Trasferimento Dati verso Paesi Terzi
Il trasferimento di dati personali verso un paese fuori dallo Spazio Economico Europeo, soggetto a condizioni e garanzie specifiche previste dal GDPR.
Definizione
Il trasferimento di dati personali verso un paese al di fuori dello Spazio Economico Europeo (SEE) è disciplinato dal Capo V del GDPR. Non può avvenire liberamente: richiede che il paese destinatario offra un livello di protezione adeguato o che siano state adottate garanzie appropriate.
Riferimenti normativi
GDPR, artt. 44-49
«I trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale sono consentiti solo se il titolare e il responsabile del trattamento rispettano le condizioni di cui al presente capo.»
Implicazioni pratiche
Strumenti di trasferimento
(1) Decisione di adeguatezza della Commissione UE (es. UK, Giappone, UE-USA Data Privacy Framework); (2) Standard Contractual Clauses (SCCs) aggiornate nel 2021; (3) Binding Corporate Rules (BCR) per gruppi multinazionali; (4) Codici di condotta approvati; (5) Meccanismi di certificazione.
Situazione USA post-Schrems II
La Corte di Giustizia UE ha invalidato due volte i framework UE-USA (Safe Harbor nel 2015, Privacy Shield nel 2020). L'attuale EU-US Data Privacy Framework (2023) è valido ma soggetto a ulteriore controllo giurisdizionale.
Domande frequenti
Usare Google Analytics trasferisce dati negli USA?
Sì. I dati degli utenti europei vengono inviati ai server Google negli USA. Dal 2020 diversi Garanti europei hanno dichiarato illecito l'uso di Google Analytics senza misure di anonimizzazione o trasferimento conforme.