Privacy: le decisioni di adeguatezza e il ruolo delle Authority.

sede-garante-privacy-Imagoeconomica_805228-k86C--1020x533@IlSole24Ore-Web

Il GDPR, ovvero il Regolamento generale Privacy della UE, appare essere sempre più lo standard a cui tendono anche Paesi non Europei.

E’ notizia di questi giorni che l’India perseguirà l’obiettivo di ottenere una decisione di  “adeguatezza” ai sensi  del Regolamento generale sulla protezione dei dati (GDPR) dell’UE, dopo aver approvato la propria legge sulla protezione dei dati personali.

L’articolo 45 del GDPR consente il trasferimento di dati personali verso paesi al di fuori dell’Europa, se questi paesi garantiscono un livello adeguato di protezione dei dati in base ad una decisione di adeguatezza.

Se  verrà concesso lo status di adeguatezza, significherà che l’UE e l’India riconoscono le reciproche normative sulla protezione della privacy , e ciò contribuirà a diminuire gli   oneri  di dover valutare, attraverso altri mezzi, la  conformità nei trasferimenti transfrontalieri di dati.

Finora l’UE ha concesso lo status di adeguatezza a 14 Paesi.

L’adozione di una decisione di adeguatezza comporta: una proposta della Commissione europea, un Parere dell’European Data Protection Board , l’approvazione da parte dei rappresentanti dei paesi dell’UE e l’adozione della decisione da parte della Commissione europea.

Secondo il GDPR, la decisione di adeguatezza della Commissione potrebbe essere limitata a territori specifici o a settori più specifici all’interno di un paese.

La procedura prevede inoltre che la Commissione europea riesamini le sue decisioni di adeguatezza almeno ogni quattro anni.

Vale anche la pena notare che lo stato di adeguatezza può essere abrogato, modificato o sospeso senza effetto retroattivo.

Il Giappone e la Commissione europea hanno firmato un accordo analogo nel gennaio di quest’anno che ha consentito il libero flusso di dati personali tra le due economie sulla base di forti garanzie di protezione.

Oltre al Giappone, l’UE ha concordato un accordo analogo con altri 13 paesi: Andorra, Argentina, Canada (organizzazioni commerciali), Isole Faroe, Guernsey, Israele, Isola di Man, Giappone, Jersey, Nuova Zelanda, Svizzera, Uruguay e Stati Uniti d’America (limitato al framework Privacy Shield).

@fulviosarzana