Trasferimento dei dati all’estero

Verso Paesi appartenenti all’Unione europea

Non possono esservi limitazioni né divieti alla libera circolazione dei dati personali nell’Unione europea per motivi attinenti alla protezione dei dati (Articolo 1, paragrafo 3 del Regolamento). Pertanto, non vi sono limiti di alcun genere per quanto riguarda i flussi di dati dall’Italia verso altri Stati membri dell’Ue (e dello Spazio Economico Europeo: Islanda, Norvegia, Liechtenstein).

Verso Paesi non appartenenti all’Unione europea

Il  trasferimento di dati personali verso Paesi non appartenenti all’Unione europea è vietato, in linea di principio.

Tale divieto può essere superato solo quando intervengano le seguenti specifiche garanzie (articoli da 44 a 49 del Regolamento UE 2016/679):

a) adeguatezza del Paese terzo riconosciuta tramite decisione della Commissione europea;

b) in assenza di decisioni di adeguatezza della Commissione, garanzie adeguate di natura contrattuale o pattizia che devono essere fornite dai titolari coinvolti (fra cui le norme vincolanti d’impresa – BCR, e clausole contrattuali tipo);

c) in assenza di ogni altro presupposto, utilizzo di deroghe al divieto di trasferimento applicabili in specifiche situazioni (articolo 49 del Regolamento).

Sono altresì vietati trasferimenti di dati verso titolari o responsabili in un Paese terzo sulla base di decisioni giudiziarie o ordinanze amministrative emesse da autorità di tale Paese terzo, a meno dell’esistenza di accordi internazionali in particolare di mutua assistenza giudiziaria o analoghi accordi fra gli Stati (articolo 48 del Regolamento UE 2016/679). Si potranno utilizzare, tuttavia, gli altri presupposti e in particolare le deroghe previste per situazioni specifiche di cui all’articolo 49 del Regolamento medesimo. E’ lecito trasferire dati personali verso un Paese terzo non adeguato “per importanti motivi di interesse pubblico”, in deroga al divieto generale, ma deve trattarsi di un interesse pubblico riconosciuto dal diritto dello Stato membro del titolare o dal diritto dell’Unione europea (articolo 49, paragrafo 4) – e dunque non può essere fatto valere l’interesse pubblico dello Stato terzo ricevente.

Fonte
Schede di sintesi redatte dall’Ufficio del Garante per la Protezione dei Dati Personali a mero scopo divulgativo. Per un quadro completo della materia, si rimanda alla legislazione in tema di protezione dei dati personali e ai provvedimenti dell’Autorità