Risposta
In un mondo globalizzato come quello odierno, si assiste a grandi quantità di trasferimenti transfrontalieri di dati personali, che a volte sono conservati su server in paesi diversi. La protezione offerta dal regolamento generale sulla protezione dei dati viaggia con i dati, il che significa che le norme di protezione dei dati personali continuano ad applicarsi indipendentemente dal luogo in cui arrivano i dati. Ciò vale anche quando i dati vengono trasferiti in un paese che non è uno Stato membro dell'UE (che è quindi un paese terzo).
Il GDPR fornisce diversi strumenti per disciplinare i trasferimenti di dati dall’UE verso un paese terzo:
- talvolta, una decisione della Commissione europea («decisione di adeguatezza») può sancire che un determinato paese terzo è in grado di offrire un adeguato livello di protezione nel senso che è possibile trasferire dati a un’altra società in quel paese terzo senza che l’esportatore dei dati sia tenuto a fornire ulteriori garanzie o sia soggetto a condizioni supplementari. In altre parole, i trasferimenti verso un paese terzo «adeguato» saranno assimilati a una trasmissione di dati all’interno dell’UE;
- in mancanza di una decisione di adeguatezza, il trasferimento può aver luogo mediante la fornitura di garanzie adeguate e a condizione che le persone dispongano di diritti esecutivi e mezzi di ricorso efficaci. Tali garanzie adeguate comprendono, tra l’altro, quanto segue:
- nel caso di un gruppo di imprese o di gruppi di aziende che esercitano un’attività economica congiunta, le aziende possono trasferire dati personali sulla base delle cosiddette norme vincolanti d’impresa;
- accordi contrattuali con il destinatario dei dati personali, ad esempio utilizzando le clausole contrattuali tipo approvate dalla Commissione europea;
- l’osservanza di un codice di condotta o di un meccanismo di certificazione, unitamente all’ottenimento da parte del destinatario di impegni vincolanti ed esecutivi ad applicare le opportune garanzie per proteggere i dati trasferiti;
- infine, se è previsto un trasferimento di dati personali verso un paese terzo che non è soggetto a una decisione di adeguatezza e se mancano garanzie appropriate, può essere effettuato un trasferimento basato su una serie di deroghe per situazioni specifiche, ad esempio quando una persona ha esplicitamente acconsentito al trasferimento proposto dopo aver ricevuto tutte le informazioni necessarie sui rischi associati al trasferimento.
Esempio
Sei un’azienda francese che intende espandere i suoi servizi in Sud America, in particolare Argentina, Uruguay e Brasile. Il primo passo consiste nel verificare se i paesi terzi coinvolti sono soggetti a una decisione di adeguatezza. In questo caso, sia l’Argentina che l’Uruguay sono stati dichiarati adeguati. Sarai in grado di trasferire i dati personali a questi due paesi terzi senza alcuna garanzia aggiuntiva, mentre per i trasferimenti in Brasile, paese che non beneficia di una decisione di adeguatezza, dovrai inquadrare i tuoi trasferimenti fornendo adeguate garanzie.
Riferimenti
- Capo V (Articoli 44-50); Considerando 101-116 del GDPR
- Ultime linee guida del comitato europeo per la protezione dei dati sui trasferimenti internazionali
- Linee guida del comitato europeo per la protezione dei dati personali sull'indice di adeguatezza
- Linee guida del comitato europeo per la protezione dei dati personali sulle nelle norme vincolanti d'impresa per i titolari del trattamento
- Linee guida del comitato europeo per la protezione dei dati personali sulle norme vincolanti d'impresa per il responsabile del trattamento
- Vedere anche la comunicazione della Commissione europea sullo scambio e la protezione dei dati personali in un mondo globalizzato, 10 gennaio 2017
Example
You're a French company intending to expand its services to South America, notably Argentina, Uruguay and Brazil. The first step would be to check whether those third countries are subject to an Adequacy Decision. In this case, both Argentina and Uruguay have been declared adequate. You’d be able to transfer personal data to those two third countries without any additional safeguards while for transfers to Brazil which is not the subject of Adequacy Decision, you’ll have to frame your transfers by providing appropriate safeguards.
References
- Chapter V, Articles (44 to 50) and Recitals (101) to (116) of the GDPR
- EDPB's latest guidelines on International transfers:
- See also for reference the European Commission Communication on Exchanging and Protecting Personal Data in a Globalised World1, 10 January 2017
1 COM(2017)7 final