Azione in corso...

Dopo l’invalidazione del Privacy Shield, decisa dalla Corte di Giustizia dell’UE il 16 luglio 2020 il Comitato Europeo per la Protezione dei Dati arriva in aiuto delle imprese con la pubblicazione delle linee guida.

Dopo quattro mesi di attesa, l’11 novembre 2020 l’European Data Protection Board apre finalmente uno spiraglio per chi trasferisce dati fuori UE, con la pubblicazione delle Raccomandazioni 01/2020.

L’obiettivo è quello di dare delle linee guida per ricorrere lecitamente alle clausole contrattuali standard (SCC) ed individuare, caso per caso, le adeguate misure supplementari nella valutazione dei paesi terzi.

Nelle linee guida vengono individuati e descritti una serie passaggi da seguire attentamente, indicando anche alcune potenziali fonti di informazioni con alcuni esempi che possono essere utili per le imprese interessate.

Come indicava infatti la sentenza Schrems II, è data la possibilità agli esportatori di dati personali di adottare adeguate misure supplementari che potrebbero colmare le lacune della normativa del paese di destinazione e consentire un livello di protezione sostanzialmente equivalente come richiesto dal diritto dell'UE, tuttavia questa previsione aveva lasciato finora molti interrogativi.

I 6 passaggi da seguire

Di seguito la sintesi dei sei passaggi chiave indicati nelle raccomandazioni del board  dei garanti europei:

  1. Censimento dei trasferimenti - L'European Data Protection Board consiglia di fare una mappatura di tutti i trasferimenti di dati personali verso paesi terzi. Ciascun trasferimento dovrebbe essere verificato per adeguatezza e pertinenza, e dovrebbe essere limitato nel rispetto del principio di “minimizzazione”.
  2. Identificazione degli strumenti di trasferimento da utilizzare - Per i trasferimenti verso paesi terzi che hanno ottenuto una decisione di adeguatezza, non sono necessarie ulteriori misure. In mancanza di una decisione di adeguatezza, se il trasferimento è regolare e ripetitivo è invece necessario basarsi su uno degli strumenti previsti dall'articolo 46 Gdpr. Per i trasferimenti occasionali, potrebbe essere possibile affidarsi ad una deroga ai sensi dell'art. 49 del Regolamento UE.
  3. Valutazione dell’efficacia dello strumento individuato per il trasferimento – L’Edpb richiede ai titolari del trattamento di valutare con la dovuta diligenza e sotto la loro responsabilità, se qualcosa nella legislazione applicabile o nella prassi del paese terzo possa avere un impatto negativo sul livello di protezione e influenzare l'efficacia delle garanzie appropriate dello strumento di trasferimento individuato nell’art.46 del Gdpr.
  4. Adozione misure supplementari - È necessario individuare e adottare misure supplementari che possano consentire, caso per caso, che il livello di protezione dei dati trasferiti sia sostanzialmente equivalente a quello dell'UE. La valutazione di potenziali misure supplementari dovrebbe essere documentata ed eseguita con la dovuta diligenza, attingendo agli esempi contenuti nell'Allegato 2 delle Raccomandazioni 01/2020. In alcuni casi, queste misure potrebbero essere adottate anche in modo combinato, mentre in altri casi potrebbero non essere disponibili misure supplementari adeguate che possano legittimare uno specifico trasferimento.
  5. Fasi procedurali - Se sono state individuate misure supplementari efficaci, il titolare del trattamento dovrebbe quindi adottare le misure richieste, che potranno essere di natura contrattuale, tecnica o organizzativa, come specificato nelle raccomandazioni dell’Edpb. In alcuni casi, potrebbe anche rendersi necessario consultare l’autorità di controllo competente.
  6. Audit periodici - Secondo il principio di accountability, è necessario rivalutare a intervalli regolari il livello di protezione offerto ai dati trasferiti a paesi terzi e monitorare attraverso audit periodici se vi siano stati o vi saranno sviluppi che potrebbero avere un impatto negativo sul livello di protezione fornito dallo strumento di trasferimento utilizzato.fattori, dove possibile, o aumentate al massimo la complessità delle password ed abituatevi a cambiarle con frequenza maggiore del solito, anche una volta ogni 15 gg o una volta a settimana.

Conclusioni

L’auspicio dell’EDPB è che le raccomandazioni, attualmente in consultazione pubblica, possano aiutare imprese ed enti a identificare e attuare misure supplementari efficaci laddove siano necessarie, e consentire trasferimenti legittimi di dati personali a paesi terzi garantendo al contempo che ai dati trasferiti sia assicurato un livello di protezione essenzialmente equivalente a quello garantito all'interno dello Spazio Economico Europeo.

In attesa naturalmente che si trovi, nel più breve tempo possibile, un nuovo accordo per consentire stabilmente la libera circolazione dei dati personali garantendo al contempo le necessarie garanzie per gli interessati.

Se l’articolo vi è piaciuto o avete dubbi o domande, non esitate a contattarci: è gratis e vi risponderemo sicuramente!

Martinelli S.r.l. Via Circonvallazione N/E, 98 - 41049 Sassuolo (MO) | Tel: 0536 868611 Fax: 0536 868618 | info@martinelli.it
P.Iva 02262430362 - C.F. 01413050350 - Iscriz. registro Imprese di Modena 01413050350 - Capitale Sociale 350.000 i.v.