Come funziona il trasferimento di dati personali verso un paese terzo nel GDPR

Il General Data Protection Regulation è una delle novità normative più interessanti proposte dall’Unione Europea negli ultimi anni.

Esso ha avuto il merito di portare alla ribalta, non soltanto all’interno dei confini dello Spazio Economico Europeo, questioni prioritarie legate al trattamento dei dati personali, soprattutto nell’ambito dei rapporti tra imprese ed utenti finali.
In particolari situazioni, ossia quando il trattamento dei dati coinvolge paesi non appartenenti all’Unione Europea, il GDPR finisce per influire anche sull’agire di enti ed imprese operanti in nazioni non UE. Andiamo a vedere come funziona una particolare fattispecie disciplinata dal GDPR: il trasferimento dei dati personali verso un paese terzo o un’organizzazione internazionale.

Quando è ammesso il trasferimento

Nel trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale un ruolo determinante è svolto dalla Commissione. E’ questo organo, infatti, a decidere se il paese terzo o l’organizzazione internazionale dispongono di un livello di protezione adeguato.
In che modo la Commissione giudica l’adeguatezza del livello di protezione? Diversi sono i parametri considerati. In primo luogo, vengono svolte valutazioni relative allo stato di diritto e alle norme vigenti nell’ambito del rispetto delle libertà principali e dei diritti umani. L’analisi si sposta, poi, sulle norme che tali paesi o organizzazioni dispongono sul fronte della protezione dei dati e del successivo trasferimento degli stessi verso paesi terzi o altre organizzazioni internazionali.
Per giunta, la Commissione è attenta a valutare anche le possibilità per gli interessati di ricorrere in sede amministrativa e giudiziaria per far valere i propri diritti per i dati personali oggetto di trasferimento.
Altro aspetto importante è la presenza ed il corretto funzionamento di autorità di controllo indipendenti nel paese terzo o a cui deve sottostare l’organizzazione internazionale. In particolare, la Commissione si accerta sul fatto che tali autorità di controllo siano in possesso dei poteri esecutivi, con l’obiettivo di fornire assistenza e consulenza sulla protezione dei dati.
Infine, la Commissione dedica grande attenzione anche agli impegni internazionali che il paese terzo o l’organizzazione internazionale assumono attraverso convenzioni, sistemi regionali o multilaterali legate alla questione della protezione dei dati personali.

Altri compiti della Commissione

La Commissione, attraverso un atto esecutivo, può stabilire la sussistenza del requisito di adeguato livello di protezione richiesto. Nonostante ciò, almeno ogni quattro anni, l’organo dell’Unione Europea è tenuto ad effettuare dei controlli per verificare se e quali sviluppi vi sono stati nel paese terzo o nell’organizzazione internazionale.
Se l’esito di tale controllo fosse negativo, ossia se i paesi o le organizzazioni internazionali in questione non riuscissero più a garantire adeguati livelli di protezione dei dati, la Commissione ha il potere di revocare, modificare o sospendere la sua stessa precedente decisione di conformità.
In questi casi, con l’obiettivo di avviare dialoghi aperti e costruttivi, la Commissione deve consultarsi col paese terzo o l’organizzazione internazionale per rimediare a quanto accaduto.
Non a caso, l’articolo 50 prescrive che la Commissione e le Autorità di controllo sono tenute a portare avanti azioni di cooperazione internazionale affinché le norme sulla protezione dei dati personali vengano applicate facilmente.
Tale cooperazione può espletarsi tramite lo scambio e la documentazione delle legislazioni e delle prassi vigenti sul fronte della protezione dei dati personali ma anche tramite il coinvolgimento delle parti interessate in dibattiti volti a promuovere la cooperazione internazionale.

Come conoscere le decisioni della Commissione

Sulla Gazzetta ufficiale dell’Unione Europea e sul sito web di quest’ultima viene pubblicato l’elenco completi di paesi e organizzazioni internazionali per i quali, secondo la Commissione, il livello di protezione è considerato adeguato o meno.

Conclusioni

Il trattamento dei dati personali, in particolare il trasferimento verso paesi terzi, è una questione di non poco conto che finisce per mettere, spesso, a confronto non solo differenti legislazioni ma anche culture e tradizioni diverse. Diventa, dunque, fondamentale avere la capacità di andare oltre i dettami normativi e costruire buone relazioni finalizzate al miglioramento generale delle condizioni che regolano la protezione dei dati degli utenti di tutto il mondo.