DATA PROTECTION

Gdpr, in consultazione le linee guida sull'”export” di dati

Il Garante italiano per la privacy tra i firmatari del documento che stabilisce le regole sulla certificazione come strumento per il data transfer fuori dall’Europa. Tempo fino al 30 settembre per la proposta di modifiche

30 Giu 2022

L. O.

Privacy concept: Closed Padlock on digital screen background
Privacy concept: digital screen with icon Closed Padlock, 3d render

Aziende e organizzazioni avranno tempo fino al 30 settembre per proporre modifiche alle “Linee guida sulle certificazioni come strumento per i trasferimenti dei dati personali” in Paesi fuori dallo Spazio economico europeo, appena approvate dai Garanti privacy europei in seno all’Edpb.

Cosa contiene il documento in consultazione

Il documento messo in consultazione, e al quale ha contribuito anche il Garante italiano, fornisce chiarimenti ed esempi pratici per l’utilizzo delle certificazioni come strumento di trasferimento dei dati personali di interessati – come i propri clienti, dipendenti, utenti – verso Paesi terzi per i quali non sia stata riconosciuta l’adeguatezza da parte della Commissione europea.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

Lo strumento della certificazione può rivelarsi di particolare importanza, fa sapere la Privacy italiana, “aggiungendosi ad altri strumenti già esistenti, come le clausole contrattuali standard, le clausole contrattuali ad hoc e le regole vincolanti di impresa”.

I 4 passaggi delle linee guida

Le linee guida appena approvate sono composte da quattro parti e approfondiscono aspetti specifici della certificazione come strumento per i trasferimenti.

Nella prima parte si analizzano temi di carattere generale, tra cui il ruolo di chi importa dati nel Paese terzo che riceve una certificazione e quello di chi li esporta. Nella seconda parte, i Garanti forniscono chiarimenti su alcuni dei requisiti di accreditamento degli organismi di certificazione (già contenuti in precedenti linee guida Edpb e nell’ISO 17065).

Nella terza parte si analizzano i criteri specifici per dimostrare l’esistenza di garanzie adeguate per il trasferimento, che riguardano in particolare la valutazione della legislazione dei Paesi terzi, gli obblighi generali degli esportatori e degli importatori, le norme in materia di trasferimenti successivi, i diritti dei terzi beneficiari e i mezzi di tutela esercitabili, le misure da adottare per le situazioni in cui la legislazione e le prassi nazionali impediscano il rispetto degli impegni assunti dall’importatore nell’ambito della certificazione e nei casi di richieste di accesso ai dati da parte delle autorità di paesi terzi. Infine, nella quarta parte, vengono affrontati gli impegni vincolanti e applicabili da attuare.

Il Gdpr impone infatti che i titolari e i responsabili del trattamento non soggetti al Regolamento europeo, quando aderiscono a un meccanismo di certificazione destinato ai trasferimenti, assumano impegni vincolanti ed esecutivi attraverso strumenti contrattuali o altri strumenti giuridicamente vincolanti, riguardo alle garanzie previste dal meccanismo di certificazione, anche per quanto riguarda i diritti degli interessati.

@RIPRODUZIONE RISERVATA
Argomenti trattati

Aziende

G
garante privacy

Approfondimenti

E
export di dati
G
GDPR
T
trasferimento dati

Articolo 1 di 5