PAESI TERZI: ECCO COSA STABILISCE IL GDPR
Una delle questioni che il GDPR mette in luce (già preso in considerazione dal Codice della Privacy del 2003) riguarda il trasferimento dei dati personali trattati e la loro circolazione in paesi terzi. In nome di un’effettiva tutela degli interessati, il GDPR ammette il trasferimento di dati, anche se salvati in cloud, solo se nel paese di destinazione è garantito un livello di sicurezza equivalente a quello previsto nell’Unione Europea e dal GDPR. Il Regolamento, pertanto, si pone come obiettivo la tutela degli interessati anche fuori dai confini europei, lasciando ai titolari del trattamento il compito di accertare che il trasferimento dati avvenga secondo gli standard previsti. Con gli articoli 44 e seguenti, il Legislatore europeo ha imposto precise condizioni affinché sia possibile effettuare il trasferimento dei dati all’estero.
Ecco quali sono le condizioni di trasferimento dei dati in paesi terzi stabilite dal GDPR:
– il titolare o il responsabile del trattamento forniscono garanzie adeguate (norme vincolanti d’impresa, clausole contrattuali, certificazione etc.) e solo se gli interessati dispongono di mezzi di ricorso effettivi.
– Le BCR – Binding Corporate Rules sono clausole contrattuali che, previa approvazione da parte dell’autorità di controllo nazionale/europea, consentono alle società facenti parte dello stesso gruppo d’impresa il trasferimento di dati verso paesi terzi.
– La Commissione europea può, infine, consentire il trasferimento dei dati sulla base di una decisione di adeguatezza, i cui termini di valutazione vengono dettati dall’art. 45 del GDPR. Tale valutazione verrà successivamente riesaminata (ogni 4 anni almeno) in modo da poter garantire una tutela sempre in linea con il Regolamento.
