Il GDPR (Regolamento generale sulla protezione dei dati) non fornisce una definizione giuridica del concetto di trasferimento di dati personali verso un Paese terzo o un’organizzazione internazionale. Per questo motivo, l’EDPB (Comitato europeo per la protezione dei dati) ha fornito linee guida per chiarire quando si applicano i requisiti del Capitolo V del GDPR in caso di trasferimento internazionale di dati personali.
L’EDPB ha individuato tre criteri cumulativi per qualificare un trattamento come trasferimento internazionale di dati personali: un responsabile del trattamento o un incaricato del trattamento è soggetto al GDPR per il trattamento in questione, l’esportatore comunica i dati personali a un importatore in un paese terzo, e l’importatore si trova in un paese terzo, indipendentemente dal fatto che sia soggetto o meno al GDPR per il trattamento in questione ai sensi dell’articolo 3 o sia un’organizzazione internazionale.
Se i tre criteri individuati dall’EDPB sono soddisfatti, si verifica un trasferimento internazionale di dati personali e si applica il Capo V del GDPR. Ciò significa che il trasferimento può avvenire solo a determinate condizioni, ad esempio nel contesto di una decisione di adeguatezza della Commissione europea o fornendo garanzie adeguate.
Le disposizioni del Capo V del GDPR mirano a garantire la protezione continua dei dati personali dopo il loro trasferimento a un Paese terzo o a un’organizzazione internazionale. Se i tre criteri non sono soddisfatti, non c’è trasferimento internazionale di dati personali e il Capo V del GDPR non si applica.
Tuttavia, è importante ricordare che il responsabile del trattamento deve comunque rispettare le altre disposizioni del GDPR e rimane pienamente responsabile delle sue attività di trattamento, indipendentemente dal luogo in cui si svolgono. Anche se una determinata trasmissione di dati potrebbe non qualificarsi come trasferimento ai sensi del Capo V, tale trattamento può comunque essere associato a maggiori rischi perché avviene al di fuori dell’UE, ad esempio a causa di leggi nazionali contrastanti o di un accesso sproporzionato da parte del governo del Paese terzo.
Per questo motivo, è importante prendere in considerazione i rischi quando si adottano le misure previste dall’articolo 5, dall’articolo 24 e dall’articolo 32 del GDPR, al fine di garantire che il trattamento sia legittimo ai sensi del GDPR. Le linee guida includono vari esempi di flussi di dati verso Paesi terzi, che sono anche illustrati in un allegato per fornire ulteriori indicazioni pratiche.
Daniele Giordano
Ultimi post di Daniele Giordano (vedi tutti)
- Protezione dei Dati e Gig Economy: Analisi del Provvedimento del Garante n. 675/2024 su Foodinho e Glovo - Novembre 22, 2024
- Verso una regolamentazione consapevole: analisi del Codice di Buone Pratiche sull’intelligenza artificiale generale - Novembre 15, 2024
- La Direttiva (UE) 2024/2831: un passo avanti per le condizioni di lavoro sulle piattaforme digitali - Novembre 12, 2024
- Domicilio digitale e notifiche telematiche: l’ordinanza n. 28532/2024 della Corte di Cassazione - Novembre 7, 2024
- Il nuovo quadro di protezione dati UE-USA: valutazione critica del rapporto dell’EDPB del 4 novembre 2024 - Novembre 5, 2024