Il 19 novembre 2021, l’EDPB ha posto in consultazione le linee guida 05/2021 sull'interazione tra l'applicazione dell'articolo 3 GDPR che stabilisce l'ambito territoriale del Regolamento e le disposizioni del GDPR sui trasferimenti internazionali di dati (Capo V).
Le Linee guida mirano ad assistere le organizzazioni soggette al GDPR nell'identificare se un'attività di trattamento dei dati costituisce un trasferimento internazionale di dati ai sensi del GDPR, poiché il GDPR non definisce il termine.
Le Linee guida stabiliscono tre criteri da considerare per determinare se un'attività di trattamento si qualifica come trasferimento internazionale di dati ai sensi del GDPR:
- L’esportatore (il titolare o il responsabile del trattamento) è soggetto al GDPR per l'attività di trattamento dati.
- L’esportatore (Il titolare del trattamento o il responsabile del trattamento) trasmette o rende disponibili i dati personali all'importatore dei dati (ad esempio, ad un altro responsabile del trattamento, un contitolare del trattamento o un responsabile del trattamento).
La Guida chiarisce che la raccolta di dati direttamente dagli interessati nell'UE non costituisce un trasferimento internazionale di dati, in quanto non vi è alcun titolare del trattamento o responsabile del trattamento che invia o rende disponibili i dati. Questo secondo criterio implica anche che due parti separate devono essere coinvolte nel trasferimento (ad esempio, non vi è alcun trasferimento quando i dati personali viaggiano al di fuori dell'UE con un dipendente di un responsabile del trattamento dell'UE in viaggio d'affari). L'EDPB sottolinea, tuttavia, che le entità di un gruppo aziendale possono qualificarsi come titolari o responsabili del trattamento separati ai sensi del GDPR.
- L'importatore di dati si trova in un paese terzo (o è un'organizzazione internazionale), indipendentemente dal fatto che l'importatore di dati o le sue attività di trattamento siano soggette al GDPR. Ad esempio, quando un responsabile del trattamento dell'UE invia dati personali a un responsabile del trattamento che non è stabilito nell'UE ma che rientra nell'ambito di applicazione del GDPR perché offre beni e servizi al mercato dell'UE, le linee guida confermano che questo flusso di dati costituisce un trasferimento internazionale di dati, anche se entrambe le parti rientrano nell'ambito di applicazione del GDPR.
Quest’ultimo caso si verifica spesso in occasione di collocazione di dati personali in servizi cloud offerti dai colossi americani che hanno sede legale negli USA ma server collocati in UE.
Laddove siano soddisfatti i tre criteri sopra elencati, il flusso di dati è considerato un trasferimento internazionale di dati ai sensi del GDPR e si applicheranno gli obblighi del Capo V del GDPR.
Lo Staff IusPrivacy è pronto per offrire ulteriori informazioni.
