Il trasferimento dei dati personali all’estero

Il Regolamento Generale sulla Protezione dei Dati Personali ( GDPR ), il n. 679/2016, ribadisce e chiarisce le già esistenti limitazioni rispetto alla possibilità del trasferimento di “dati personali” verso paesi terzi, in particolare extra – europei.

L’articolo 45 del GDPR, infatti, afferma che « il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale è ammesso se la Commissione ha deciso che il paese terzo, […] o l’organizzazione internazionale in questione, garantiscono un livello di protezione adeguato ».

Per come riporta il Garante della Privacy [1], la Commissione Europea, nel tempo, ha ritenuto adeguati i trasferimenti verso « imprese residenti negli USA, l’Ungheria, la Svizzera, il Canada e l’Argentina ».

Per gli altri casi, extra EU-27 naturalmente, la responsabilità della scelta ricade sul titolare del trattamento.

L’articolo 46 del GDPR, in proposito, sostiene che « in mancanza di una decisione [della Commissione], il titolare del trattamento o il responsabile del trattamento può trasferire dati personali verso un paese terzo o un’organizzazione internazionale solo se ha fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi ».

La sentenza della Corte Europea: Schrems contro Facebook

In tale quadro normativo, è sopravvenuta la Sentenza della Corte di Giustizia dell’Unione Europea nel procedimento che riguardava il cittadino austriaco Maximilian Schrems e Facebook Ireland.

Secondo la Corte [2] [3], « le limitazioni della protezione dei dati personali che risultano dalla normativa interna degli Stati Uniti » non rispondono ai « requisiti sostanzialmente equivalenti a quelli richiesti, nel diritto dell’Unione, dal principio di proporzionalità, giacché i programmi di sorveglianza fondati sulla suddetta normativa non si limitano a quanto strettamente necessario ».

Inoltre, « il meccanismo di mediazione previsto [dalla decisione 2016/1250 della Commissione Europea ] non fornisce a tali persone un mezzo di ricorso dinanzi a un organo che offra garanzie sostanzialmente equivalenti a quelle richieste nel diritto dell’Unione ».

Il trasferimento dei dati negli USA solo con specifico consenso

Per tali motivi, la Corte di Giustizia dell’Unione Europea ha dichiarato invalida la decisione della Commissione Europea.

Per quanto precede, a chi scrive sembra che gli unici spazi per leciti trasferimenti di “dati personali” verso gli USA restino quelli limitati nell’ambito dell’articolo 49 del GDPR.

Qui è precisato come sia ammesso il trasferimento a condizione che « l’interessato abbia esplicitamente acconsentito al trasferimento proposto, dopo essere stato informato dei possibili rischi di siffatti trasferimenti per l’interessato, dovuti alla mancanza di una decisione di adeguatezza e di garanzie adeguate ».

Ulteriore possibilità è prevista per il caso del trasferimento « necessario per la conclusione o l’esecuzione di un contratto stipulato tra il titolare del trattamento e un’altra persona fisica o giuridica a favore dell’interessato ».

–

Fonti e Note:

Credits: Photo by Markus Spiske on Unsplash

[1] Garante della Privacy, decisioni diverse 2000-2003, “Adeguatezza di paesi terzi”

[2] Corte di Giustizia dell’Unione Europea, comunicato stampa 16 luglio 2020, “La Corte dichiara invalida la decisione 2016/1250 della Commissione sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy”

>>> SCARICA: [Download non trovato] [PDF, IT]

[3] Corte di giustizia dell’Unione europea, 16 luglio 2020, causa C-311/18, “Sentenza della Corte Data Protection Commissioner / Facebook Ireland Limited, Maximillian Schrems”