Il trasferimento dei dati all’estero, ovvero fuori dallo Spazio Economico Europeo, è una ipotesi che si verifica sempre più frequentemente. Sulla questione è intervenuto recentemente il comitato europeo della protezione dei dati mediante le linee guida numero 5 del 2021. Queste linee guida hanno lo scopo di offrire un supporto nell’identificazione di un trasferimento dei dati extra spazio economico europeo o verso un’organizzazione internazionale. Nel caso di un trasferimento di dati a un paese terzo, ovvero un’organizzazione internazionale trovano applicazione le disposizioni contenute nel capo quinto del GDPR, le quali hanno lo scopo di assicurare che il livello di protezione garantito dal GDPR non venga compromesso, quando i dati personali sono trasferiti ad un paese extra spazio economico europeo, ovvero un’organizzazione internazionale, come espressamente previsto dall’articolo 44 e dal considerando numero 101 del GDPR. Il comitato europeo per la protezione dei dati, per aiutare gli operatori, ha anche elaborato un concetto di trasferimento di dati personali a un paese terzo, ovvero a un’organizzazione internazionale. Questa definizione si basa su tre criteri che devono tra loro considerarsi cumulativi.
Il primo criterio stabilisce che il titolare o super responsabile del trattamento sia soggetto al GDPR per una specifica operazione di trattamento.
Il secondo criterio richiede che vi sia un co-titolare o un super responsabile del trattamento che comunichi mediante trasmissione, ovvero la messa a disposizione mediante altre modalità, i dati personali ad un altro co-titolare o super responsabile.
Il terzo criterio è che l’importatore dei dati personali si trovi in un paese terzo, ossia extra spazio economico europeo, ovvero sia un’organizzazione internazionale indipendentemente dal fatto che essa sia soggetto o meno del GDPR per quanto riguarda una specifica operazione di trattamento. Si consideri come esempio una società avente sede in Irlanda, la quale è una filiale di una società capogruppo con sede negli stati uniti che comunica a quest’ultima i dati personali dei propri dipendenti, così da permettere l’archiviazione.
In conclusione, il comitato europeo per la protezione dei dati personali ha stabilito che in casi, come questo citato, in cui si riscontrino tutti i tre i criteri sopra individuati, sussiste un trasferimento di dati personali a un paese terzo o a un’organizzazione internazionale. Di conseguenza il co-titolare o il super responsabile del trattamento sarà ritenuto a rispettare le condizioni stabilite dal capo quinto del GDPR regolando l’operazione di trattamento dei dati secondo gli strumenti di garanzia indicati dall’articolo 44 e seguenti del GDPR.
Questo articolo è frutto del pensiero dell’ avvocato Marco de Paolis. Qualora foste interessati ad approfondire la tematica del trasferimento dei dati personali extra SEE, vi rimando al podcast da cui è stato tratto questo contenuto. Non dimenticatevi di condividere e rimanete sintonizzati per il prossimo topic.
Clicca qui per ascoltare tutte le opinioni di Marco De Paolis
Contatti marcodepaolis.sgush.cards
Fruibile anche in Podcast.B-farm.it nei Social.B-farm.it oppure ricevendolo tramite Whatsapp o newsletter richiamando Iscrivi.B-farm.it
Devi effettuare l'accesso per postare un commento.