L'approccio adottato da alcuni Stati membri di supporre che la valutazione dell'adeguatezza del livello di protezione garantito dal destinatario dei dati sia operata dal responsabile del trattamento, con un controllo molto limitato dei flussi di dati da parte dello Stato o dell'autorità nazionale di controllo, non sembra soddisfare l'obbligo imposto agli Stati membri dal primo paragrafo dell'articolo 25 [30].
The approach adopted by some Member States, where the assessment of the adequacy of protection provided for by the recipient is supposed to be made by the data controller, with very limited control of the data flows by the State or the national supervisory authority, does not seem to meet the requirement placed on Member States by the first paragraph of Article 25 (1) [30].