Tornando alla domanda posta a pagina 2, ora è possibile dare una risposta ma prima dobbiamo individuare una serie di ipotesi.
Ipotesi n.1: dati situati nel territorio italiano (o comunque ove si esprima la sovranità dello Stato).
- Il responsabile del trattamento situato in Italia non deve fare altre operazioni oltre la necessaria comunicazione dell’informativa sulla privacy da offrire al soggetto che fornirà i propri dati.
- Il responsabile situato fuori dall’Italia ma nell’ambito dell’UE rispetterà le Direttive UE in materia.
- Il responsabile situato fuori dall’UE, invece, dovrà nominare un rappresentante sul territorio italiano per l’applicazione della disciplina sulla tutela della privacy.
Ipotesi n.2: dati situati nell’Unione Europea.
- Il responsabile situato in Italia osserverà il Codice della Privacy italiano;
- Il responsabile situato fuori dall’Italia osserverà almeno le Direttive UE (che comunque tendono ad armonizzare le normative nazionali fra loro);
- Il responsabile situato fuori dall’UE rispetterà ancora le Direttive UE (oltre a nominare un rappresentante in loco).
Ipotesi n.3: dati conservati fuori dall’Unione Europea.
- Il responsabile situato in Italia (o in luogo sotto la sovranità dello Stato) osserverà il Codice della Privacy;
- Il responsabile situato nell’Unione Europea e fuori dall’Italia osserverà le Direttive UE;
- Il responsabile extracomunitario, stabilito negli USA, dovrà auto-certificare l’adesione al programma “US-EU Safe Harbor” per trattare dati provenienti da cittadini degli Stati Membri dell’UE:
- Il responsabile extracomunitario, NON stabilito negli USA, in assenza di accordi specifici con l’UE, dovrà osservare la propria legislazione e chiedere un’autorizzazione preventiva esplicita al trattamento dei dati di cittadini degli Stati Membri dell’UE;
- altri casi da valutare caso per caso.
