Blog

GDPR.jpg

Trasferimento dei dati personali verso Paesi extra UE

Il trattamento dei dati personali tra Paesi appartenenti all’interno dell’Unione Europea è liberamente ammesso, viviamo in un’epoca di mercato unico, dove all’interno dell’Unione non ci sono barriere fisiche o digitali.

Per quanto riguarda invece il trasferimento di dati personali da Paesi appartenenti all’UE verso Paesi “terzi” (non appartenenti cioè all’UE o allo Spazio Economico Europeo), il Regolamento Generale sulla Protezione dei Dati (GDPR) ci impone determinate condizioni.

Il trasferimento dei dati personali può avvenire tramite:

  • Il consenso dell’interessato a trasferire i suoi dati personali;
  • Decisioni di Adeguatezza;
  • Clausole contrattuali;
  • Codici di condotta.

La Commissione Europea può stabilire che il livello di protezione offerto in un determinato Paese terzo sia adeguato da permettere il trasferimento di dati personali dal paese dell’UE al suddetto paese. La Commissione quindi valuta l’adeguamento del Paese “terzo” considerandolo compliant prima alla direttiva e adesso al Regolamento. Con il nuovo Regolamento però ora, a priori, devono essere decisi i criteri di adeguatezza.

Le clausole contrattuali, denominate SCC (standard contractual closes) e BCR (binding corporate rules), sono adottate dalla Commissione Europea e da inserire nei contratti con i fornitori extra UE o con quei soggetti extra UE a cui si vuole trasferire i dati personali. Queste clausole consentono di tutelare a livello giuridico il trattamento dei dati personali dell’interessato. Ad esempio le BCR sono strumenti che consentono il trasferimento di dati personali dal territorio dello Stato UE verso Paesi terzi tra società facenti parte dello stesso gruppo d’impresa. Si concretizzano in un documento contente una serie di clausole (rules) che fissano i principi vincolanti (binding), al cui rispetto sono tenute tutte le società appartenenti allo stesso gruppo (corporate). Nel caso si volesse far avvenire un trasferimento di dati, il Titolare del trattamento stabilito sul territorio dello Stato italiano deve trasmettere al Garante una specifica richiesta di autorizzazione ai trasferimenti di dati personali dal territorio dello Stato verso Paesi terzi tramite BCR.

Invece i Codici di condotta e certificazione GDPR sono misure del tutto facoltative. L’adottamento di tali misure permettono un libero trasferimento dei dati vero Paesi terzi in assenza delle precedenti possibilità.



Pubblicato da Riccardo Brambilla in data 29/05/2018