Come gestire i trasferimenti in UTOPIA

In questo articolo vediamo come gestire il trasferimento di dati personali verso paesi terzi od organizzazioni internazionali secondo quanto previsto dal regolamento europeo per la protezione dei dati personali.
Trasferimento dati
Paesi terzi e organizzazioni internazionali

Cosa tenere presente in caso di trasferimento

Pur non essendoci una definizione specifica, il concetto di trasferimento di dati personali è spesso richiamato all’interno del regolamento Europeo in relazione agli adempimenti più importanti per il titolare del trattamento come:


  • l’informativa privacy, in cui l’interessato deve essere informato sul trasferimento.
  • il registro dei trattamenti, in cui per ogni trattamento devo indicare se è presente un trasferimento.
    .
  • la valutazione di impatto, in cui specificare anche qui in maniera dettagliata le garanzie poste a tutela del trasferimento.

Mentre la circolazione dei dati personali all’interno dello spazio economico Europeo è sempre libera, per effettuare un trasferimento di dati personali extra UE esiste un divieto generale.

Oggi con i servizi di hosting in cloud, servizi di mail marketing o automazioni accade che dati personali vengono trasferiti fuori dall’UE senza che le organizzazioni abbiano valutato e registrato correttamente le modalità di tale trasferimento in base a quanto richiesto dal GDPR.

Non solo, possiamo assistere a trasferimenti extra UE anche in caso di aziende e gruppi internazionali dislocati su più sedi, ad esempio, per i dati dei dipendenti.

In ottica di adeguamento al regolamento, ogni organizzazione deve adottare procedure adeguate che permettano di analizzare i casi di trasferimento al di fuori dell’Europa di dati personali dimostrando anche di rispettare tutte le garanzie previste dal regolamento.

La garanzie per trasferire i dati al di fuori dell’Unione Europea

Il regolamento Europeo permette il trasferimento di dati personali al di fuori dello spazio economico europeo solamente in presenza di adeguate modalità di tutela verso gli interessati.

In particolare sono previste tre tipologie di tutele per trasferimento, vediamo le differenze:

Trasferimento basato su una decisione di adeguatezza

Una delle principali garanzie per il trasferimento dei dati è la presenza, per il paese verso cui si intende trasferire i dati, di una decisione di adeguatezza: significa che il paese in questione viene considerato adeguato dalla commissione europea in base al suo livello di protezione dei dati, che è considerato in linea con i principi del regolamento. Questo tipo di decisione rappresenta uno strumento vincolante per ogni paese dell’Unione.


I trasferimenti ad un paese terzo considerato “adeguato” possono avvenire senza ulteriori autorizzazioni in quanto già autorizzate dal regolamento. Le decisioni di adeguatezza sono comunque oggetto di revisione periodica per determinare, nel lungo periodo, se il paese sia ancora in grado di garantire un livello adeguato di protezione dei dati.

Possono essere modificate, sospese o revocate, se risulta che il paese terzo non soddisfa più i criteri necessari.

In occasione di un eventuale trasferimento è consigliabile che i titolari del trattamento consultino l’elenco dei paesi extra ue considerati adeguati direttamente sul sito dell’autorità di controllo nazionale come, ad esempio, sul sito del garante italiano raggiungibile qui.

Trasferimento basato su garanzie adeguate

In mancanza di una decisione di adeguatezza, si possono trasferire dati personali verso un paese terzo o un'organizzazione internazionale solo in presenza di garanzie specifiche, e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi.

Tali garanzie definite “adeguate” possono essere di varia natura e sono indicate all’interno dell’art. 46:

  • Uno strumento giuridicamente vincolante e applicabile tra autorità o enti pubblici.

  • Utilizzo di norme d’impresa vincolanti (BCR) in conformità all’articolo 47.

  • Clausole contrattuali standard di protezione dei dati adottate dalla Commissione secondo la procedura d’esame di cui all’articolo 93, paragrafo 2.

  • Clausole contrattuali standard di protezione dei dati adottate da un’autorità di controllo e approvate dalla Commissione secondo la procedura di esame di cui all’articolo 93, paragrafo 2.

  • Un codice di condotta approvato ai sensi dell’articolo 40, insieme alle clausole contrattuali vincolanti che diano le appropriate garanzie rispetto ai diritti dei soggetti interessati.

  • Un meccanismo di certificazione approvato a norma dell’articolo 42, insieme alle clausole contrattuali vincolanti che diano le appropriate garanzie rispetto ai diritti dei soggetti interessati.

Trasferimento basato sulle deroghe dell'art.49

Nel caso non sia presente una decisione di adeguatezza o una garanzia adeguata è possibile prendere in esame le deroghe al trasferimento di dati presente all’articolo 49 che sono:

  • Il consenso esplicito dell’interessato dopo aver ricevuto le informazioni sui rischi del trasferimento in mancanza di garanzie

Oppure i casi in cui il trasferimento risulti necessario per:

  • L’esecuzione di un contratto tra titolare e interessato o misure precontrattuali su richiesta dell’interessato.

  • La conclusione di un contratto tra il titolare e un altro soggetto giuridico a favore dell’interessato.

  • Importanti motivi di interesse pubblico.

  • Accertare, esercitare o difendere un diritto in sede giudiziaria.

  • Tutelare gli interessi vitali dell'interessato o di altre persone, qualora l'interessato si trovi nell'incapacità fisica o giuridica di prestare il proprio consenso.

  • Il trasferimento sia effettuato a partire da un registro che, a norma del diritto dell'Unione o degli Stati membri, mira a fornire informazioni al pubblico e può essere consultato tanto dal pubblico in generale quanto da chiunque sia in grado di dimostrare un legittimo interesse, solo a condizione che sussistano i requisiti per la consultazione previsti dal diritto dell'Unione o degli Stati membri.

Gestione dei trasferimenti in UTOPIA

All’interno della sezione Registri, entrando su uno specifico trattamento, hai la possibilità di indicare i dettagli del trasferimento utilizzando le sezioni:

  • Categorie: dove inserire le categorie dei destinatari, qua sarà opportuno indicare tutte le categorie di destinatari dei dati personali oggetto di trasferimento, sia chi riceve i dati in forza di un'obbligo di legge e sia chi li riceve sulla base di un contratto come ad esempio i responsabili del trattamento.

  • Trasferimenti: dove indicare il paese terzo o l’organizzazione internazionale in cui verranno trasferiti i dati personali.
  • Garanzie: dove, per ogni paese od organizzazione, indicare le garanzia scegliendo fra una decisione di adeguatezza, una garanzia adeguata o una deroga.
Torna alla documentazione

Inizia con un account gratuito

Crea il tuo account personale in meno di un minuto e scopri tutte le potenzialità di UTOPIA. Tutto incluso e senza alcuna limitazione, gratuitamente, per 14 giorni.

Cliccando il pulsante si accettano le condizioni di trattamento
Iscrizione effettuata con successo!
Si è verificato un errore imprevisto durante l'iscrizione. Riprova...