Trasferimento dei Dati Personali sulla base di una decisione di adeguatezza nel GDPR
L’articolo rientra in una serie dedicata al Registro dei trattamenti nel contesto del GDPR. In questo focus, approfondiamo il concetto di trasferimento dei dati personali sulla base di una decisione di adeguatezza, come definito dall’articolo 45 del GDPR. Esploreremo i requisiti, le procedure e le implicazioni di tali decisioni, fornendo una panoramica completa di questo importante meccanismo per il trasferimento internazionale di dati.
Cos’è il trasferimento dei dati sulla base di una decisione di adeguatezza (art. 45 GDPR)
A norma dell’art. 45, par. 1 del GDPR il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale è ammesso se la Commissione ha deciso che il paese terzo, un territorio o uno o più settori specifici all’interno del paese terzo, o l’organizzazione internazionale in questione garantiscono un livello di protezione adeguato. In tal caso il trasferimento non necessita di autorizzazioni specifiche. Il livello di protezione richiesto è dunque equivalente.
La decisione di adeguatezza, come sopra anticipato, è solo una delle possibili legittime modalità di trasferimento dei dati personali nei paesi extra-UE nonché la modalità da privilegiare qualora disponibile.
La lista aggiornata dei paesi adeguati da consultare nel caso di trasferimento dei dati personali è pubblicata nella pagina dell’Autorità.
Nel procedimento che la Commissione è tenuta ad avviare al fine di verificare l’esistenza dei requisiti essa è tenuta ad espletare le opportune valutazioni congiuntamente al Comitato europeo per la protezione dei dati a norma dell’art. 70, par. 1, lett. s) del GDPR e dei paesi coinvolti nel procedimento in virtù del principio di collaborazione.
Trasferimento dei dati e criteri per l’adozione di una decisione di adeguatezza nel GDPR
L’adozione di un atto di esecuzione richiede l’accertamento circa la presenza dei requisiti elencati dall’art. 45, par. 2 del GDPR e nel procedimento che la Commissione avvia è tenuta a prendere in considerazione i seguenti elementi:
a) Lo stato di diritto, il rispetto dei diritti umani e delle libertà fondamentali, la pertinente legislazione generale e settoriale (anche in materia di sicurezza pubblica, difesa, sicurezza nazionale, diritto penale e accesso delle autorità pubbliche ai dati personali), così come l’attuazione di tale legislazione, le norme in materia di protezione dei dati, le norme professionali e le misure di sicurezza, comprese le norme per il trasferimento successivo dei dati personali verso un altro paese terzo o un’altra organizzazione internazionale osservate nel paese o dall’organizzazione internazionale in questione, la giurisprudenza nonché i diritti effettivi e azionabili degli interessati e un ricorso effettivo in sede amministrativa e giudiziaria per gli interessati i cui dati personali sono oggetto di trasferimento.
b) L’esistenza e l’effettivo funzionamento di una o più autorità di controllo indipendenti nel paese terzo o cui è soggetta un’organizzazione internazionale, con competenza per garantire e controllare il rispetto delle norme in materia di protezione dei dati, comprensiva di adeguati poteri di esecuzione, per assistere e fornire consulenza agli interessati in merito all’esercizio dei loro diritti e cooperare con le autorità di controllo degli Stati membri.
c) Gli impegni internazionali assunti dal paese terzo o dall’organizzazione internazionale in questione o altri obblighi derivanti da convenzioni o strumenti giuridicamente vincolanti come pure dalla loro partecipazione a sistemi multilaterali o regionali, in particolare in relazione alla protezione dei dati personali.
Trasferimento dei dati: processo di valutazione e adozione della decisione di adeguatezza
La Commissione, previa valutazione dell’adeguatezza del livello di protezione, può decidere, mediante atti di esecuzione, che un paese terzo, un territorio o uno o più settori specifici all’interno di un paese terzo, o un’organizzazione internazionale garantiscono un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo.
L’atto di esecuzione prevede, inoltre, un meccanismo di riesame periodico, almeno ogni quattro anni, che tenga conto di tutti gli sviluppi pertinenti nel paese terzo o nell’organizzazione internazionale. L’atto di esecuzione specifica il proprio ambito di applicazione geografico e settoriale e, ove applicabile, identifica la o le autorità di controllo di cui all’art. 45, par. 2, lettera b) del GDPR. L’atto di esecuzione è adottato secondo la procedura d’esame di cui all’articolo 93, par. 2 del GDPR.
Monitoraggio continuo e revisione delle decisioni di adeguatezza
Gli sviluppi nei paesi terzi e nelle organizzazioni internazionali che potrebbero incidere sul funzionamento delle decisioni di adeguatezza, sono oggetto di controllo a norma dell’art. 45, par. 4 del GDPR da parte della Commissione.
Se risulta dalle informazioni disponibili, in particolare in seguito al che un paese terzo, un territorio o uno o più settori specifici all’interno di un paese terzo, o un’organizzazione internazionale non garantiscono più un livello di protezione adeguato, la Commissione revoca, modifica o sospende nella misura necessaria la decisione precedentemente adottata mediante atti di esecuzione senza effetto retroattivo.
Tali atti di esecuzione sono adottati secondo la procedura ordinaria, o, in casi di estrema urgenza, secondo la procedura di cui all’articolo 93, paragrafo 3 del GDPR. Per imperativi motivi di urgenza debitamente giustificati, la Commissione adotta atti di esecuzione immediatamente applicabili secondo la procedura di cui all’articolo 93, paragrafo 3 del GDPR. Tali decisioni possono comunque essere oggetto, ricorrendone i presupposti di modifica, revoca o di sostituzione.
Trasferimenti in assenza di una decisione di adeguatezza: alternative e consultazioni
Sono fatti salvi i trasferimenti di dati personali verso il paese terzo, il territorio o uno o più settori specifici all’interno del paese terzo, o verso l’organizzazione internazionale in questione, a norma degli articoli da 46 a 49 del GDPR.
La Commissione avvia consultazioni con il paese terzo o l’organizzazione internazionale per porre rimedio alla situazione che ha motivato la decisione di cui al paragrafo 5 del GDPR.
Trasferimento dei dati verso paesi terzi: pubblicazione delle decisioni di adeguatezza
La Commissione pubblica nella Gazzetta ufficiale dell’Unione Europea e sul suo sito web l’elenco dei paesi terzi, dei territori e settori specifici all’interno di un paese terzo, e delle organizzazioni internazionali per i quali ha deciso che è o non è più garantito un livello di protezione adeguato. Tale elenco è disponibile anche nella pagina istituzionale dell’Autorità.
Questo articolo ha analizzato il trasferimento dei dati personali basato su una decisione di adeguatezza, come previsto dall’articolo 45 del GDPR. Abbiamo esaminato i requisiti, le procedure e le implicazioni della decisione di adeguatezza, offrendo una panoramica completa per il trasferimento internazionale dei dati. Nel prossimo articolo della serie, ci concentreremo sul “Trasferimento di Dati Personali Soggetto a Garanzie Adeguate”, trattato dall’articolo 46 del GDPR. Per approfondire maggiormente questi temi, vi invitiamo a scaricare il white paper “La compilazione del Registro dei trattamenti nel nuovo quadro normativo del Reg. UE 679/2016”.
Tecnologo presso l’UAIG del CNR.
Abilitato all’esercizio della professione forense.
