Trasferimento di dati extra SEE: il punto della situazione e best practices

11/02/2022
di Giulia Rizza

Il General Data Protection Regulation (GDPR) ha disciplinato il trasferimento dei dati personali al di fuori dello Spazio Economico Europeo (SEE), stabilendo la legittimità dello stesso laddove sussistano adeguate garanzie tali da assicurare che nel Paese terzo esistano tutele ai dati personali equivalenti a quanto previsto dal Regolamento stesso, ovvero in caso di eccezioni specificamente individuate dal legislatore.

La questione ha un forte impatto sul business quotidiano anche nell’ambito dell’IoT: basti pensare ai servizi di archiviazione in Cloud, spesso forniti da soggetti con sede extra SEE (ad es. i principali big player del settore hanno sede negli U.S.A.) o ai servizi di assistenza e manutenzione, che possono comportare l’accesso ai propri dati da parte di un operatore che si trova all’estero.

Nel luglio 2020 la Corte di Giustizia dell’U.E. con la sentenza c.d. Schrems II ha stabilito l’invalidità del Privacy Shield, la decisione di adeguatezza che legittimava i trasferimenti di dati verso gli U.S.A. La decisione ha altresì previsto che, qualora i trasferimenti si basino sulle clausole contrattuali standard (c.d. SCC), sia necessario procedere con opportune valutazioni del singolo caso, al fine di individuare misure tecniche, organizzative e/o contrattuali supplementari alle SCC tali da garantire extra SEE equivalente livello di tutela ai dati personali a quanto previsto dal GDPR. La CGUE ha infine stabilito che, nel caso in cui non fosse possibile individuare adeguate misure supplementari alle SCC, il trasferimento dovesse essere interrotto/non iniziato, salvo la preventiva notifica all’Autorità Garante circa la volontà di continuare/procedere comunque con il trasferimento, Autorità che valuterà il caso di specie e prenderà gli opportuni provvedimenti.

A seguito di tale decisione, il Comitato Europeo per la Protezione dei Dati (EDPB) ha fornito alcune indicazioni operative per i soggetti che già trasferiscono e/o intendono trasferire dati extra SEE, riassumibili nei seguenti step:

  1. Mappare tutti i trasferimenti in essere e/o potenziali relativamente a futuri progetti in fase di valutazione. Al fine della mappatura, è opportuno considerare tutta la filiera di trattamento di dati, includendo anche i sub-fornitori che rivestano il ruolo di altri responsabili del trattamento.

  2. Verificare, per ciascun trasferimento mappato, delle misure adottate a garanzia del trasferimento. Nel caso in cui il trasferimento si basi su uno degli strumenti negoziali previsti dall’art. 46 GDPR (es. le SCC), è necessario procedere con gli ulteriori step.

  3. Valutare, se del caso in collaborazione con l’importatore, se la legge o la prassi del Paese terzo possano pregiudicare l’efficacia delle garanzie di cui all’art. 46 GDPR. Laddove lo strumento adottato non dovesse risultare tale da garantire equivalente livello di protezione, è necessario verificare la possibilità di adottare adeguate misure supplementari.

  4. Individuare e adottare opportune misure supplementari alle SCC. Sul punto l’EDPB ribadisce che, tenuto conto della normativa statunitense e dello stato dell’arte, ad oggi non sussistono adeguate misure supplementari alle SCC tali da legittimare i trasferimenti di dati personali negli U.S.A.

  5. Rivalutare nel tempo le analisi/valutazioni svolte.

Si ricorda che, tenuto conto del principio di accountability che permea il GDPR, è necessario essere in grado di dimostrare le valutazioni svolte e le decisioni assunte.

Nel giugno 2021, la Commissione Europea ha adottato il nuovo modello di SCC, che include al suo interno apposita dichiarazione in merito alle valutazioni preliminari svolte come da step indicati dall’EDPB, nonché l’obbligo di indicare le misure supplementari concretamente adottate.

Nella pratica, ad oggi riscontriamo come, soprattutto laddove l’importatore sia un big player, le SCC siano lo strumento preferenziale adottato a garanzia del trasferimento. Tuttavia, dall’analisi della documentazione disciplinante i rapporti privacy tra le parti, spesso emerge la formale inclusione delle SCC (a tal fine, si ricorda che le vecchie SCC continueranno a rimanere in vigore fino al dicembre 2022 per quei rapporti contrattuali instaurati prima del 27 settembre 2021, mentre negli altri casi, e comunque a partire dal 27 dicembre 2022, dovranno essere adottate le nuove SCC), che tuttavia non risultano essere opportunamente compilate, limitandosi ad esempio a un link al modello pubblicato dalla Commissione Europea. In tali casi, per poter svolgere le valutazioni del caso, è opportuno sollecitare a controparte le informazioni mancanti.

A distanza di quasi due anni dalla sentenza Schrems II, le competenti autorità stanno iniziando ad emettere le prime decisioni sul punto dei trasferimenti di dati extra SEE.

Scoprile nell’articolo completo su IOTtoday

Riproduzione riservata ©

ALTRE NEWS

eIDAS in vigore da domani, ma l’Italia non è pronta

Domani, 1 luglio 2016, è il giorno in cui il Regolamento 910/2014/UE, meglio noto come eIDAS (Electronic Identification Authentication and Signature) entrerà in vigore, sostituendo… Leggi Tutto

Contraffazione marchio on-line: la responsabilità dell’inserzionista

La Corte di Giustizia UE (CGUE, Sentenza 3 marzo 2016, causa C-179/15) ha stabilito che non è responsabile di contraffazione di marchio l’azienda che dimostri… Leggi Tutto

Giornalismo: tutelare la dignità delle vittime di violenza sessuale

“Maggiore tutela per la dignità delle persone, soprattutto se vittime di violenza. No alla pubblicazione di dati personali che le rendano identificabili”. Con un severo… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form