Quando può essere fatto un trasferimento di dati personali in paesi extra UE?

Quando può essere fatto un trasferimento di dati personali in paesi extra UE?

La normativa sulla privacy non prevede un divieto assoluto al trasferimento dei dati personali in paesi extra UE. Tuttavia, il regolamento GDPR pone delle condizioni da rispettare quando si trasferiscono dati di cittadini europei al di fuori dell’UE. Prima di affrontare quali sono queste condizioni, chiariamo cosa si intende per trasferimento. Si attua un trasferimento tutte le volte in cui c'è un passaggio di dati personali, da un paese ad un altro paese, direttamente o attraverso servizi forniti da soggetti collocati in paesi extra UE.

Molti titolari di trattamento sono convinti di non trasferire dati personali in paesi non appartenenti all’Unione Europea. Questi di seguito sono alcuni esempi di trasferimento di dati personali extra UE:

  • il server che ospita il sito è collocato negli USA
  • la società che invia le newsletter ha la propria sede a Singapore
  • il titolare di un e-commerce in dropshipping che fa spedire ai propri clienti i prodotti direttamente dai produttori cinesi
  • il salvataggio dei dati personali attraverso un sistema cloud che ha sede in Israele.

In tutti questi casi, i soggetti ricevono i dati personali da un titolare di trattamento europeo in paesi collocati fuori dall’Unione Europea. Vediamo in quali casi è possibile farlo senza contravvenire alle norme privacy. È possibile trasferire liberamente i dati personali extra UE nei seguenti paesi:

  • paesi appartenenti allo Spazio Economico Europeo (SEE): paesi dell'Unione Europea + Norvegia, Islanda, Liechtenstein
  • paesi extra UE per i quali è stata emanata una decisione di adeguatezza: Andorra, Argentina, Canada, Isole Faer Oer, Guernsey, Isola di Man, Israele, Giappone, Jersey, Nuova Zelanda, Svizzera, Uruguay. Sono in corso le trattative con Sud Corea. Gli esiti possono essere monitorati al seguente link.

Nel caso in cui non siano state emanate decisioni di adeguatezza, è possibile trasferire i dati in paesi extra UE nei seguenti casi:

  • se l'interessato è stato informato dal titolare dell’assenza di una decisione di adeguatezza e dei conseguenti rischi e ha espresso il proprio consenso al trasferimento
  • sulla base di accordi contrattuali stipulati che forniscano garanzie adeguate agli interessati
  • per i gruppi di imprese, il trasferimento deve avvenire sulla base di norme vincolanti di impresa che devono essere approvate dall’autorità competente (in Italia, il Garante della Privacy)
  • il trasferimento è necessario per l’esecuzione di un contratto concluso su richiesta dell'interessato e il titolare.

Hai ancora domande? Richiedi una consulenza per parlare con un avvocato o contatta il supporto in chat.

modello

Privacy Policy sul Trattamento dei Dati

Per informare le persone sull'uso che verrà fatto dei loro dati personali trattati

Scarica il tuo documentoScarica il tuo documento
Supporto legale completo
Procedura semplice e veloce
Privacy Policy
Privacy Policy
Personalizzalo in pochi minuti
Creazione guidata gratuita
Scarica il tuo documentoScarica il tuo documento
Scarica documentoScarica documento