Il Comitato Europeo per la Protezione dei Dati (“EDPB”) ha fornito importanti chiarimenti sul trasferimento dei dati personali verso paesi terzi, attraverso l’adozione definitiva di due linee guida (rispettivamente numero 05/2021 e 07/2022 del 14 febbraio 2023) a seguito del completamento del processo di consultazione pubblica. Tali linee guida approfondiscono i temi della interazione tra l'applicazione dell'articolo 3 e le disposizioni sui trasferimenti internazionali di cui al capitolo V del GDPR (General Data Protection Regulation), nonché il tema del ricorso alla certificazione come strumento sicuro per il trasferimento al di fuori della Comunità europea.
L’approvazione delle linee guida si colloca nel solco di un percorso ben preciso: offrire strumenti per garantire un elevato livello di protezione dei dati personali nel contesto del trasferimento verso paesi terzi.
L’EDPB fornisce per la prima volta una definizione di “trasferimento”, colmando una lacuna del GDPR, al fine di determinare l’applicazione delle disposizioni del Capitolo V del regolamento. L’EDPB indica così i tre requisiti minimi affinché si abbia un trasferimento:
- Il titolare o responsabile del trattamento (esportatore) è soggetto al GDPR
- L’esportatore trasmette i dati personali o li mette in altro modo a disposizione di un altro titolare, contitolare o responsabile del trattamento (importatore)
- L’importatore si trova in un paese al di fuori dell’Unione Europea
È interessante notare come l’EDPB sottolinei l’ininfluenza del ruolo dei soggetti coinvolti (titolare/responsabile) ai fini dell’applicazione dei principi relativi al trasferimento e delle conseguenti responsabilità che il trasferimento stesso determina. Ciò potrebbe incidere in maniera singolare nei rapporti commerciali tra il titolare ed il responsabile. Ad esempio, un titolare stabilito al di fuori dell’Unione Europea che trasferisca dati ad un responsabile stabilito all’interno della stessa potrebbe trovarsi nella posizione di incontrare ostacoli nella restituzione dei dati da parte del responsabile, ove quest’ultimo ritenga che tale restituzione non soddisfi i requisiti dell’art 46 GDPR (ad esempio nel caso in cui il titolare si rifiutasse di sottoscrivere le clausole contrattuali tipo). Le linee guida ribadiscono, infatti, l’obbligo per l’esportatore, nel caso specifico il responsabile, di assicurare che il trasferimento avvenga nel rispetto delle disposizioni contenute nel Capitolo V del GDPR.
In materia di certificazione, invece, le linee guida ribadiscono il valore delle certificazioni come strumento idoneo a garantire il rispetto, da parte dell’importatore, degli obblighi previsti dal GDPR. L’esportatore dovrà tuttavia verificare che la certificazione ottenuta dall’importatore sia valida, non sia scaduta, sia corretta per lo specifico tipo di trasferimento da effettuare e persino che sia efficace anche alla luce della legge e/o le prassi del paese terzo. Vale la pena sottolineare come, per tale valutazione, l’esportatore potrà fare affidamento sulla verifica effettuata dall’organismo di certificazione della documentazione presentata dall’importatore, fermo restando l’onere in capo all’esportatore di accertarsi che l’organismo di certificazione sia accreditato da un organismo nazionale (o da un’autorità di vigilanza) competente. Anche nel caso in cui dalla certificazione dovesse emergere la necessità per l’importatore e/o l’esportatore di adottare delle misure supplementari - in modo da assicurare un livello equivalente di protezione agli standard richiesti dalla normativa europea -, sarà comunque compito dell’esportatore verificare che dette misure vengano correttamente implementate (o che siano, nel suo caso, implementabili). Qualora dalle verifiche effettuate il livello di protezione dei dati personali dovesse risultare comunque inadeguato, l’esportatore sarà tenuto a richiedere all’importatore l’adozione di adeguate misure supplementari, anche eventualmente dallo stesso indicate.
L’EDPB continua dunque il percorso verso l’incremento dei presidi adottati nel contesto dei trasferimenti internazionali, individuando negli esportatori i soggetti più indicati per conseguire tale obiettivo. L’auspicio per il futuro è che si pongano in essere interventi volti a ridurre questo carico di lavoro come, ad esempio, formule capaci di standardizzare (per paese di importazione) i criteri di certificazione necessari a garantire livelli di sicurezza adeguati.
_840x420.jpg?v=3)
I cookie dei social media raccolgono informazioni sulla condivisione, da parte tua, di contenuti presenti sul nostro sito web, tramite i social media, o analytics per analizzare la tua navigazione tra i vari strumenti presenti sui sociali media o tra le nostre campagne sui social media e i nostri siti web. In questo modo ottimizziamo il mix di canali tramite il quale forniamo i nostri contenuti. I dettagli relativi agli strumenti in uso sono riportati nella nostra privacy policy.