Il GDPR non vede di buon occhio i trasferimenti dei dati personali dei cittadini europei verso i paesi extra-UE, sottoponendoli agli stringenti vincoli previsti dal Regolamento UE n. 679/2016.
Ad esempio, uno dei casi in cui il trasferimento di dati personali verso un paese terzo è ammissibile in presenza di una decisione di adeguatezza della Commissione Europea, attestante che il paese terzo in questione garantisce un livello di protezione adeguato.
Il processo per arrivare alla decisione di adeguatezza è però lungo e complicato, come testimonia l’esempio del Giappone. I colloqui preliminari tra il Paese del Sol Levante e l’Unione Europea hanno avuto inizio nel gennaio 2017 per terminare con la pubblicazione della “decisione di adeguatezza” nel gennaio 2019.
Un processo lungo due anni giunto al termine dopo l’ottenimento del parere del comitato europeo per la protezione dei dati e l’accordo di un comitato composto di rappresentanti degli Stati membri dell’UE.
È bene precisare che l’adozione di una decisione di adeguatezza, ha il solo effetto di consentire il trasferimento dei dati personali verso il paese terzo in questione, senza aver alcun riflesso sugli altri obblighi cui sono soggette le aziende che risiedendo in tale paese e trattano i dati personali dei cittadini europei.
Ad esempio, quando un’azienda stabilita in un paese extra-UE offre abitualmente beni e servizi a cittadini europei, alla luce di quanto previsto dal combinato disposto degli artt. 3 e 27 del GDPR, deve nominare un rappresentante nel territorio dell’Unione Europea, senza che sia prevista alcuna deroga connessa all’eventuale adozione di una decisione di adeguatezza.