Educazione alla Privacy: il Blog per la Conformità al GDPR

Il trasferimento dei dati personali al di fuori dell’UE nel GDPR: Salvaguardie, Deroghe ed Esempi Pratici (Parte 2)

Salvaguardie appropriate

Le salvaguardie appropriate previste dal GDPR includono:

1. Clausole contrattuali standard (SCC): La Commissione Europea ha adottato modelli di clausole contrattuali standard che possono essere utilizzate nel contratto tra il titolare del trattamento e il responsabile del trattamento al di fuori dell’UE. Le SCC garantiscono che i dati personali siano protetti secondo gli standard del GDPR anche quando vengono trasferiti al di fuori dell’UE.
2. Norme aziendali vincolanti (BCR): Le BCR sono politiche interne adottate da società multinazionali che stabiliscono norme e procedure per il trasferimento di dati personali tra entità all’interno dello stesso gruppo aziendale. Le BCR devono essere approvate dalle autorità di protezione dei dati competenti.
3. Codici di condotta e certificazioni: Il GDPR prevede che le organizzazioni possano aderire a codici di condotta approvati o ottenere certificazioni riconosciute per dimostrare la conformità alle norme sulla protezione dei dati. Questi strumenti possono fungere da salvaguardie per il trasferimento di dati personali al di fuori dell’UE, purché siano in linea con i requisiti del GDPR.

Deroghe specifiche

Le deroghe previste dall’articolo 49 del GDPR includono:

1. Consenso esplicito: Il trasferimento dei dati personali può avvenire se l’interessato ha dato il suo consenso esplicito al trasferimento dopo essere stato informato dei possibili rischi.
2. Esecuzione di un contratto: Il trasferimento può essere necessario per l’esecuzione di un contratto tra l’interessato e il titolare del trattamento o per l’attuazione di misure precontrattuali adottate su richiesta dell’interessato.
3. Interessi vitali: Il trasferimento può avvenire se è necessario proteggere gli interessi vitali dell’interessato o di altre persone, ad esempio in caso di emergenze mediche.
4. Interesse pubblico: Il trasferimento può essere necessario per motivi di interesse pubblico o per l’esercizio dell’autorità giurisdizionale.
5. Reclami, rivendicazioni legali o diritti: Il trasferimento può avvenire se è necessario per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
6. Interesse legittimo del titolare del trattamento: In assenza di altre soluzioni e a condizione che il trasferimento riguardi solo un numero limitato di interessati, il trasferimento può avvenire sulla base dell’interesse legittimo del titolare del trattamento, purché non prevalgano gli interessi o i diritti e le libertà dell’interessato.

Esempi pratici

Esempio 1: Utilizzo di un provider di servizi cloud al di fuori dell’UE

Un’azienda con sede nell’UE decide di utilizzare un provider di servizi cloud con sede negli Stati Uniti per archiviare e gestire i dati personali dei suoi clienti. Poiché gli Stati Uniti non sono considerati un paese con un livello adeguato di protezione dei dati, l’azienda deve adottare salvaguardie appropriate per il trasferimento dei dati. In questo caso, l’azienda può includere le clausole contrattuali standard nel contratto con il provider di servizi cloud per garantire che i dati personali siano protetti secondo gli standard del GDPR.

Esempio 2: Società multinazionale con filiali al di fuori dell’UE

Una società multinazionale con sede nell’UE ha diverse filiali al di fuori dell’UE e desidera trasferire dati personali tra queste entità. Per garantire la protezione dei dati personali durante il trasferimento, la società può adottare norme aziendali vincolanti che stabiliscono norme e procedure interne per il trattamento dei dati personali all’interno del gruppo aziendale. Le BCR devono essere approvate dalle autorità di protezione dei dati competenti prima di essere adottate.

Esempio 3: Prenotazione di un hotel al di fuori dell’UE

Un cittadino dell’UE prenota un hotel negli Stati Uniti utilizzando un sito web di prenotazioni con sede nell’UE. Poiché gli Stati Uniti non sono considerati un paese con un livello adeguato di protezione dei dati, il sito web di prenotazioni deve adottare salvaguardie appropriate per il trasferimento dei dati personali del cliente all’hotel negli Stati Uniti. In questo caso, le clausole contrattuali standard possono essere incluse nel contratto tra il sito web di prenotazioni e l’hotel per garantire la protezione dei dati personali del cliente.

Esempio 4: Invio di dati personali a un paese terzo in caso di emergenza medica

Un cittadino dell’UE si trova in un paese al di fuori dell’UE e ha bisogno di cure mediche urgenti. In questo caso, il trasferimento dei dati personali del cittadino, come il suo storico medico, al medico del paese terzo può avvenire sulla base della deroga relativa agli interessi vitali dell’interessato, poiché il trasferimento è necessario per proteggere la sua salute e sicurezza.

Conclusione

Il trasferimento dei dati personali al di fuori dell’UE nel contesto del GDPR richiede un’attenta valutazione delle regole, delle salvaguardie e delle deroghe applicabili. Le aziende devono garantire che i dati personali siano protetti in conformità con gli standard del GDPR, indipendentemente dal luogo in cui vengono trasferiti. Adottare le salvaguardie appropriate e comprendere le situazioni in cui possono essere applicate le deroghe è fondamentale per garantire la conformità e proteggere i diritti e le libertà degli interessati.