GDPR: consultazione sull’uso delle certificazioni per trasferire i dati all’estero

11 luglio 2022

Le imprese e le organizzazioni della società civile avranno tempo fino al 30 settembre per proporre modifiche alle “Linee guida sulle certificazioni come strumento per i trasferimenti” dei dati personali in Paesi fuori dallo Spazio economico europeo, appena approvate dai Garanti privacy europei in seno all’EDPB.

Il documento messo in consultazione, e al quale ha contribuito anche il Garante italiano, fornisce chiarimenti ed esempi pratici per l’utilizzo delle certificazioni come strumento di trasferimento dei dati personali di interessati – come i propri clienti, dipendenti, utenti - verso Paesi terzi per i quali non sia stata riconosciuta l’adeguatezza da parte della Commissione europea. Lo strumento della certificazione può rivelarsi di particolare importanza, aggiungendosi ad altri strumenti già esistenti, come le clausole contrattuali standard, le clausole contrattuali ad hoc e le regole vincolanti di impresa.

Le linee guida appena approvate sono composte da quattro parti e approfondiscono aspetti specifici della certificazione come strumento per i trasferimenti. Nella prima parte si analizzano temi di carattere generale, tra cui il ruolo di chi importa dati nel Paese terzo che riceve una certificazione e quello di chi li esporta. Nella seconda parte, i Garanti forniscono chiarimenti su alcuni dei requisiti di accreditamento degli organismi di certificazione (già contenuti in precedenti linee guida EDPB e nell’ISO 17065). Nella terza parte si analizzano i criteri specifici per dimostrare l’esistenza di garanzie adeguate per il trasferimento, che riguardano in particolare la valutazione della legislazione dei Paesi terzi, gli obblighi generali degli esportatori e degli importatori, le norme in materia di trasferimenti successivi, i diritti dei terzi beneficiari e i mezzi di tutela esercitabili, le misure da adottare per le situazioni in cui la legislazione e le prassi nazionali impediscano il rispetto degli impegni assunti dall’importatore nell'ambito della certificazione e nei casi di richieste di accesso ai dati da parte delle autorità di paesi terzi. Nella quarta parte vengono affrontati gli impegni vincolanti e applicabili da attuare.

Il GDPR impone infatti che i titolari e i responsabili del trattamento non soggetti al Regolamento europeo, quando aderiscono a un meccanismo di certificazione destinato ai trasferimenti, assumano impegni vincolanti ed esecutivi attraverso strumenti contrattuali o altri strumenti giuridicamente vincolanti, riguardo alle garanzie previste dal meccanismo di certificazione, anche per quanto riguarda i diritti degli interessati.

Le linee guida propongono anche un allegato con esempi specifici per l'utilizzo di una certificazione come strumento per i trasferimenti.

 



Archivio news

 

News dello studio

mar21

21/03/2024

Correttivo al Codice delle Comunicazioni Elettroniche

Il 20 marzo 2024, il Consiglio dei Ministri ha approvato, in esame definitivo, le disposizioni correttive al decreto legislativo 8 novembre 2021, n. 207, di attuazione della direttiva (UE)

mar20

20/03/2024

Telemarketing

Attuazione del Codice di Condotta con l' accreditamento dell'organismo di monitoraggio da parte del Grante privacy. Con l’accreditamento dell’Organismo di monitoraggio (OdM) si completa

mar19

19/03/2024

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI COMUNICATO Avviso pubblico di avvio della consultazione sul termine di conservazione dei metadati generati e raccolti automaticamente dai protocolli di trasmissione e smistamento della posta el

Il Garante per la protezione dei dati personali, con provvedimento del 22 febbraio 2024, n. 127, pubblicato sul sito web istituzionale (www.garanteprivacy.it), ha deliberato l'avvio di una procedura

News Giuridiche