L’Europa e il trasferimento dati con il Regno Unito sembra già molto fragile

Diversi problemi già si possono vedere sulla recente decisione di adeguatezza che permette di trasferire dati con il Regno Unito.

Il Trasferimento internazionale di dati in base al GDPR
Il Regolamento (UE) 2016/679 sulla protezione dei dati personali (noto come “GDPR”) contiene al Capo IV (rubricato “trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali”) una dettagliata disciplina normativa sul trasferimento dei dati al di fuori dei paesi dell’Unione europea che, prevede che “qualunque trasferimento di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento verso un paese terzo o un’organizzazione internazionale”[…] ha luogo soltanto se il titolare del trattamento e il responsabile del trattamento rispettano le condizioni di cui al presente capo, fatte salve le altre disposizioni del presente regolamento” (art. 44 GDPR).

In forma estremamente schematica, si possono trasferire dati fuori dallo spazio UE sulla base di una decisione di adeguatezza (art. 45 GDPR: “il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale è ammesso se la Commissione ha deciso che il paese terzo, un territorio o uno o più settori specifici all’interno del paese terzo, o l’organizzazione internazionale in questione garantiscono un livello di protezione adeguato. In tal caso il trasferimento non necessita di autorizzazioni specifiche”), se il trasferimento è soggetto a garanzie adeguate (art. 46 GDPR: “il titolare del trattamento o il responsabile del trattamento può trasferire dati personali verso un paese terzo o un’organizzazione internazionale solo se ha fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi”), in base alle norme vincolanti d’impresa (ex art. 47 GDPR sono regole che si danno i gruppi industriali e che sono approvate espressamente dalla supervising authority della privacy interessata) o, in assenza di un’altra base giuridica pertinente tra quelle già menzionate, è ammesso il trasferimento solamente se si verificano una serie di condizioni particolari (ex art. 48 GDPR, per esempio: a) il consenso dell’interessato; il trasferimento sia necessario all’esecuzione di un contratto concluso tra l’interessato e il titolare del trattamento ovvero all’esecuzione di misure precontrattuali adottate su istanza dell’interessato, si vedano, poi, le altre fattispecie contenute nella norma) o, in via assolutamente residuale, l’art. 48 GDPR specifica che “se non è possibile basare il trasferimento su una disposizione dell’articolo 45 o 46, comprese le disposizioni sulle norme vincolanti d’impresa, e nessuna delle deroghe in specifiche situazioni a norma del primo comma del presente paragrafo è applicabile, il trasferimento verso un paese terzo o un’organizzazione internazionale sia ammesso soltanto se non è ripetitivo, riguarda un numero limitato di interessati, è necessario per il perseguimento degli interessi legittimi cogenti del titolare del trattamento, su cui non prevalgano gli interessi o i diritti e le libertà dell’interessato, e qualora il titolare e del trattamento abbia valutato tutte le circostanze relative al trasferimento e sulla base di tale valutazione abbia fornito garanzie adeguate relativamente alla protezione dei dati personali”…

Leggi qui l’articolo completo

 

Fonte: Key4biz | di Paolo Maria Gangi, avvocato

© 2017-2018 Associazione Privacy Italia - C.F. 91039930192 - P. Iva 01685370197 - Informativa Privacy

Con il sostegno di:

Fondazione di Sardegna Fondazione Cariplo
Positive SSL