Uno dei temi più caldi e complessi da affrontare, in relazione alla protezione dei dati personali in ambito europeo, all’indomani della piena applicabilità del GDPR, riguarda il trasferimento dei dati all’estero.

La novità principale consiste nel venir meno del requisito dell’autorizzazione nazionale: ai sensi dell’art.45 del GDPR infatti, il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale è ammesso se la Commissione ha deciso che il paese terzo, un territorio o uno o più settori specifici all’interno del paese terzo, o l’organizzazione internazionale in questione garantiscono un livello di protezione adeguato. In tal caso il trasferimento non necessita di autorizzazioni specifiche.

Ciò significa che il trasferimento dei dati verso un Paese extra Ue è ammesso a condizione che, tra le altre, il paese di destinazione garantisca un livello di protezione dei dati adeguato a quello europeo. Per valutare l’adeguatezza occorre esaminare diversi aspetti del trattamento: la natura dei dati, la finalità del trattamento, la possibilità che tali dati transitino in altri paesi prima di giungere alla destinazione, le norme di diritto anche settoriali, le misure di sicurezza osservate.

L’elenco delle “garanzie” è contenuto nell’art. 46 del GDPR (tra le quali rientrano le norme vincolanti d’impresa, le clausole contrattuali modello, i codici di condotta, gli schemi di certificazione) e hanno lo scopo di servire a dimostrare un adeguato livello di protezione dei dati da parte del paese extra UE.

Tuttavia, l’autorizzazione del Garante è necessaria qualora un titolare desiderasse utilizzare clausole contrattuali ad-hoc (cioè non riconosciute come adeguate tramite decisione della Commissione europea) oppure accordi amministrativi stipulati tra autorità pubbliche – una delle novità introdotte dal regolamento.

A questo punto non si può non fare riferimento al Privacy Shield, l´accordo che regolamenta il trasferimento di dati tra Unione europea e USA in vigore dal 2016 (che all’epoca sostituì il Safe Harbor), che in questi ultimi tempi fa molto discutere.

Pare che il Parlamento europeo abbia chiesto alla Commissione Europea di sospendere l’accordo poiché gli Usa non starebbero onorando gli impegni nei confronti dell’Europa in materia di privacy e tutela dei dati di imprese e cittadini Ue trattati negli Stati Uniti. In concreto, il Parlamento Europeo lamenta una serie di inadempienze da parte dell’amministrazione americana nella mancata implementazione del Privacy Shield.

In primo luogo, pare che gli Usa non dispongano di una sede amministrativa dedicata ad accogliere le richieste di risarcimenti legali e le denunce dei casi di violazione dei dati dei cittadini europei. In più, a due anni dall’entrata in vigore del Privacy Shield, l’amministrazione americana non ha ancora nominato la figura destinata a presiedere il Comitato di tutela dei diritti alla Privacy e alle Libertà Civili, incaricata di gestire le denunce di abusi della privacy.

A tal punto è intervenuto l’European Data Protection Board (Comitato europeo per la Data protection che ha sostituito il WP29) sollecitando le autorità americane di occuparsi al più presto di questi temi, dopo il recente incontro avuto con la figura che dovrà occuparsi di questi aspetti sempre più cruciali nei rapporti fra Stati Uniti ed Unione Europea.