L’EDPB ha emanato precise linee guida che “forniscono un’interpretazione coerente del concetto di “trasferimenti internazionali” e chiariscono che, quando un importatore di dati è soggetto al GDPR, gli obblighi di cui al capo V del GDPR si applicano sia al trasferimento dall’UE all’importatore sia a qualsiasi ulteriore trasferimento che l’importatore intraprende”. Questo quanto dichiarato in una nota ufficiale da Andrea Jelinek, presidente dell’EDPB.
I tre criteri per identificare un trattamento
Le linee guida muovono dal fatto che, entro il GDPR, non si prevede una definizione certa del concetto di trasferimento di dati personali a un paese terzo o ad organizzazioni internazionali. La prima necessità quindi è quella di chiarire il punto. Tre sono stati i criteri ritenuti necessari per classificare un trattamento di dati come un trasferimento:
- il titolare o il responsabile del trattamento sono soggetti al GDPR;
- il titolare o il responsabile del trattamento rendono disponibili, trasmettendoli, dati personali ad un altro titolati o contintitoale o ad un responsabile del trattamento. La prima figura è denominata esportatore, la seconda figura importatore;
- l’importatore si trova in un paese terzo o è una organizzazione internazionale. Da questi punto di vista, precisano le linee guida, poco conta che l’importatore sia soggetto al GDPR. L’articolo 3 del GDPR infatti specifica che il GDPR si applica al trattamento dei dati di interessati che si trovano in UE anche nel caso in cui titolare o responsabile non si trovino in UE.
Trasferimento di dati: qualche specifica
Il trattamento sarà quindi classificato come trasferimento non in base al fatto che l’importatore sia o meno soggetto al GDPR, ma secondo valutazione del singolo trattamento dei dati. E’ comunque da considerarsi trasferimento la comunicazione di dati che avviene verso una società non collocata in UE ma che già fornisce beni o servizi nel mercato europeo: in tale caso la società è già rientrante nel campo di applicazione del GDPR.
Si, ma in pratica?
Una particolarità che è bene sottolineare: l’EDPB specifica come non sia da considerarsi trasferimento il caso in cui sia direttamente l’interessato, o comunque per sua iniziativa, a rendere noti i dati al destinatario. In tali casi infatti mancherebbe l’intermediario della messa a disposizione dei dati (l’esportatore, per capirsi).
I tre criteri sono da considerarsi cumulativi: si parla di trattamento quando si riscontrano tutti e tre i criteri previsti. Il titolare o il responsabile sono quindi soggetti alle disposizioni del Capo V del GDPR, a partire dal dovere di garantire un adeguato livello di protezione e tutela dei dati stessi. I dati quindi non potranno essere trasferiti se:
- non è presente una decisione di Adeguatezza della Commissione Europea. Questa attesta che un paese terzo o specifici settori entro un paese terzo garantiscono un livello di protezione adeguato. In sua assenza il paese non è considerato sicuro;
- l’importatore non aderisce a codici di condotta o a meccanismi di certificazione;
- non sono previste norme vincolanti d’impresa;
- non sono previste clausole contrattuali specifiche tra il titolare / responsabile del trattamento e il titolare/responsabile/destinatario dei dati personali nel paese terzo o organizzazione internazionale;
- non ci sono accordi e meccanismi previsti dalle autorità pubbliche per elencare i diritti esigibili e renderli attivabili dagli interessati.
Per saperne di più -> GDPR: report annuale 2021 dell’EDPB. A che punto siamo?
