Fino al 30 settembre 2022, imprese, associazioni, enti ed organizzazioni interessate potranno far pervenire al “Board” le loro osservazioni concernenti il nuovo testo, redatto in collaborazione – tra gli altri – con il Garante privacy italiano. A conclusione di tale periodo, valutate le proposte presentate, si procederà alla pubblicazione del testo definitivo.
Con un comunicato stampa diffuso lo scorso 16 giugno, l’ “European Data Protection Board” (“EDPB”) ha reso nota la stesura delle nuove linee guida 07/2022 (“Linee Guida”) in tema di meccanismi di certificazione, quali strumenti idonei a dimostrare l’esistenza di garanzie appropriate da parte dei titolari del trattamento o responsabili del trattamento, nel quadro dei trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali alle condizioni di cui all'articolo 46, paragrafo 2, lettera f del Regolamento UE 206/679 (“Regolamento” o “GDPR”), in assenza di decisioni di adeguatezza da parte della Commissione europea.
Il Board precisa, fin dalle primissime pagine del nuovo contributo, che trattasi di un documento posto ad integrazione delle precedenti linee guida 1/2018 sui meccanismi di certificazione, con la disamina dei principali requisiti prescritti dal Capitolo V del GDPR in materia di trasferimento dei dati all’estero.
Le Linee Guida sono articolate in quattro sezioni principali: la prima scorre velocemente temi generali, quali l’ambito di applicazione, il ruolo dell’importatore e dell’esportatore dei dati, oltre alla definizione del processo di certificazione necessario per procedere al trasferimento; la seconda riguarda alcuni dei requisiti che consentono agli organismi di certificazione di ottenere l’accreditamento, sulla base di quanto già prescritto dal documento del 2018 e dalla certificazione ISO 17065; la terza – probabilmente quella di impatto maggiormente significativo – elenca i criteri specifici che dovrebbero essere inclusi all’interno di un meccanismo di certificazione per fare in modo che il trasferimento all’estero sia “compliant” al GDPR; la quarta ed ultima sezione comprende gli impegni vincolanti che titolari e responsabili sono tenuti ad osservare per garantire misure di salvaguardia adeguate ai principi applicabili nel territorio dell’Unione, al momento del trasferimento dei dati all’estero.
Le Linee Guida, peraltro, assumono valenza pratica significativa, perché sono correate da due diversi “annex”, contenenti esempi pratici di misure di sicurezza supplementari che dovranno essere attutate:
- dall’importatore nel caso in cui il trasferimento sia incluso nello scopo della certificazione;
- dall’esportatore nell’ipotesi in cui, viceversa, il trasferimento non sia coperto dalla certificazione ed egli debba assicurarlo.
Tra tali misure si annoverano il trasferimento di dati pseudonimizzati e la cifratura per la protezione dall’accesso da parte di autorità pubbliche.
Per quel che concerne i ruoli coinvolti nel trasferimento, l’EDPB precisa come l’esportatore abbia l’obbligo di “verificare se la certificazione su cui intende basarsi sia efficace alla luce delle caratteristiche del trattamento previsto”. Questo implica l’assolvimento di una serie di adempimenti preliminari relativi alla validità della certificazione – che deve riguardare il trattamento specifico da effettuare – al processo di trasferimento dei dati, che deve rientrare nell’ambito oggettivo della certificazione, senza tralasciare l’esistenza di un accordo di certificazione tra importatore ed organismo di certificazione, che dovrà rispondere tanto ai dettami della ISO 17065 quanto ai criteri delle Linee Guida 2018 (cfr. § 18-20 delle Linee Guida).
E per quel che attiene alla procedura di certificazione?
Essa è definita dall’EDPB come un meccanismo adottato su base volontaria, attraverso un processo improntato a requisiti di trasparenza, fondato sulla valutazione dei “criteri di certificazione secondo una metodologia di audit vincolante” che saranno “approvati dalle autorità nazionali di vigilanza o dal Comitato europeo per la protezione dei servizi di protezione in caso di applicazione del meccanismo di coerenza di cui all’articolo 42, paragrafo 5, del GDPR” (cfr. § 24-25 delle Linee Guida).
Proprio in relazione a quest’ultimo profilo, il “Board” rimanda a quanto già individuato dalle linee guida 2018 e dalla normativa ISO, aggiungendo, tuttavia, delle specificazioni ulteriori relative al c.d. obiettivo di certificazione “Target of Evaluation”. Il target descrive concretamente per quale tipo di entità (titolare o responsabile) sia applicabile il meccanismo di certificazione e dovrebbe includere, tra le altre, le seguenti informazioni: le operazioni di trattamento; la finalità; il tipo di dati trasferiti, tenendo conto della circostanza in cui siano coinvolte categorie particolari di dati personali ai sensi dell’articolo 9 del GDPR; le categorie di interessati; i paesi in cui avviene il trattamento dei dati. Al contempo, è necessaria la concreta osservanza degli artt. 12-22 del Regolamento in materia di informazioni da rendere agli interessati e di corretta gestione delle richieste concernenti i dati personali (cfr. § 38-42).
Da ultimo, il Comitato suggerisce che il meccanismo di certificazione comprenda requisiti aggiuntivi – specie in virtù del contesto normativo e giurisprudenziale delineatosi a valle della sentenza “Schrems II” – riguardanti, in particolare, la valutazione della legislazione e delle prassi del paese terzo in cui l’importatore opera; la previsione degli accordi contrattuali alla base del trasferimento tra esportatori ed importatori di obblighi generali legati alla descrizione dello specifico trattamento e al riconoscimento dei diritti; la stesura di regole circa la possibilità o meno di effettuare trasferimenti successivi; l’individuazione di procedure efficaci per consentire agli interessati di far valere i propri diritti come terzi beneficiari nei confronti dell’importatore di dati innanzi ai tribunali competenti dello Spazio Economico Europeo (“SEE”) o presso un’organizzazione internazionale; l’imposizione di obblighi di tempestiva comunicazione nel caso in cui la legislazione nazionale impedisca il rispetto degli impegni assunti nell’ambito della certificazione; la specificazione di procedure di gestione delle richieste di accesso ai dati da parte delle autorità di paesi terzi (cfr. § 43-44).
Quanto poi agli impegni vincolanti, le Linee Guida in parola prevedono espressamente che il contratto, o altro strumento, deve stabilire che il titolare/responsabile del trattamento in possesso di una certificazione, che agiscano in qualità di importatori, si impegnino a rispettare le norme stabilite nella certificazione e garantiscano, altresì, di non avere motivo di ritenere che le leggi e le pratiche nel paese terzo, applicabili al trattamento in questione, impediscano di rispettare gli impegni assunti mediante il meccanismo di certificazione. In più, è necessario che l’esportatore venga informato per il caso di eventuali modifiche della legislazione o della prassi che riguardino il predetto trattamento.
Avv. Rossella Bucca
