Posso elaborare dati al di fuori dello SEE ai sensi del GDPR?
Il GDPR consente il trasferimento di dati a paesi al di fuori dello Spazio economico europeo (i cosiddetti “paesi terzi”) per garantire il commercio e la cooperazione internazionale.
Ai sensi del GDPR, il trasferimento di dati personali a paesi terzi può avvenire a condizione che siano soddisfatte determinate condizioni. È possibile trasferire dati a paesi terzi che garantiscono un livello di protezione adeguato, come riconosciuto dalla Commissione europea, come (alla data di aggiornamento dell’articolo): Andorra, Argentina, Canada (solo organizzazioni commerciali), Isole Faroe, Guernsey, Israele, Isola di Man, Jersey, Nuova Zelanda, Svizzera, Uruguay, Giappone, Regno Unito, Corea del Sud e USA (se il destinatario aderisce al Framework UE-USA sulla privacy dei dati). In tali paesi, le normative legali nazionali forniscono un livello di protezione dei dati personali paragonabile a quello della legislazione UE. I dati possono quindi essere trasferiti a questi paesi terzi senza la necessità di applicare ulteriori garanzie o soddisfare ulteriori condizioni.
Per trasferire dati a un paese terzo che non garantisce un livello di protezione adeguato, per cui non esiste una decisione di adeguatezza della Commissione Europea, è necessario assicurarsi che i dati personali siano adeguatamente protetti dal destinatario e che siano applicati diritti esecutivi degli interessati, insieme a efficaci rimedi legali.
È possibile fornire adeguate garanzie, tra gli altri modi, utilizzando clausole contrattuali standard approvate dalla Commissione Europea e per i trasferimenti di dati all’interno di un gruppo aziendale tramite le cosiddette norme aziendali vincolanti o tramite l’impegno a rispettare codici di condotta, che sono stati dichiarati dalla Commissione Europea come generalmente applicabili.
Esistono anche diverse eccezioni, che autorizzano il trasferimento di dati a un paese terzo che non è coperto da una decisione che stabilisce un livello di protezione adeguato e non sono in atto adeguate garanzie. Una delle eccezioni è l’ottenimento del consenso, che in questo caso significa il consenso dell’interessato, dopo averlo informato dei rischi associati a tale trasferimento.
Questo contenuto è fornito solo a scopo didattico. Il GDPR è specifico dei fatti e il modo in cui si applica alla tua organizzazione potrebbe differire da quanto discusso in questo articolo. Si prega di non considerarlo un sostituto di un parere legale professionale. Consultare sempre il proprio avvocato o altri professionisti responsabili della protezione dei dati all’interno della propria organizzazione. GetResponse non può essere ritenuta responsabile per eventuali danni indiretti, speciali, incidentali o consequenziali derivanti da qualsiasi utilizzo o affidamento su qualsiasi contenuto o materiale qui incluso.