ROKH TIPS - Adempimenti legati al trasferimento di dati personali
Tra gli aspetti da considerare in relazione al trattamento di dati personali, è certamente importante tener conto delle tematiche inerenti al trasferimento di tali dati al di fuori dell’Unione europea o, meglio, al di fuori dello Spazio Economico Europeo.
Infatti, il GDPR (Regolamento UE 679/2016) all’art. 45, prevede espressamente che tutti i trasferimenti di dati personali verso paesi non appartenenti allo Spazio Economico Europeo (SEE, ossia UE + Norvegia, Liechtenstein, Islanda) o verso un’organizzazione internazionale sono consentiti a condizione che l’adeguatezza del paese terzo o dell’organizzazione sia riconosciuta tramite decisione della Commissione europea. In assenza di tale decisione, il trasferimento è consentito ove il titolare o il responsabile del trattamento forniscano garanzie adeguate che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati (si veda l’art. 46 del GDPR).
Il titolare del trattamento dovrà, quindi, tener conto se vi potrà essere un trasferimento di dati personali di tale portata e, nel caso, oltre alla chiara indicazione nell’informativa resa agli interessati (secondo quanto previsto dall’art. 13 e ss. dello stesso GDPR), valutare l'eventuale adozione di ulteriori strumenti previsti dal regolamento, tranne nel caso in cui si possa rientrare in una delle deroghe espressamente previste dall’art. 49 del GDPR.
In particolare, il GDPR, prevede che possono costituire garanzie adeguate, adottabili dai titolari senza previa autorizzazione dell’Autorità Garante:
• gli strumenti giuridici vincolanti ed esecutivi tra soggetti pubblici;
• le norme vincolanti d’impresa;
• le clausole tipo;
• i codici di condotta;
• i meccanismi di certificazione.
E’ invece necessaria la previa autorizzazione dell’Autorità Garante per l'utilizzo:
• delle clausole contrattuali ad hoc (art. 46, par. 3, lett. a)
• degli accordi amministrativi tra autorità o organismi pubblici (art. 46, par. 3, lett. b).