Posso trattare i dati al di fuori dell’UE ai sensi del GDPR?

Il GDPR consente il trasferimento di dati personali verso paesi extra UE (c.d. “paesi terzi”) per garantire il commercio e la cooperazione internazionale.

Puoi trasferire i dati verso paesi che assicurano un livello di protezione adeguato: Andorra, Argentina, Canada (solo organizzazioni commerciali), Isole Faroe, Guernsey, Israele, Isola di Man, Jersey, Nuova Zelanda, Svizzera, Uruguay, Giappone, Regno Unito , Corea del Sud e USA (se il destinatario appartiene al Data Privacy Framework). In tali paesi, le normative legali nazionali forniscono un livello di protezione dei dati personali paragonabile a quello del diritto dell’UE.

Per trasferire i dati verso un paese terzo, che non garantisce un livello di protezione adeguato, quindi non esiste una decisione di adeguatezza della Commissione Europea, è necessario assicurarsi che i dati personali siano protetti dal destinatario.

Questo può essere assicurato ad es. attraverso l’utilizzo di clausole contrattuali standard, per i trasferimenti di dati all’interno di un gruppo di società attraverso le cosiddette regole aziendali vincolanti, o attraverso l’impegno a rispettare codici di condotta, che sono stati dichiarati dalla Commissione Europea come generalmente applicabili.

Esistono diverse eccezioni, che autorizzano il trasferimento dei dati verso un paese terzo, anche se la protezione dei dati personali non può essere sufficientemente garantita. Molto spesso, qui è richiesto il consenso dell’interessato.