le organizzazioni internazionali e le altre nazioni.
Benché i trasferimenti di dati al di fuori dello Spazio Economico Europeo siano generalmente vietati, essi sono tuttavia possibili nel caso in cui il paese terzo garantisca degli standard di protezione dei dati equiparabili a quelli europei.
IPOTESI DI TRASFERIMENTO DATI ALL’ESTERO
Il primo strumento previsto dal GDPR per la liceità del trattamento dei dati personali è rappresentato dalla decisone di adeguatezza. Nello specifico, un paese terzo (quest’ultimo definito come Stato sovrano riconosciuto) può chiedere alla Commissione europea di far esaminare la propria legislazione, al fine di ottenere una decisione di adeguatezza o modificare tale legislazione al fine di giungere ad un accordo.
La decisione della Commissione è assunta mediante atti di esecuzione e può essere modificata, sospesa o revocata se il paese terzo non soddisfa più i criteri necessari.
TRASFERIMENTO SOGGETTO A GARANZIE ADEGUATE
L’art. 46 del GDPR prevede un’ulteriore possibilità di trasferimento dei dati personali verso paese che non garantiscono un adeguato livello di protezione.
In particolare, il titolare del trattamento di un’azienda sita in Europa, infatti, può stipulare un contratto col titolare dell’azienda che si trova nel paese terzo, le cui clausole sono tali da offrire un livello di protezione adeguato per il trasferimento dei dati. Nello specifico, si richiede un soddisfacente livello di sicurezza e la tutela dei diritti degli interessati. Non occorre una specifica autorizzazione dell’autorità di controllo nazionale per le seguenti ipotesi:
- Uno strumento giuridicamente vincolante e avente efficacia esecutiva tra autorità pubbliche o organismi pubblici;
- Le norme vincolanti d’impresa in conformità dell’art. 47;
- Le clausole tipo di protezione dei dati adottate da un’autorità di controllo e approvate dalla Commissione;
- Un codice di condotta;
- Un meccanismo di certificazione approvato a norma dell’art. 42.
Occorre, invece, l’autorizzazione dell’autorità di controllo nelle seguenti ipotesi:
- Clausole contrattuali tra il titolare del trattamento o il responsabile del trattamento e il titolare del trattamento, il responsabile del trattamento o il destinatario dei dati personali nel paese terzo o nell’organizzazione internazionale;
- Disposizioni da inserire in accordi amministrativi tra autorità pubbliche o organismi pubblici che comprendono diritti effettivi e azionabili per gli interessati.
La Commissione europea, ma anche le autorità di controllo nazionali, possono adottare clausole tipo, valide ai sensi dell’art. 46.
DEROGHE ALL’ADEGUATEZZA
Infine, esistono delle deroghe alla regola generale dell’adeguatezza, che permettono il trasferimento di dati all’estero.
Area Privacy Meleam
Vuoi una consulenza gratuita in tema Privacy? contatta Meleam al 800 621 247.