Trasferimento di Dati Personali Soggetto a Garanzie Adeguate nel GDPR
Questo articolo fa parte di una serie dedicata al Registro dei Trattamenti nel contesto del GDPR. In questa sezione, affronteremo l’argomento del Trasferimento di Dati Personali Soggetto a Garanzie Adeguate nel GDPR, esplorando le alternative disponibili quando non è presente una decisione di adeguatezza e le misure necessarie per garantire la protezione dei dati personali nei trasferimenti internazionali.
Trasferimento di Dati Senza Decisione di Adeguatezza: Garanzie Adeguate (art. 46 GDPR)
L’assenza di una decisione di adeguatezza non è ostativa al trasferimento dei dati in un paese extra-UE, che rimane comunque possibile in coerenza con altre disposizioni del GDPR e nel caso di specie in presenza delle garanzie adeguate che sono descritte dagli artt. 46-49 del GDPR.
A norma dell’art. 46 del GDPR, in mancanza di una decisione ai sensi dell’articolo 45, paragrafo 3 del GDPR, il titolare del trattamento o il responsabile del trattamento possono trasferire dati personali verso un paese terzo o un’organizzazione internazionale solo se hanno fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi.
Tipologie di Garanzie Adeguate per il Trasferimento di Dati Personali nel GDPR
L’art. 46 par. 2 del GDPR recita: possono costituire garanzie adeguate di cui al paragrafo 1 senza necessitare di autorizzazioni specifiche da parte di un’autorità di controllo:
- Uno strumento giuridicamente vincolante e avente efficacia esecutiva tra autorità pubbliche o organismi pubblici;
- Le norme vincolanti d’impresa in conformità dell’articolo 47;
- Le clausole tipo di protezione dei dati adottate dalla Commissione secondo la procedura d’esame di cui all’articolo 93, paragrafo 2;
- Le clausole tipo di protezione dei dati adottate da un’autorità di controllo e approvate dalla Commissione secondo la procedura d’esame di cui all’articolo 93, paragrafo 2;
- Un codice di condotta approvato a norma dell’articolo 40, unitamente all’impegno vincolante ed esecutivo da parte del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati;
- Un meccanismo di certificazione approvato a norma dell’articolo 42, unitamente all’impegno vincolante ed esigibile da parte del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati.
L’art. 46 par. 3 del GDPR, inoltre, recita: possono inoltre, fatta salva l’autorizzazione dell’autorità di controllo competente, costituire garanzie adeguate di cui al paragrafo 1:
- Le clausole contrattuali tra il titolare del trattamento o il responsabile del trattamento e il titolare del trattamento, il responsabile del trattamento o il destinatario dei dati personali nel paese terzo o nell’organizzazione internazionale;
- Le disposizioni da inserire in accordi amministrativi tra autorità pubbliche o organismi pubblici che comprendono diritti effettivi e azionabili per gli interessati.
Applicazione delle Garanzie Adeguate nel Trasferimento Internazionale di Dati
Giova sottolineare come le garanzie adeguate di cui agli artt. 46-49 del GDPR rappresentano ipotesi sempre alternative e quindi da utilizzare solo in caso di assenza delle decisioni di adeguatezza. Le modalità contemplate nell’art. 46, par. 2 lett. a) e par. 3 lett. b) del GDPR concernono il trasferimento dei dati tra autorità pubbliche oppure organismi pubblici.
Accordi Internazionali e Trasferimento di Dati Personali
In tale contesto è utile richiamare il Cons. n. 108 che è utile per interpretare la differente scelta operata dal legislatore comunitario.
In tale contesto è utile richiamare anche il Cons. 102, nel quale è menzionato un esempio in tal senso, che così recita: “Il presente regolamento lascia impregiudicate le disposizioni degli accordi internazionali conclusi tra l’Unione e i paesi terzi che disciplinano il trasferimento di dati personali, comprese adeguate garanzie per gli interessati. Gli Stati membri possono concludere accordi internazionali che implicano il trasferimento di dati personali verso paesi terzi o organizzazioni internazionali, purché tali accordi non incidano sul presente regolamento o su qualsiasi altra disposizione del diritto dell’Unione e includano un adeguato livello di protezione per i diritti fondamentali degli interessati”.
In questo articolo, abbiamo esaminato le garanzie adeguate per il trasferimento di dati personali verso paesi terzi o organizzazioni internazionali in assenza di una decisione di adeguatezza. Abbiamo esplorato le varie opzioni disponibili, tra cui clausole contrattuali tipo, norme vincolanti d’impresa e meccanismi di certificazione, evidenziando l’importanza di garantire la protezione dei dati e i diritti degli interessati nei trasferimenti internazionali.
Vi invitiamo a proseguire la lettura con il prossimo contenuto della serie, dedicato alle “Norme Vincolanti di Impresa nel GDPR: Cosa Sono e Come Funzionano”, per approfondire ulteriormente questo importante aspetto della conformità al GDPR.
Per una panoramica completa e dettagliata su tutti gli aspetti del Registro dei Trattamenti e del trasferimento di dati personali nel GDPR, vi invitiamo a consultare il nostro white paper dal titolo “La compilazione del Registro dei trattamenti nel nuovo quadro normativo del Reg. UE 679/2016“, che contiene tutte le informazioni necessarie per una corretta implementazione delle norme sulla protezione dei dati.
Tecnologo presso l’UAIG del CNR.
Abilitato all’esercizio della professione forense.
