Cosa tenere presente in caso di trasferimento di dati personali

Nel territorio dell'Unione Europea il trasferimento dei dati personali è sempre libero, mentre al suo esterno è concesso solo a determinate condizioni: in questo caso le aziende sono chiamate ad adottare procedure adeguate e a dimostrare il rispetto delle garanzie previste dal GDPR.

‍

‍

Le garanzie per trasferire i dati al di fuori dell’Unione Europea

‍

Il GDPR prevede tre tipologie di garanzie. Vediamo le differenze.

‍

Trasferimento basato su una decisione di adeguatezza

Una delle principali garanzie è la presenza, per il paese verso cui si intende trasferire i dati, di una decisione di adeguatezza: in questo caso il paese viene considerato adeguato dalla Commissione europea in base al suo livello di protezione dei dati. Questo tipo di decisione rappresenta uno strumento vincolante per ogni paese dell’Unione.

‍

I trasferimenti a un paese terzo considerato “adeguato” possono avvenire senza ulteriori autorizzazioni in quanto già approvati dal regolamento. Le decisioni di adeguatezza sono comunque oggetto di revisione periodica per determinare, nel lungo periodo, se il paese sia ancora in grado di garantire un livello adeguato di protezione dei dati. Possono essere modificate, sospese o revocate, se risulta che il paese terzo non soddisfi più i criteri necessari.

‍

Per ogni eventuale trasferimento è consigliabile che il titolare del trattamento consulti, sul sito dell’autorità di controllo nazionale, l’elenco dei paesi extra UE considerati adeguati.

‍

Trasferimento basato su garanzie adeguate

In mancanza di una decisione di adeguatezza, si possono trasferire dati personali verso un paese terzo o un'organizzazione internazionale solo in presenza delle garanzie adeguate elencate all’art. 46.

Le riproponiamo qui di seguito:
‍

• uno strumento giuridicamente vincolante e applicabile tra autorità o enti pubblici;
  ‍
  
• utilizzo di norme d’impresa vincolanti (BCR) in conformità all’articolo 47;
  ‍
  
• clausole contrattuali standard di protezione dei dati adottate dalla Commissione secondo la procedura d’esame di cui all’articolo 93, paragrafo 2;
  ‍
  
• clausole contrattuali standard di protezione dei dati adottate da un’autorità di controllo e approvate dalla Commissione secondo la procedura di esame di cui all’articolo 93, paragrafo 2;
  ‍
  
• un codice di condotta approvato ai sensi dell’articolo 40, insieme alle clausole contrattuali vincolanti che diano le appropriate garanzie rispetto ai diritti dei soggetti interessati;
  ‍
  
• un meccanismo di certificazione approvato a norma dell’articolo 42, insieme alle clausole contrattuali vincolanti che diano le appropriate garanzie rispetto ai diritti dei soggetti interessati.
  

‍

Trasferimento basato sulle deroghe dell'art. 49

Nel caso non sia presente una decisione di adeguatezza o una garanzia adeguata è possibile prendere in esame le deroghe al trasferimento di dati che sono il consenso dell'interessato e gli altri casi previsti dall'art. 49.
‍

Gestione dei trasferimenti in UTOPIA

Accedendo al menù Registri e cliccando su uno specifico trattamento, puoi indicare i dettagli del trasferimento utilizzando le voci:
‍

• trasferimenti: indichi il paese terzo o l’organizzazione internazionale in cui verranno trasferiti i dati personali;‍
  ‍
• garanzie: indichi per ogni paese od organizzazione le garanzie scegliendo fra una decisione di adeguatezza, una garanzia adeguata o una deroga.