Il Regolamento UE 2016/679 disciplina il trasferimento dei dati anche in Paesi extra-UE (artt. 44 e ss. del GDPR)al fine di garantire che, qualora i dati siano trasferiti anche a soggetti stabiliti al di fuori dello Spazio Economico Europeo, non sia pregiudicato il livello di protezione assicurato alle persone fisiche in relazione al trattamento dei loro dati personali.

Con il termine “trasferimento” si intende una gamma potenzialmente infinita di operazioni, essendo sufficiente, per configurare lo stesso, anche la mera comunicazione di una manciata di dati.

I protagonisti del trasferimento possono essere qualificati in “esportatori” (UE) ed “importatori” (extra-UE) di dati personali.

Fatta tale doverosa premessa, si precisa, dunque, che è obbligodell’esportatore (titolare o responsabile che sia), in ossequio al principio dell’accountability, accertarsi che il trasferimento dei dati all’importatore avvenga nel rispetto delle condizioni stabilite dal Regolamento Europeo 679/2016.

Le cautele e le informazioni sul trasferimento incrociano anche altri adempimenti e istituti previsti dal Regolamento, quali: la redazione dell’informativa (ex artt. 13 e 14), il diritto di accesso dell’interessato (art. 15), il contratto tra titolare e responsabile (art. 28), l’adozione del registro dei trattamenti del titolare e del responsabile (art. 30.1, lett e), e 30.2, lett. c), l’elaborazione dei codici di condotta (art. 40.2, lett j).

Dunque l’esportatore, nel rispetto delle condizioni di liceità del trasferimento (prima di avviare il trasferimento, lo si precisa) dovrà verificare:

1) la sussistenza di una decisione di adeguatezza del Paese terzo o dell’organizzazione internazionale, adottata dalla Commissione UE;

2) ovvero (in mancanza della decisione di adeguatezza) la possibilità di prestare garanzie adeguate, tra cui figurano le clausole tipo (veri e propri contratti standard approvati dalla Commissione UE)e le norme vincolanti d’impresa, valevoli per gruppi societari e gruppi di imprese che svolgano una attività economica comune;

3) e ancora (qualora le prestazioni di garanzia adeguate non sia appropriate o possibili) di dover infine ricorrere alle deroghe al divieto di trasferimento per specifiche situazioni.

Si precisa, infine, che la violazione delle disposizioni in tema di trasferimento è soggetta alla sanzione amministrativa ex art. 83 GDPR (fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore) rappresentando la stessa la più alta in assoluto.

Dunque, considerando che la stragrande maggioranza dei providerè composta da imprese extra-comunitarie e, segnatamente, statunitensi e cinesi, il trasferimento dei dati acquista sempre maggiore rilevanza sia per le organizzazioni private che per quelle pubbliche.