Trasferimento di Dati Personali all’estero

Il legislatore europeo del GDPR si è proposto l’obiettivo di dettare una base comune armonizzata relativamente al trattamento dei dati personali delle persone fisiche per tutti gli stati membri.

Il GDPR, tuttavia, si applica:

  • al trattamento effettuato dal titolare del trattamento e dal responsabile del trattamento stabiliti in uno stato membro, anche nel caso in cui il trattamento sia effettuato fuori dall’Unione;
  • al trattamento nei confronti di interessati che si trovano all’interno dell’Unione, anche se il titolare del trattamento e il responsabile del trattamento non sono stabiliti nell’Unione, quando il trattamento riguarda:
  1. l’offerta di beni o la prestazione di servizi, indipendentemente dall’obbligatorietà di un pagamento dell’interessato, che, in ogni caso, si deve trovare all’interno dell’Unione,
  2. il monitoraggio del comportamento degli interessati che questi tengono all’interno dell’Unione;
  • al titolare del trattamento non stabilito che effettua il trattamento in uno luogo soggetto al diritto di uno stato membro secondo il diritto internazionale pubblico.

In un mondo sempre più globalizzato, tuttavia, i dati personali possono facilmente essere trasferiti anche in stati non soggetti all’applicazione del GDPR.

In tali ipotesi, potrebbe ben darsi che nello stato in cui avviene il trattamento la regolamentazione della privacy, qualora sia prevista, sia meno stringente di quella recata dal GDPR.

Per garantire adeguata protezione agli interessati anche in questi casi, all’art. 44 del Regolamento, il legislatore europeo vieta consente il trattamento di dati personali di interessati europei al di fuori dei confini dell’UE solo se sono soddisfatti alcuni requisiti, specificamente indicati.

Anzitutto, la Commissione europea, in conformità alla normativa, ha pubblicato un elenco di stati e organizzazioni internazionali che garantiscono adeguata protezione ai dati personali.

L’elenco è in continuo aggiornamento.

Se il trattamento deve aver luogo in uno stato non compreso nell’elenco, il trasferimento dei dati personali è ancora possibile se:

  • il titolare del trattamento ha fornito idonee garanzie e
  • agli interessati sono riconosciuti diritti azionabili e mezzi di ricorso effettivi.

Se la presenza di questa duplice condizione no fosse sufficiente, il titolare del trattamento può sempre chiedere l’autorizzazione del trattamento all’autorità di controllo competente.

Nel caso di gruppi di imprese di dimensione multinazionale, il trasferimento da un’impresa ad un’altra, residente in un altro Paese, ma appartenente allo stesso gruppo, può essere regolata da norme vincolanti d’impresa, in cui ad essere vincolate sono tutte le imprese appartenenti al gruppo. Quanto alla responsabilità, se, pure, la violazione è compiuta da un’impresa non risiedente, di essa risponde la capogruppo, che, da un lato ha adottato le norme vincolanti d’impresa e, dall’altro, ha consentito il trasferimento dei dati personali.

In presenza dei seguenti presupposti, il trattamento è in ogni caso lecito:

  1. quando l’interessato ha rilasciato il proprio consenso, preceduto da idonea informativa;
  2. quando il trattamento è necessario per l’esecuzione di misure precontrattuali o per la conclusione di un contratto tra il titolare del trattamento e l’interessato;
  3. quando il trasferimento è necessario per importanti motivi di interesse pubblico;
  4. quando il trasferimento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria;
  5. in casi di urgenza, al fine di salvaguardare la vita dell’interessato, che si trova all’estero;
  6. il trasferimento è effettuato a partire da un registro che, a norma del diritto dell’Unione o degli Stati membri, mira a fornire informazioni al pubblico e può esser consultato tanto dal pubblico in generale quanto da chiunque sia in grado di dimostrare un legittimo interesse, solo a condizione che sussistano i requisiti per la consultazione previsti dal diritto dell’Unione o degli Stati membri.

Infine, se il trattamento non è riconducibile a nessuna delle precedenti ipotesi, il trasferimento verso un paese extraeuropeo è ancora consentito se:

  • non è ripetitivo,
  • riguarda un numero limitato di interessati,
  • è necessario per il perseguimento degli interessi legittimi cogenti del titolare del trattamento, su cui non prevalgano gli interessi o i diritti e le libertà dell’interessato, e
  • qualora il titolare del trattamento abbia valutato tutte le circostanze relative al trasferimento e sulla base di tale valutazione abbia fornito garanzie adeguate relativamente alla protezione dei dati personali,
  • il titolare del trattamento ha informato l’autorità di controllo del trasferimento,
  • il titolare del trattamento, nell’informativa agli interessati di cui agli artt. 13 e 14 GDPR, oltre alle informazioni fornisce al titolare del trattamento idonee informazioni sugli interessi legittimi cogenti perseguiti.

Per approfondimenti:

Informativa

Torna in alto