Il GDPR non fornisce una definizione giuridica del concetto di trasferimento di dati personali verso un Paese terzo o un’organizzazione internazionale, ossia del trasferimento internazionale di dati personali.
Pertanto, l’EDPB fornisce le presenti linee guida per chiarire gli scenari ai quali ritiene che debbano essere applicati i requisiti del capitolo V e, a tal fine, ha individuato tre criteri cumulativi per qualificare un trattamento come trasferimento internazionale di dati personali:
- Un responsabile del trattamento o un incaricato del trattamento (“esportatore”) è soggetto al GDPR per il trattamento in questione.
- L’esportatore comunica, mediante trasmissione o in altro modo, i dati personali oggetto del trattamento a un altro titolare, contitolare o incaricato del trattamento (“importatore“).
- L’importatore si trova in un paese terzo, indipendentemente dal fatto che sia soggetto o meno al GDPR per il trattamento in questione ai sensi dell’articolo 3, o sia un’organizzazione internazionale.
Se i tre criteri individuati dall’EDPB sono soddisfatti, si verifica un trasferimento internazionale di dati personali e si applica il capo V del GDPR.
Ciò significa che il trasferimento può avvenire solo a determinate condizioni, ad esempio nel contesto di una decisione di adeguatezza della Commissione europea (articolo 45) o fornendo garanzie adeguate (articolo 46).
Le disposizioni del Capo V mirano a garantire la protezione continua dei dati personali dopo il loro trasferimento a un Paese terzo o a un’organizzazione internazionale.
Al contrario, se i tre criteri non sono soddisfatti, non c’è trasferimento internazionale di dati personali e il capo V del GDPR non si applica.
In questo contesto, è comunque importante ricordare che il responsabile del trattamento deve comunque rispettare le altre disposizioni del GDPR e rimane pienamente responsabile delle sue attività di trattamento, indipendentemente dal luogo in cui si svolgono.
Infatti, sebbene una determinata trasmissione di dati possa non qualificarsi come trasferimento ai sensi del Capitolo V, tale trattamento può comunque essere associato a maggiori rischi in quanto avviene al di fuori dell’UE, ad esempio a causa di leggi nazionali contrastanti o di un accesso sproporzionato da parte del governo del Paese terzo.
Questi rischi devono essere presi in considerazione quando si adottano le misure previste, tra l’altro, dall’articolo 5 (“Principi relativi al trattamento dei dati personali”), dall’articolo 24 (“Responsabilità del responsabile del trattamento”) e dall’articolo 32 (“Sicurezza del trattamento”) – affinché tale trattamento sia legittimo ai sensi del GDPR.
Queste linee guida includono vari esempi di flussi di dati verso Paesi terzi, che sono anche illustrati in un allegato per fornire ulteriori indicazioni pratiche.
