Il GDPR (Regolamento generale sulla protezione dei dati) non fornisce una definizione giuridica del concetto di trasferimento di dati personali verso un Paese terzo o un’organizzazione internazionale. Per questo motivo, l’EDPB (Comitato europeo per la protezione dei dati) ha fornito linee guida per chiarire quando si applicano i requisiti del Capitolo V del GDPR in caso di trasferimento internazionale di dati personali.
L’EDPB ha individuato tre criteri cumulativi per qualificare un trattamento come trasferimento internazionale di dati personali: un responsabile del trattamento o un incaricato del trattamento è soggetto al GDPR per il trattamento in questione, l’esportatore comunica i dati personali a un importatore in un paese terzo, e l’importatore si trova in un paese terzo, indipendentemente dal fatto che sia soggetto o meno al GDPR per il trattamento in questione ai sensi dell’articolo 3 o sia un’organizzazione internazionale.
Se i tre criteri individuati dall’EDPB sono soddisfatti, si verifica un trasferimento internazionale di dati personali e si applica il Capo V del GDPR. Ciò significa che il trasferimento può avvenire solo a determinate condizioni, ad esempio nel contesto di una decisione di adeguatezza della Commissione europea o fornendo garanzie adeguate.
Le disposizioni del Capo V del GDPR mirano a garantire la protezione continua dei dati personali dopo il loro trasferimento a un Paese terzo o a un’organizzazione internazionale. Se i tre criteri non sono soddisfatti, non c’è trasferimento internazionale di dati personali e il Capo V del GDPR non si applica.
Tuttavia, è importante ricordare che il responsabile del trattamento deve comunque rispettare le altre disposizioni del GDPR e rimane pienamente responsabile delle sue attività di trattamento, indipendentemente dal luogo in cui si svolgono. Anche se una determinata trasmissione di dati potrebbe non qualificarsi come trasferimento ai sensi del Capo V, tale trattamento può comunque essere associato a maggiori rischi perché avviene al di fuori dell’UE, ad esempio a causa di leggi nazionali contrastanti o di un accesso sproporzionato da parte del governo del Paese terzo.
Per questo motivo, è importante prendere in considerazione i rischi quando si adottano le misure previste dall’articolo 5, dall’articolo 24 e dall’articolo 32 del GDPR, al fine di garantire che il trattamento sia legittimo ai sensi del GDPR. Le linee guida includono vari esempi di flussi di dati verso Paesi terzi, che sono anche illustrati in un allegato per fornire ulteriori indicazioni pratiche.
Daniele Giordano
Ultimi post di Daniele Giordano (vedi tutti)
- Sul margine di discrezionalità delle autorità garanti nell’infliggere sanzioni - Settembre 27, 2024
- Il parere del Garante sul decreto di recepimento della direttiva CER - Settembre 13, 2024
- Firmata la Convenzione quadro del Consiglio d’Europa sull’intelligenza artificiale - Settembre 5, 2024
- Il Parlamento UE emana un documento informativo di sintesi dell’AI Act - Settembre 2, 2024
- Il parere del Garante Privacy sullo schema di disegno di legge in materia di intelligenza artificiale - Agosto 9, 2024