Cosa succede quando si vuole uscire dall’ambito dello Spazio Economico Europeo? Sostanzialmente il GDPR prevede che i dati personali trattati all’interno di esso non possano uscire dai confini politici se non a condizione che vengano garantiti livelli equivalenti di protezione agli interessati europei. Queste garanzie di protezione equivalente sono strumenti giuridici, quindi norme applicabili in generale od alla specifica situazione.
Si noti che l’uscita da confini politici include la possibilità che i sistemi di memorizzazione dei dati, che sono sempre fisici, si trovino appunto fuori di essi, e quindi che il semplice uso di applicativi o storage “cloud” potenzialmente comporta un trasferimento extra UE, e di conseguenza si richiedono le garanzie che ora vediamo.
Il primo strumento giuridico, di tipo generale, è la decisione di adeguatezza che la Commissione Europea stabilisce insieme ad uno specifico Stato, in cui si riconosce la sostanziale equivalenza delle normative e si prevedono i metodi con cui si possono esercitare i diritti e dirimere le controversie. Al momento, esistono decisioni di adeguatezza con il Regno Unito, Israele, Svizzera, Argentina, Giappone, Canada, Nuova Zelanda ed alcuni altri stati meno importanti, a cui si aggiungono Australia, ma solo per i codici di prenotazione dei viaggi aerei, e Stati Uniti, con un accordo basato sull’adozione volontaria dei principi previsti dall’accordo da parte delle aziende statunitensi. Con questi stati, il trasferimento è libero come all’interno dello SEE, senza controlli preventivi, o formalità; mentre con le aziende statunitensi, il trasferimento è libero solo dopo aver verificato che abbiano aderito all’accordo.
Se non esistono strumenti a livello statale, sono i singoli soggetti che trattano i dati a dover prevedere le garanzie, in due modi: se si tratta di soggetti parte di un gruppo imprenditoriale con sedi intra ed extra UE, attraverso un accordo che includa delle norme vincolanti (delle quali esiste il modello da cui partire); in tutti gli altri casi, i soggetti devono includere negli accordi contrattuali delle clausole tipo (delle quali esistono anche in questo caso i modelli).
Esiste infine la possibilità di trasferimenti che però siano limitati nel tempo e nel volume (rispetto sia al numero di interessati, che di “quantità” dei dati) in deroga a tutti gli altri divieti, purché che ci si trovi in una di queste condizioni: si ottenga il consenso degli interessati, sia necessario all’esecuzione di un contratto, siano riconoscibili gli interessi legittimi, pubblici o vitali, e in caso di procedimenti giudiziari.
LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
