Il GDPR (Regolamento generale sulla protezione dei dati) non fornisce una definizione giuridica del concetto di trasferimento di dati personali verso un Paese terzo o un’organizzazione internazionale. Per questo motivo, l’EDPB (Comitato europeo per la protezione dei dati) ha fornito linee guida per chiarire quando si applicano i requisiti del Capitolo V del GDPR in caso di trasferimento internazionale di dati personali.
L’EDPB ha individuato tre criteri cumulativi per qualificare un trattamento come trasferimento internazionale di dati personali: un responsabile del trattamento o un incaricato del trattamento è soggetto al GDPR per il trattamento in questione, l’esportatore comunica i dati personali a un importatore in un paese terzo, e l’importatore si trova in un paese terzo, indipendentemente dal fatto che sia soggetto o meno al GDPR per il trattamento in questione ai sensi dell’articolo 3 o sia un’organizzazione internazionale.
Se i tre criteri individuati dall’EDPB sono soddisfatti, si verifica un trasferimento internazionale di dati personali e si applica il Capo V del GDPR. Ciò significa che il trasferimento può avvenire solo a determinate condizioni, ad esempio nel contesto di una decisione di adeguatezza della Commissione europea o fornendo garanzie adeguate.
Le disposizioni del Capo V del GDPR mirano a garantire la protezione continua dei dati personali dopo il loro trasferimento a un Paese terzo o a un’organizzazione internazionale. Se i tre criteri non sono soddisfatti, non c’è trasferimento internazionale di dati personali e il Capo V del GDPR non si applica.
Tuttavia, è importante ricordare che il responsabile del trattamento deve comunque rispettare le altre disposizioni del GDPR e rimane pienamente responsabile delle sue attività di trattamento, indipendentemente dal luogo in cui si svolgono. Anche se una determinata trasmissione di dati potrebbe non qualificarsi come trasferimento ai sensi del Capo V, tale trattamento può comunque essere associato a maggiori rischi perché avviene al di fuori dell’UE, ad esempio a causa di leggi nazionali contrastanti o di un accesso sproporzionato da parte del governo del Paese terzo.
Per questo motivo, è importante prendere in considerazione i rischi quando si adottano le misure previste dall’articolo 5, dall’articolo 24 e dall’articolo 32 del GDPR, al fine di garantire che il trattamento sia legittimo ai sensi del GDPR. Le linee guida includono vari esempi di flussi di dati verso Paesi terzi, che sono anche illustrati in un allegato per fornire ulteriori indicazioni pratiche.
Daniele Giordano
Ultimi post di Daniele Giordano (vedi tutti)
- Verso una regolamentazione consapevole: analisi del Codice di Buone Pratiche sull’intelligenza artificiale generale - Novembre 15, 2024
- L’armonizzazione degli standard per l’AI Act: verso una conformità normativa sicura e affidabile - Ottobre 31, 2024
- Consultazione della Commissione Europea sull’accesso ai dati delle piattaforme - Ottobre 29, 2024
- Sanzione del Garante Privacy a Postel S.p.A.: prevenzione e corretta segnalazione della violazione in caso di data breach - Ottobre 23, 2024
- Sul valore probatorio delle firme elettroniche nel processo - Ottobre 18, 2024