Trattamento dei dati – Trasferimento dei dati all’estero 

Domanda

Mi sono recentemente iscritto alla newsletter di un sito di mio interesse così da essere aggiornato su eventuali offerte relative alla merce in esso venduta. Con riferimento ad un oggetto in particolare, verso cui ho mostrato interesse richiedendo, online, ulteriori informazioni, sono stato successivamente ricontattato da un operatore del sito che mi chiamava dall’Albania. Non ricordo di aver prestato il mio consenso affinché i miei dati, forniti all’atto dell’iscrizione alla newsletter, venissero anche trasferiti all’estero. Ciò è lecito?

Risposta

Il Garante per la protezione dei dati personali ha sottolineato, in riferimento all’argomento citato che (Garante per la protezione dei dati personali provvedimento 18 dicembre 2019, n 223 – Doc. Web. n. 9220727), così come nelle previgenti versioni, anche l’attuale articolo 28 del Regolamento UE 2016/769 prevede che, laddove il titolare nomini un responsabile del trattamento, detta nomina debba essere assistita da determinati requisiti e garanzie, quali la selezione sulla base di esperienza, capacità ed affidabilità; il titolare, peraltro, deve assegnare specifiche istruzioni per il trattamento dei dati che sta fornendo, e verificare saltuariamente l’operato del responsabile che li riceve. Oltre a tutto ciò, l’art. 28 prevede anche “la possibilità di nomina di un responsabile da parte di un altro responsabile ma solo in presenza di un’autorizzazione del titolare del trattamento che deve essere preventiva e scritta. Ciò al fine di mantenere sul titolare il controllo della filiera del trattamento, al di là dei rapporti negoziali fra le parti. Tali garanzie, evidentemente, non possono essere poste in essere senza la previa conoscenza del subfornitore da parte del titolare.” Un atteggiamento quale quello descritto, pertanto, non può ritenersi lecito, stante la mancata conoscenza del trasferimento in argomento e per il quale, pertanto, non è stato in grado di prestare alcun tipo di consenso specifico e informato. Ciò ha comportato che i dati siano stati trasmessi senza attenersi alle istruzioni del titolare e senza una base giuridica, come previsto dal Regolamento UE 2016/679.

Fonte: Esperto Ipsoa
A cura dell’Avv. Monica Lambrou