Posso trasferire i dati personali all'estero?

Il trasferimento di dati personali al di fuori dello Spazio Economico Europeo (SEE), che include l'Unione Europea insieme a Norvegia, Liechtenstein e Islanda, o verso organizzazioni internazionali è regolamentato dal Regolamento UE 2016/679, il cosiddetto GDPR. Affinché tali trasferimenti siano consentiti, è necessario che la Commissione europea riconosca l'adeguatezza del Paese terzo o dell'organizzazione attraverso una decisione formale. 

In mancanza di tale decisione, è richiesta la fornitura di garanzie adeguate da parte del titolare o del responsabile del trattamento, che devono garantire diritti esecutivi e mezzi di ricorso per gli interessati (art. 46).

Le garanzie adeguate possono essere fornite attraverso vari strumenti:

Senza l'autorizzazione del Garante:

- Strumenti giuridici vincolanti ed esecutivi tra soggetti pubblici

- Norme vincolanti d'impresa

- Clausole tipo

- Codici di condotta

- Meccanismi di certificazione

Con l'autorizzazione del Garante:

- Clausole contrattuali ad hoc

- Accordi amministrativi tra autorità o organismi pubblici

In assenza di questi requisiti, è possibile il trasferimento dei dati personali solo in base a deroghe specifiche in determinate situazioni  (art. 49 del Regolamento UE 2016/679).

Di recente, la Commissione Europea ha concluso con successo la sua revisione di 11 decisioni di adeguatezza esistenti, relative alla protezione dei dati personali. 

Queste decisioni riguardano paesi come Andorra, Argentina, Canada, Isole Fær Øer, Guernsey, Isola di Man, Israele, Jersey, Nuova Zelanda, Svizzera e Uruguay. 

La revisione ha confermato che i dati personali trasferiti dall'Unione Europea a questi paesi continuano a godere di adeguate garanzie di protezione dei dati. 

Le decisioni di adeguatezza rimangono quindi in vigore e i dati possono continuare ad essere inviati verso questi paesi.