Home

Le Linee guida dell’EDPB sul trasferimento internazionale dei dati personali

Fonte: Edpb_guidelines_5_2021_14 february_2023.pdf
03 Aprile 2023

Identificare se un trattamento costituisce un trasferimento internazionale, comporta importanti obblighi di compliance per i Titolari o i Responsabili “esportatori” di dati personali. Le linee guida dell’European Data Protection Board “EDPB” su articolo 3 GDPR e trasferimenti internazionali specificano tre criteri cumulativi che qualificano un trattamento come un trasferimento.

 I trasferimenti di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo o verso un'organizzazione internazionale sono consentiti a condizione che l'adeguatezza del Paese terzo o dell'organizzazione sia riconosciuta tramite una decisione della Commissione europea: ma cosa si intende per trasferimento? L'EDPB nell'analizzare la tematica dei trasferimenti internazionali dei dati personali ai sensi dell'art. 3 Regolamento UE 2016/679, prende atto che il GDPR non offre, né all'interno dell'art. 3 né nel capo V, una definizione puntuale di “trasferimento di dati personali a un paese terzo o a un'organizzazione internazionale”. Pertanto l'EDPB a seguito di consultazione pubblica attivata il 18 novembre 2021, ha adottato il 14 febbraio 2023 delle linee guida che individuano tre criteri cumulativi per qualificare un'operazione di trattamento come trasferimento:

I) l'esportatore di dati (un titolare o un responsabile del trattamento) è soggetto al GDPR per il dato trattamento;

II) l'esportatore di dati trasmette o rende disponibili i dati personali all'importatore di dati (un altro titolare, un titolare congiunto o un responsabile del trattamento);

III) l'importatore di dati è in un paese terzo o è un'organizzazione internazionale. Le linee guida arricchite da casistiche puntuali, tuttavia chiariscono espressamente, proprio con i primi esempi che la raccolta di dati effettuata direttamente dagli interessati nell'UE, su loro propria iniziativa nell'ambito di una piattaforma locata in un paese terzo non costituisce trasferimento, anche se naturalmente la società che acquisisce i dati sarà tenuta ad applicare il GDPR. Da notare infine che la qualità degli esempi, che spazia da trasferimenti di dati tra gruppi di imprese verso le loro subsidiary e viceversa, si sofferma tra l'altro su una tematica che seppur marginale può essere di interesse dei datori di lavoro: l'accesso all'estero da remoto dei dipendenti con il proprio computer portatile verso i server della propria società non dà luogo a trasferimento, in quanto viene meno il secondo criterio ermeneutico. Il dipendente non è né titolare né responsabile, bensì è parte dell'organizzazione.

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.