Il comitato europeo per la protezione dei dati personali ha pubblicato delle linee guida, che possono aiutare i titolari e responsabili del trattamento di dati personali nel gestire in modo appropriato il trasferimento di dati personali all’estero.
Il tema del trasferimento di dati personali all’estero viene trattato nel regolamento europeo sulla protezione dei dati sia all’articolo 3, sino al capo V.
L’articolo 3 stabilisce che il regolamento si applica al trattamento di dati personali effettuato da un ente, o meglio un titolare del trattamento, sia nel caso il trattamento venga effettuato all’interno dell’unione europea, sia all’esterno.
Il capo V è interamente dedicato alle modalità con cui è possibile trasferire dati personali verso paesi terzi od organizzazioni internazionali, come potrebbero essere le Nazioni Unite, l’organizzazione mondiale della sanità e via di seguito.
Alla luce di possibili conflitti di interpretazione fra l’articolo 3 ed il capo V, da tempo si attendeva una posizione ufficiale del comitato europeo, che finalmente è stata approvata durante la sessione plenaria del 19 novembre 2021.
Queste linee guida aiutano nello stabilire che cosa si intende per trasferimento internazionale di dati e sono oltremodo preziose per assistere titolari e responsabili in queste attività.
Le linee guida specificano tre criteri cumulativi che qualificano un trattamento come trasferimento:
- chi esporta i dati, sia esso un titolare o un responsabile del trattamento, è sempre soggetto alle regole del regolamento generale europeo per lo specifico trattamento,
- chi esporta i dati rende disponibili i dati ad un altro titolare, contitolare o responsabile, che si trova all’estero,
- si intende che un trattamento contempla l’esportazione dei dati quando il destinatario si trova in un paese terzo od è un’organizzazione internazionale.
Il trattamento viene sempre considerato come un trasferimento, indipendentemente dal fatto che il destinatario dei dati possa essere già soggetto al regolamento europeo, in base all’articolo 3.
Tuttavia, il comitato europeo stabilisce che la raccolta di dati, effettuata direttamente presso gli interessati che si trovino nell’unione europea, non costituisce un trasferimento.
La presidente del comitato europeo ha precisato che queste linee guida rappresentano un punto di riferimento non solo per chi trasferisce dati in un paese terzo, ma anche per il soggetto che, avendo ricevuto dati ed essendo residente in un paese terzo, a sua volta trasferisce questi dati in un altro paese.
Le linee guida sono a disposizione di tutti i lettori, in allegato, ricordando che chiunque può avanzare proposte di migliorie, inviandole direttamente al comitato europeo per la protezione dei dati, entro la fine di gennaio 2022.
Le linee guida (pdf)
Fonti: Puntosicuro.it