GDPR: consultazione sull’uso delle certificazioni per trasferire i dati all’estero

11 july 2022

Le imprese e le organizzazioni della società civile avranno tempo fino al 30 settembre per proporre modifiche alle “Linee guida sulle certificazioni come strumento per i trasferimenti” dei dati personali in Paesi fuori dallo Spazio economico europeo, appena approvate dai Garanti privacy europei in seno all’EDPB.

Il documento messo in consultazione, e al quale ha contribuito anche il Garante italiano, fornisce chiarimenti ed esempi pratici per l’utilizzo delle certificazioni come strumento di trasferimento dei dati personali di interessati – come i propri clienti, dipendenti, utenti - verso Paesi terzi per i quali non sia stata riconosciuta l’adeguatezza da parte della Commissione europea. Lo strumento della certificazione può rivelarsi di particolare importanza, aggiungendosi ad altri strumenti già esistenti, come le clausole contrattuali standard, le clausole contrattuali ad hoc e le regole vincolanti di impresa.

Le linee guida appena approvate sono composte da quattro parti e approfondiscono aspetti specifici della certificazione come strumento per i trasferimenti. Nella prima parte si analizzano temi di carattere generale, tra cui il ruolo di chi importa dati nel Paese terzo che riceve una certificazione e quello di chi li esporta. Nella seconda parte, i Garanti forniscono chiarimenti su alcuni dei requisiti di accreditamento degli organismi di certificazione (già contenuti in precedenti linee guida EDPB e nell’ISO 17065). Nella terza parte si analizzano i criteri specifici per dimostrare l’esistenza di garanzie adeguate per il trasferimento, che riguardano in particolare la valutazione della legislazione dei Paesi terzi, gli obblighi generali degli esportatori e degli importatori, le norme in materia di trasferimenti successivi, i diritti dei terzi beneficiari e i mezzi di tutela esercitabili, le misure da adottare per le situazioni in cui la legislazione e le prassi nazionali impediscano il rispetto degli impegni assunti dall’importatore nell'ambito della certificazione e nei casi di richieste di accesso ai dati da parte delle autorità di paesi terzi. Nella quarta parte vengono affrontati gli impegni vincolanti e applicabili da attuare.

Il GDPR impone infatti che i titolari e i responsabili del trattamento non soggetti al Regolamento europeo, quando aderiscono a un meccanismo di certificazione destinato ai trasferimenti, assumano impegni vincolanti ed esecutivi attraverso strumenti contrattuali o altri strumenti giuridicamente vincolanti, riguardo alle garanzie previste dal meccanismo di certificazione, anche per quanto riguarda i diritti degli interessati.

Le linee guida propongono anche un allegato con esempi specifici per l'utilizzo di una certificazione come strumento per i trasferimenti.

 



News archive

 

Firm news

lug2

02/07/2026

Obblighi del titolare del trattamento in caso di uso di sistemi di AI

L' utilizzo di sistemi di AI per il trattamento dei dati comporta la necessita' per il Titolare del trattamento di rivedere ed aggiornare tutti la documentazione sulla privacy, ivi incluse le informative

lug2

02/07/2026

Obblighi del datore di lavoro in caso di utilizzo di sistemi di AI in azienda

L’articolo 11 della Legge 23 settembre 2025, n. 132 (“Legge AI”) sancisce i principi fondamentali per un uso etico e responsabile dell’AI. Tale disposizione, nel riaffermare la

lug2

02/07/2026

Autorità nazionale anticorruzione - Comunicato 15 maggio 2026[3][1] Approvazione della delibera n. 148 del 1° aprile 2026: «Approvazione delle modifiche e integrazioni apportate allo “Schema di bando tipo n. 1/2023 aggiornato al decreto legislativo 31 dic

L'Autorità nazionale anticorruzione (ANAC), nell'adunanza del Consiglio del 1° aprile 2026, ha approvato la seguente delibera: delibera n. 148 del 1° aprile 2026 «Approvazione