Il General Data Protection Regulation, entrato ufficialmente in vigore nel maggio del 2018, rappresenta oggi la normativa di riferimento sul tema della tutela della privacy degli utenti.
Il GDPR è intervenuto su diversi importanti aspetti del trattamento dei dati personali, con l’obiettivo di regolamentare e uniformare le diverse norme che in questi anni erano state approvate.
Un intero Capo, il quinto, del GDPR è stato dedicato ad una questione delicata e di grande rilevanza: il trasferimento dei dati personali verso i paesi terzi o verso organizzazioni internazionali. Andiamo a vedere cosa dice la legge europea da questo punto di vista e quali sono le nozioni principali da acquisire.
In quali articoli del GDPR si parla di trasferimento dati all’estero
Gli articoli in questione sono quelli che vanno dall’articolo 44 all’articolo 50. Non c’è una definizione vera e propria di trasferimento dati all’interno del GDPR. In linea generale, possiamo dire che si parla di trasferimento dati all’estero ogni volta che i dati oggetto del trasferimento si riferiscono ad una persona facente capo ad una giurisdizione estera.
Il principio generale per il trasferimento all’estero dei dati
Secondo quanto stabilito dall’articolo 44 del GDPR, il trasferimento dei dati personali all’estero si può considerare legittimo soltanto se il titolare ed il responsabile del trattamento rispettano le disposizioni del suddetto Capo quinto e, in generale, tutte quelle del GDPR.
Quando il trasferimento può essere effettuato senza specifiche autorizzazioni
Affinché un trasferimento di dati all’estero possa essere portato a termine senza il ricorso a specifiche autorizzazioni, la Commissione è tenuta a decretare che il paese terzo o l’organizzazione internazionale in questione sia in grado di garantire un adeguato livello di protezione.
Come si valuta l’adeguatezza del livello di protezione
La Commissione basa le sue valutazioni su alcuni parametri importanti, definiti nell’articolo 45 del General Data Protection Regulation. Potremmo dire che la Commissione si pone alcune domande sul paese terzo o sull’organizzazione internazionale prima di giungere ad una valutazione definitiva:
- Qual è lo stato di diritto e le leggi settoriali e generali vigenti?
- I diritti umani e le libertà fondamentali sono rispettati?
- Quali sono le normative in materia di protezione dati e misure di sicurezza?
- Quali sono le norme che regolano il trasferimento di dati all’estero dal paese o dall’organizzazione internazionale in questione?
- Quali sono i diritti dei soggetti interessati dal trasferimento dei dati e come possono tutelarsi in sede amministrativa e giudiziaria?
- Esiste e funziona attivamente almeno un’autorità di controllo indipendente e quali sono i poteri di cui dispone?
- Quali impegni a livello internazionale sono stati assunti sia a livello generale che sul fronte della protezione dei dati personali?
Gli atti di esecuzione della Commissione
Dopo aver effettuato le valutazioni di cui sopra, la Commissione adotta una decisione attraverso un atto di esecuzione. Anche nel caso in cui il livello di protezione dati del paese terzo o dell’organizzazione internazionale venga giudicato adeguato, almeno ogni quattro anni la Commissione è tenuta a compiere un riesame.
In questo modo è, infatti, possibile conoscere gli sviluppi sul fronte del trasferimento dei dati e, in generale, sulla protezione dei dati. La Commissione può revocare, modificare o sospendere la decisione di conformità precedentemente assunta. Al fine di porre rimedio alla situazione da cui è scaturito il provvedimento negativo, la Commissione dà vita a delle consultazioni col paese terzo o l’organizzazione internazionale.
L’elenco dei paesi e organizzazioni dotati/non dotati di un livello di protezione adeguato
È la Commissione stessa a pubblicare sul suo sito web e sulla Gazzetta Ufficiale dell’Unione Europea l’elenco dei paesi terzi, dei territori o dei settori specifici all’interno di un paese terzo e delle organizzazioni internazionali che garantiscono o meno un livello di protezione adeguato in merito al trasferimento all’estero dei dati degli utenti.
