GDPR: CONSULTAZIONE SULL’USO DELLE CERTIFICAZIONI PER TRASFERIRE I DATI ALL’ESTERO

GDPR: CONSULTAZIONE SULL’USO DELLE CERTIFICAZIONI PER TRASFERIRE I DATI ALL’ESTERO

Le imprese e le organizzazioni della società civile avranno tempo fino al 30 settembre per proporre modifiche alle “Linee guida sulle certificazioni come strumento per i trasferimenti” dei dati personali in Paesi fuori dallo Spazio economico europeo, appena approvate dai Garanti privacy europei in seno all’EDPB.
Il documento messo in consultazione, e al quale ha contribuito anche il Garante italiano, fornisce chiarimenti ed esempi pratici per l’utilizzo delle certificazioni come strumento di trasferimento dei dati personali di interessati – come i propri clienti, dipendenti, utenti – verso Paesi terzi per i quali non sia stata riconosciuta l’adeguatezza da parte della Commissione europea. Lo strumento della certificazione può rivelarsi di particolare importanza, aggiungendosi ad altri strumenti già esistenti, come le clausole contrattuali standard, le clausole contrattuali ad hoc e le regole vincolanti di impresa.
Le linee guida appena approvate sono composte da quattro parti e approfondiscono aspetti specifici della certificazione come strumento per i trasferimenti. Nella prima parte si analizzano temi di carattere generale, tra cui il ruolo di chi importa dati nel Paese terzo che riceve una certificazione e quello di chi li esporta. Nella seconda parte, i Garanti forniscono chiarimenti su alcuni dei requisiti di accreditamento degli organismi di certificazione (già contenuti in precedenti linee guida EDPB e nell’ISO 17065). Nella terza parte si analizzano i criteri specifici per dimostrare l’esistenza di garanzie adeguate per il trasferimento, che riguardano in particolare la valutazione della legislazione dei Paesi terzi, gli obblighi generali degli esportatori e degli importatori, le norme in materia di trasferimenti successivi, i diritti dei terzi beneficiari e i mezzi di tutela esercitabili, le misure da adottare per le situazioni in cui la legislazione e le prassi nazionali impediscano il rispetto degli impegni assunti dall’importatore nell’ambito della certificazione e nei casi di richieste di accesso ai dati da parte delle autorità di paesi terzi. Nella quarta parte vengono affrontati gli impegni vincolanti e applicabili da attuare.
Il GDPR impone infatti che i titolari e i responsabili del trattamento non soggetti al Regolamento europeo, quando aderiscono a un meccanismo di certificazione destinato ai trasferimenti, assumano impegni vincolanti ed esecutivi attraverso strumenti contrattuali o altri strumenti giuridicamente vincolanti, riguardo alle garanzie previste dal meccanismo di certificazione, anche per quanto riguarda i diritti degli interessati.
Le linee guida propongono anche un allegato con esempi specifici per l’utilizzo di una certificazione come strumento per i trasferimenti.
LINEE GUIDA

Agosto 2022

lunedì martedì mercoledì giovedì venerdì sabato domenica
1 Agosto 2022 2 Agosto 2022 3 Agosto 2022 4 Agosto 2022 5 Agosto 2022 6 Agosto 2022 7 Agosto 2022
8 Agosto 2022 9 Agosto 2022 10 Agosto 2022 11 Agosto 2022 12 Agosto 2022 13 Agosto 2022 14 Agosto 2022
15 Agosto 2022 16 Agosto 2022 17 Agosto 2022 18 Agosto 2022 19 Agosto 2022 20 Agosto 2022 21 Agosto 2022
22 Agosto 2022 23 Agosto 2022 24 Agosto 2022 25 Agosto 2022 26 Agosto 2022 27 Agosto 2022 28 Agosto 2022
29 Agosto 2022 30 Agosto 2022 31 Agosto 2022 1 Settembre 2022 2 Settembre 2022 3 Settembre 2022 4 Settembre 2022