Il GDPR tende ad estendere il proprio ambito di applicazione anche oltre i confini europei, prevedendo che tutti i fornitori di servizi debbano rispettare il Regolamento stesso.
In nome di una reale ed effettiva tutela degli interessati, il GDPR prevede che i dati possono essere trasferiti solo verso Paesi terzi che garantiscano un livello di sicurezza equivalente a quello previsto nell’Unione europea. In particolare, alle multinazionali viene richiesto di prevedere delle norme vincolanti per le imprese, autorizzate da un’autorità di controllo, per i trasferimenti internazionali dall’Unione agli organismi del gruppo, che contemplino i principi fondamentali di tutela della privacy e le opportune garanzie per il trasferimento di dati personali. Quali sono le clausole vincolanti?
Uno dei primi problemi che IL GDPR pone, e che non è nuovo (ma già era preso in considerazione nel Codice Privacy del 2003), riguarda il controllo del dato mentre circola, e soprattutto mentre circola oltre i confini.
Nella società dell’informazione attuale, grazie anche all’uso intensivo delle reti e del cloud, il concetto di confine (inteso come “barriera”) viene a cadere, e le informazioni, soprattutto nelle multinazionali, attraversano il mondo passando da una business unit a un’altra o da sedi centrali e clienti in tutto il mondo.
Il fine (di protezione) che la normativa vuole raggiungere, allora, è quello di garantire lo stesso livello di protezione in ogni luogo che il dato attraversa o dove l’informazione è custodita. In altre parole: il dato può essere trasferito solo verso Paesi che garantiscano, in vari modi, un livello di sicurezza equivalente a quello previsto in Unione Europea e dal GDPR.
