Risposta

In un mondo globalizzato come quello odierno, si assiste a grandi quantità di trasferimenti transfrontalieri di dati personali, che a volte sono conservati su server in paesi diversi. La protezione offerta dal regolamento generale sulla protezione dei dati viaggia con i dati, il che significa che le norme di protezione dei dati personali continuano ad applicarsi indipendentemente dal luogo in cui arrivano i dati. Ciò vale anche quando i dati vengono trasferiti in un paese che non è uno Stato membro dell'UE (che è quindi un paese terzo).

Il GDPR fornisce diversi strumenti per disciplinare i trasferimenti di dati dall’UE verso un paese terzo:

  • talvolta, una decisione della Commissione europea («decisione di adeguatezza») può sancire che un determinato paese terzo è in grado di offrire un adeguato livello di protezione nel senso che è possibile trasferire dati a un’altra società in quel paese terzo senza che l’esportatore dei dati sia tenuto a fornire ulteriori garanzie o sia soggetto a condizioni supplementari. In altre parole, i trasferimenti verso un paese terzo «adeguato» saranno assimilati a una trasmissione di dati all’interno dell’UE;
  • in mancanza di una decisione di adeguatezza, il trasferimento può aver luogo mediante la fornitura di garanzie adeguate e a condizione che le persone dispongano di diritti esecutivi e mezzi di ricorso efficaci. Tali garanzie adeguate comprendono, tra l’altro, quanto segue:
    • nel caso di un gruppo di imprese o di gruppi di aziende che esercitano un’attività economica congiunta, le aziende possono trasferire dati personali sulla base delle cosiddette norme vincolanti d’impresa;
    • accordi contrattuali con il destinatario dei dati personali, ad esempio utilizzando le clausole contrattuali tipo approvate dalla Commissione europea;
    • l’osservanza di un codice di condotta o di un meccanismo di certificazione, unitamente all’ottenimento da parte del destinatario di impegni vincolanti ed esecutivi ad applicare le opportune garanzie per proteggere i dati trasferiti;
  • infine, se è previsto un trasferimento di dati personali verso un paese terzo che non è soggetto a una decisione di adeguatezza e se mancano garanzie appropriate, può essere effettuato un trasferimento basato su una serie di deroghe per situazioni specifiche, ad esempio quando una persona ha esplicitamente acconsentito al trasferimento proposto dopo aver ricevuto tutte le informazioni necessarie sui rischi associati al trasferimento.

Esempio

Sei un’azienda francese che intende espandere i suoi servizi in Sud America, in particolare Argentina, Uruguay e Brasile. Il primo passo consiste nel verificare se i paesi terzi coinvolti sono soggetti a una decisione di adeguatezza. In questo caso, sia l’Argentina che l’Uruguay sono stati dichiarati adeguati. Sarai in grado di trasferire i dati personali a questi due paesi terzi senza alcuna garanzia aggiuntiva, mentre per i trasferimenti in Brasile, paese che non beneficia di una decisione di adeguatezza, dovrai inquadrare i tuoi trasferimenti fornendo adeguate garanzie.

Riferimenti