GDPR: attenzione al trasferimento dei dati all’estero!

Il Regolamento (UE) 2016/679 (“GDPR”) sulla protezione dei dati personali, applicabile dal prossimo 25 maggio, al Capo V disciplina il trasferimento transfrontaliero di dati personali da parte del titolare del trattamento.

Sul piano pratico, il gestore di un sito web stabilito nel territorio dell’Unione Europea, deve tenere in considerazione che il trasferimentoa soggetti stabiliti fuori dall’Unione Europeadi dati personali dei propri utenti, raccolti mediante il sito, richiede, alternativamente, la sussistenza di almeno una delle seguenti condizioni:

A. il trasferimento deve avvenire in paesi extra UE per i quali la Commissione Europea ha emanato le cosiddette “decisioni di adeguatezza”. Attualmente i paesi coperti sono: Andorra, Argentina, Canada, Isole Faer Øer, Guernsey, Israele, Isola di Man, Jersey, Nuova Zelanda, Svizzera, Uruguay e USA. Si attendono le pubblicazioni di nuove decisioni, tra cui quelle in corso di trattativa con Giappone e Sud Corea. Gli esiti possono essere monitorati al seguente link: https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en);  

B. nel caso in cui non siano state emanate decisioni di adeguatezza,

(i) per i gruppi di imprese: il trasferimento deve avvenire sulla base di binding corporate rules appositamente approvate dall’autorità competente (in Italia, il Garante privacy);

(ii) per tutti i titolari del trattamento: il trasferimento dei dati personali deve essere effettuato sulla base di accordi contrattuali, stipulati tra il titolare stabilito in Unione Europea e i soggetti destinatari dei dati stabiliti fuori dall’Unione Europea (quali ad esempio responsabili esterni o contitolari del trattamento), che forniscano garanzie adeguate agli utenti (esempio l’esercizio da parte di questi dei diritti a loro accordati dal GDPR). Per la conclusione di tali accordi contrattuali, la Commissione Europea ha emanato dei modelli standard;

C. in assenza di entrambe le suddette condizioni, il GDPR, all’articolo 49, prevede alcune eccezioni – da utilizzare in limitate ipotesi e non per trattamenti continuativi – che giustificano comunque il trasferimento transfrontaliero di dati, sulle quali, tuttavia, si attende la pubblicazione delle relative Linee Guida da parte del Garante Europeo per la protezione dei dati personali, prevista per il 26 marzo 2018 (il provvedimento, in versione non definitiva, è scaricabile al seguente link: http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614232). Il trasferimento, tra le altre ipotesi del citato articolo 49, può avvenire, alternativamente, soltanto se si verificano le seguenti condizioni:

(i) l’utente ha espresso esplicitamente il proprio consenso al trasferimento, una volta informato dal titolare dell’assenza delle suddette condizioni (sub A e B) e degli eventuali rischi;

(ii) il trasferimento è necessario per l’esecuzione di un contratto concluso tra l’utente e il titolare stabilito in Unione Europea, ovvero nell’esecuzione di misure precontrattuali su istanza dell’utente;

In linea generale, il titolare che tratta i dati personali degli utenti del proprio sito web e che si serve di fornitori di servizi (responsabili esterni del trattamento) stabiliti fuori dal territorio dell’Unione Europea ai quali i dati sono trasferiti, deve interrogarsi sulla sussistenza dei suddetti requisiti affinché il trasferimento sia legittimo ai fini del GDPR.

PIVA IT02230331205

Avvertenze   Privacy Policy

Credits webit.it