I trasferimenti di dati personali all’estero, ossia verso Paesi non appartenenti allo Spazio Economico Europeo (UE + Norvegia, Liechtenstein, Islanda) o verso un’organizzazione internazionale, sono consentiti a condizione che l’adeguatezza del Paese terzo o dell’organizzazione sia riconosciuta tramite una decisione della Commissione europea (art. 45 del Regolamento UE 2016/679).

Tra tali decisioni di adeguatezza vi è, ad esempio, il UE-US Data Privacy Framework adottato dalla Commissione europea il 10 luglio 2023 per il trasferimento dei dati personali verso gli USA.

Le decisioni di adeguatezza ad oggi adottate sono indicate sul sito web del Garante privacy, per cui è possibile verificare autonomamente se il servizio che comporta il trasferimento di dati personali all’estero sia possibile a fronte di una decisione di adeguatezza della Commissione.

In assenza di una decisione di adeguatezza, l’art. 46 del Regolamento generale sulla protezione dei dati stabilisce che il trasferimento è consentito solo in presenza di garanzie adeguate che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati.

Sulla base della citata disposizione, possono costituire garanzie adeguate, senza autorizzazione da parte dell’autorità di controllo:

• gli strumenti giuridici vincolanti ed esecutivi tra soggetti pubblici
• le norme vincolanti d’impresa
• le clausole tipo
• i codici di condotta
• i meccanismi di certificazione.

Possono inoltre costituire garanzie adeguate, previa autorizzazione dell’autorità di controllo:

• le clausole contrattuali ad hoc
• gli accordi amministrativi tra autorità o organismi pubblici.

In assenza di ogni altro presupposto, infine, rimane possibile trasferire i dati personali all’estero in base ad alcune deroghe stabilite dall’art. 49 del Regolamento, applicabili soltanto in situazioni specifiche, da interpretare in maniera restrittiva e riferite, nella maggior parte dei casi, a trattamenti occasionali e non ripetitivi.