Nell’edizione 2024 dell’Italian Legal Tech Report, edito da Giuffrè, è stata pubblicata un’analisi a cura del sottoscritto del nuovo Data Privacy Framework (premere qui per leggere). Da allora stiamo sviscerando su questo portale il tema del trasferimento dei dati personali. A inizio luglio ci siamo soffermati sulla nozione di trasferimento (premere qui per leggere), per poi proseguire con i profili del trasferimento nell’ambito del cloud computing (premere qui per leggere), passando per un’indagine sulla nozione generale di adeguatezza (premere qui per leggere), e sui profili pratici del trasferimento dei dati personali basato su una decisione di adeguatezza (premere qui per leggere), fino ad arrivare, la settimana scorsa ad analizzare le model contractual clauses come alternative alla decisione di adeguatezza (premere qui per leggere).
Una delle innovazioni di maggiore rilievo nell’ambito del trasferimento dei dati personali è la possibilità di ricorrere all’adesione a codici di condotta o all’adozione di meccanismi di certificazione, che costituiscono garanzie adeguate ai sensi del GDPR. In entrambi i casi, è richiesto un “impegno vincolante ed esecutivo da parte del titolare del trattamento o del responsabile del trattamento nel Paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati”.
L’art. 40, par. 3 stabilisce che possano aderire ai codici di condotta “anche i titolari del trattamento o i responsabili del trattamento che non sono soggetti al presente regolamento ai sensi dell’art. 3, al fine di fornire adeguate garanzie nel quadro dei trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali”. L’impegno vincolante ed esecutivo deve includere misure per i soggetti interessati, come modalità per contattare il titolare o il responsabile e per esercitare i propri diritti, nonché possibilità di ricorrere all’Autorità giudiziaria o a un’Autorità competente per la protezione dei dati personali.
Il ricorso a codici di condotta e meccanismi di certificazione elimina la necessità di autorizzazione da parte del Garante nazionale per il trasferimento dei dati personali. Tuttavia, non è chiaro se il contenuto degli impegni vincolanti ed esecutivi sarà specificato successivamente dalle Autorità competenti. Attualmente, ci sono strumenti chiari e soggetti a procedure amministrative precise (come le clausole contrattuali standard, di cui si diceva in un precedente contributo, e le norme vincolanti di impresa) e altri strumenti che richiedono obblighi generici e non ancora specificati.
La valutazione sull’efficacia degli impegni vincolanti avviene necessariamente ex post, quando il trasferimento dei dati personali è già avvenuto e il titolare o il responsabile del trattamento sono già esposti al rischio sanzionatorio.
Il giorno 8 luglio 2021, l’European Data Protection Board (EDPB) ha adottato le Linee guida sui codici di condotta come strumento per i trasferimenti (“Guidelines on Codes of Conduct as a tool for transfers”). Queste linee guida mirano a chiarire l’applicazione dell’art. 40, par. 3 del GDPR, in particolare in relazione all’articolo 46 GDPR.
Le Linee guida stabiliscono che, una volta approvato da un’Autorità di controllo nazionale e successivamente avallato e validato dalla Commissione Europea, un codice di condotta può essere utilizzato da titolari e responsabili del trattamento che non operano in territori dove il GDPR è applicabile, per garantire la protezione adeguata nei trasferimenti di dati verso paesi al di fuori dell’Unione Europea.
Per approfondire:
- BIGNAMI-RESTA, Transatlantic Privacy Regulation: Conflict and Cooperation, in 78 Law & Cont. Probl., 101 (2015);
- BOLOGNINI-PELINO-BISTOLFI, Il regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano, 2016;
- MANTELERO, L’ECJ invalida l’accordo per il trasferimento dei dati personali fra EU ed USA. Quali scenari per i cittadini ed imprese?, in Contr. e impresa/Europa, 2015, 719;
- MENEGHETTI, L’adeguatezza dei trasferimenti di dati personali negli USA, anche alla luce del nuovo Regolamento privacy Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali (artt. 44-50), in FINOCCHIARO, Il nuovo regolamento europeo sulla privacy e sulla protezione dei dati personali, Bologna-Roma, 2017;
- PIRODDI, I trasferimenti di dati personali verso Paesi terzi dopo la sentenza Schrems e nel nuovo regolamento generale sulla protezione dei dati, in Dinf, 2015, 827;
- RESTA-ZENO-ZENCOVICH (a cura di), La protezione transnazionale dei dati personali. Dai "safe harbour principles" al "privacy shield", Roma, 2016;
- RICCIO, Model Contractual Clauses e Corporate Binding Rules: valide alternative al Safe Harbor Agreement?, in Dinf, 2015, 867;
- SICA-D’ANTONIO-RICCIO, La nuova disciplina europea della privacy, Padova 2016;
- SWIRE, US Surveillance Law, Safe Harbor, and Reforms Since 2013, Georgia Tech Scheller College of Business Research Paper, No. #36, 2015.
Nicola Nappi
Ultimi post di Nicola Nappi (vedi tutti)
- Analisi giuridica e peculiarità del reato di frode informatica - Dicembre 16, 2024
- Ruolo e responsabilità del “responsabile del trattamento” nell’ecosistema del GDPR - Dicembre 9, 2024
- La qualificazione giuridica del contratto di licenza d’uso - Dicembre 2, 2024
- Sui limiti all’utilizzabilità delle deroghe al trasferimento transfrontaliero dei dati personali - Novembre 25, 2024
- L’esercizio di poteri pubblici come deroga al trasferimento transfrontaliero di dati personali - Novembre 18, 2024