Legge 171 del 21/12/18. San Marino e il trattamento dei dati personali: forti richiami al GDPR.


Il Regolamento Europeo sulla tutela e protezione dei dati (2016/679) prevede che Il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, quindi extra UE, sia ammesso solo in alcuni scenari ben definiti:

  • (art. 45) In primo luogo se la Commissione ha deciso che il paese terzo, un territorio o uno o più settori specifici all’interno del paese terzo, o l’organizzazione internazionale in questione garantiscono un livello di protezione adeguato
  • (art.46) In mancanza di tale decisione il titolare del trattamento o il responsabile del trattamento può trasferire dati personali verso un paese terzo o un’organizzazione internazionale solo se ha fornito garanzie adeguate

San Marino non fa parte dell’Unione Europea: fa parte di quei cinque microstati che, a causa della propria dimensione, sono spesso strettamente legati con un altro stato di maggiore superficie geografica. Essi hanno relazioni speciali con l’Unione europea ma rimangono al di fuori di questa: ciò è dovuto nella maggior parte dei casi al costo che l’essere membri richiederebbe. Nel piccolo stato del Titano si era anche tenuto un referendum propositivo sull’adesione all’Unione Europea il 20 ottobre 2013: anche se prevalse una leggera percentuale di voti a favore, il quorum non fu raggiunto e la proposta referendaria non poté quindi essere accolta.

Ecco perché la nuova legge della Repubblica di San Marino, “Protezione delle persone fisiche con riguardo al trattamento dei dati personali “, pubblicata il 21 dicembre 2018 ed entrata in vigore il 5 gennaio 2019, riveste un’importanza fondamentale. Essendo fortemente ispirata al GDPR, potrebbe aspirare ad una “decisione di adeguatezza” da parte della Commissione, rendendo il percorso degli operatori sanmarinesi molto più semplice dal punto di vista della “data protection”.

E’ necessario comunque ricordare che, anche prima del 5 gennaio le imprese sammarinesi che trattavano dati personali di cittadini comunitari erano già obbligate al rispetto dei princìpi del GDPR. Infatti, l’art. 3 del Regolamento europeo stabilisce che la nuova normativa privacy si applica al trattamento dei dati personali dei cittadini europei, anche quando tale trattamento sia effettuato da titolari o responsabili del trattamento stabiliti extra UE.