Trasferimenti Internazionali

Accade spesso che i dati vengano trasferiti verso soggetti diversi dal titolare, per svolgere alcune specifiche operazioni di trattamento sotto l'autorità del titolare, nel caso dei responsabili del trattamento, ovvero quando il trattamento viene svolto a parità di responsabilità, nel caso dei contitolari. Può darsi che questi soggetti abbiano la loro sede fuori dall'Unione, o che comunque i dati vengano memorizzati su infrastrutture poste al di fuori del suo territorio. 
Il GDPR (Art. 44) prevede alcuni requisiti riguardo ai luoghi in cui i dati personali possono essere trasferiti, e le misure che devono essere messe in atto affinché tale trasferimento sia legale, per proteggere i dati personali dei cittadini dell'Unione ovunque essi siano detenuti. 
Il principio generale per ogni trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale (compresi i trasferimenti successivi da un paese terzo o un’organizzazione internazionale verso un altro paese terzo o un’altra organizzazione internazionale), è garantire che quando i dati personali dei cittadini europei vengono trasferiti all’estero, la protezione si sposti con i dati, cioè rispetti sempre i requisiti previsti per il territorio di applicazione del GDPR; per questo, sono ammessi solamente i trasferimenti effettuati:

  • sulla base di una decisione di adeguatezza, oppure
  • soggetti a garanzie adeguate, o ancora
  • effettuati in base alle deroghe previste, o infine
  • rispondenti ai requisiti dei cosiddetti trasferimenti eccezionali.

In questo modo è istituito un regime di libera circolazione dei dati all'interno dell'Unione europea e di circolazione controllata al di fuori del territorio europeo. Il territorio europeo non coincide con quello dell'Unione, ma con quello dello Spazio economico europeo (European Economic Area, EEA).

Trasferimenti Internazionali di Dati

Questa procedura deve essere utilizzata per nuovi accordi per il trasferimento di dati personali verso un paese al di fuori dell'Unione europea o verso un'organizzazione internazionale, o anche per verificare se gli accordi esistenti soddisfano i requisiti del regolamento generale sulla protezione dei dati (GDPR). 
Essa serve a sostenere e documentare le decisioni prese con riguardo ai requisiti che disciplinano i luoghi in cui i dati personali possono essere trasferiti, e le misure che devono essere messe in atto affinché il trasferimento sia legale, per proteggere i dati personali dei cittadini dell'UE ovunque essi siano detenuti. 
La scheda viene presentata sinotticamente, in modo da abbracciare con un unico sguardo l'esistenza eventuale di diverse garanzie concorrenti; ma può anche essere usata in sequenza, secondo la numerazione assegnata alle diverse sezioni. Così per ogni trattamento è possibile indagare se esistono garanzie legate a decisioni di adeguatezza, all'adesione al Privacy Shield o alla sussistenza di altre adeguate garanzie, all'applicazione di deroghe o alla sussistenza dei requisiti per trasferimenti eccezionali, con un accesso semplice ed immediato alle risorse necessarie per la decisione.