Previous Page  42 / 53 Next Page
Information
Show Menu
Previous Page 42 / 53 Next Page
Page Background

SPECIALE GDPR

72

dicembre 2017

Trasferimento dati al di fuori della UE

Venendo ora a un tema completamente diverso, il GDPR

negli articoli dal 44 al 50 disciplina i trasferimenti di dati

verso titolari o responsabili del trattamento che si tro-

vano in Paesi al di fuori del territorio dell’Unione Eu-

ropea e dello Spazio Economico Europeo (entità che

comprende Islanda, Liechtenstein, Norvegia e tutti i

Paesi UE), o verso organizzazioni internazionali. Il fine

di queste regole è quello di evitare che il trasferimento

verso Paesi terzi possa costituire occasione per aggira-

re le previsioni del GDPR, indebolendo le garanzie in

questo contenute.

Circa le modalità per l’attuazione di questo trasferimen-

to, il GDPR di fatto conferma l’impianto attualmente

esistente ai sensi della direttiva 95/46/CE e del d. lgs.

196/2003 e pertanto le condizioni con cui può essere

effettuato rimangono in linea di massima le stesse. Si

tratta innanzitutto dei trasferimenti di dati effettuabi-

li sulla base di decisioni di adeguatezza adottate dalla

Commissione Europea.

Queste ultime sono atti di esecuzione che valutano il

livello di protezione dei dati personali offerto nel Paese

terzo o dall’organizzazione internazionale verso cui si

intendono trasferire i dati, per stabilire se è adeguato.

In caso di esito positivo, i trasferimenti potranno esse-

re effettuati senza ulteriori autorizzazioni da parte del

Garante per la protezione dei dati personali.

Il GDPR chiarisce che decisioni adottate finora dalla

Commissione in base all’art. 25, paragrafo 6, della diret-

tiva n. 95/46/CE, in questo ambito resteranno in vigo-

re fino a quando non verranno modificate, sostituite o

abrogate da una decisione della Commissione adottata

ai sensi del GDPR.

Di conseguenza, anche le autorizzazioni nazionali emesse

dal Garante per la protezione dei dati personali successi-

vamente a tali decisioni di adeguatezza sono da ritenersi

ancora in vigore. In mancanza di una decisione di ade-

guatezza della Commissione, il titolare del trattamento

o il responsabile del trattamento potrà trasferire dati

personali verso un Paese terzo o un’organizzazione in-

ternazionale solo se avrà fornito garanzie adeguate e a

condizione che gli interessati dispongano di diritti azio-

nabili e mezzi di ricorso effettivi.

All’interno del GDPR si distingue ulteriormente tra le

garanzie adeguate, che da sole sono sufficienti a legit-

timare il trasferimento (art. 46 comma 2), e quelle che

invece hanno bisogno di ulteriori autorizzazioni speci-

fiche dell’autorità Garante per la protezione dei dati

personali (art. 46 comma 3).

Nella lista indicata dall’art. 46 comma 2 vi sono anche le

norme vincolanti di impresa, ossia quelle politiche in ma-

teria di protezione dei dati personali adottate nell’ambito

di un gruppo imprenditoriale o di un gruppo di imprese

che svolge attività economica comune, di cui il GDPR ha

modificato il processo per l’approvazione con l’intento

di renderlo più snello.

Per quanto riguarda invece le garanzie che richiedono

ulteriori autorizzazioni delle autorità di controllo (come

per esempio le clausole contrattuali ad hoc), si segnala

che le autorizzazioni già rilasciate sulla base della direttiva

n. 95/46/CE resteranno valide fino a quando non ver-

ranno espressamente modificate, sostituite o abrogate.

© iStock - Nastco

segue da pagina 70