L’EDPB ha approvato i criteri di certificazione Europrivacy come Sigillo Europeo di Protezione dei dati ai sensi degli artt. 42 e 46, par. 2, lett. f) GDPR, nell’ambito dei trasferimenti transfrontalieri dei dati personali. Il Parere - adottato il 15 aprile 2026 – approva la proposta di certificazione che definisce ambito, condizioni e impegni vincolanti a carico degli importatori extra SEE, nonché i controlli e le verifiche richieste agli esportatori europei di dati personali, con particolare attenzione alla valutazione d’impatto del trasferimento dati (TIA), alle misure supplementari relative al trattamento, ai diritti degli interessati e alle attività di audit da parte degli stessi esportatori e delle Autorità nazionali competenti.
- Perché un sigillo europeo per i trasferimenti: inquadramento
L’EDPB ha esaminato e approvato i criteri di certificazione Europrivacy come Sigillo europeo ai sensi dell’art. 42(5) GDPR, con l’effetto di rendere la certificazione uno strumento di trasferimento ai sensi dell’art. 46(2)(f) GDPR, utilizzabile in assenza di decisioni di adeguatezza.
Il Sigillo, una volta approvato, copre i trasferimenti da tutti gli Stati dello SEE[1] verso paesi terzi o organizzazioni internazionali, a condizione che gli importatori assumano impegni vincolanti ed esecutivi a tutela del trattamento dei dati oggetto di trasferimento. La certificazione per i trasferimenti è pensata per agevolare il trasferimento dei dati personali verso importatori extra-SEE, situati in paesi non adeguati ai sensi dell’art. 45 GDPR, che siano in grado di garantire il rispetto della normativa europea in materia di protezione dei dati personali. Restano esclusi i casi di trasferimento effettuati nel contesto di un rapporto di contitolarità dei dati: il trattamento “congiunto” è espressamente escluso dall’ambito di applicazione dello schema di certificazione.
La logica di fondo è assicurare che il livello di protezione garantito dal GDPR non sia compromesso quando i dati escono dallo SEE, richiedendo che la protezione accompagni i dati anche oltreconfine. In quest’ottica, il Sigillo Europeo sarà registrato nel pubblico registro dei meccanismi di certificazione e i criteri saranno resi pubblici ai sensi dell’art. 42(8) GDPR.
- Criteri di certificazione: principi, ruoli e diritti
I criteri Europrivacy riflettono i principi dell’art. 5 GDPR volti a garantire la liceità e la proporzionalità dei trattamenti. In particolare, il principio di limitazione della finalità è presidio centrale: i dati trasferiti possono essere trattati solo per gli scopi per cui sono stati trasferiti. Sono ammesse limitate eccezioni, in linea con le previsioni di cui alle SCC[2] approvate dalla Commissione europea ai sensi dell’art. 46, par. 2, lett. c), nel caso di consenso informato, obbligo legale, interessi vitali, e tutela giudiziaria. Per le categorie particolari di dati sono richieste ulteriori restrizioni e salvaguardie, proporzionate a rischi specifici che devono essere valutate caso per caso.
Gli obblighi di governance sono incisivi: i criteri riflettono l’art. 24 e la disciplina dell’art. 28 GDPR, con attenzione alla catena dei sub-responsabili e alla corretta ripartizione dei ruoli; impongono la designazione di un DPO conforme agli artt. 37-39 e l’adozione di registri ex art. 30, nonché la cooperazione con le Autorità nazionali competenti per gli esportatori, mettendo a loro disposizione i registri su richiesta.
Gli importatori devono inoltre garantire pienamente l’esercizio dei diritti da parte degli interessati ai sensi del capo III GDPR: l’importatore deve implementare procedure interne per la corretta evasione delle istanze pervenute.
Sul piano tecnico-organizzativo, i criteri richiedono il pieno rispetto dei principi di privacy by design e by default e l’adozione di misure di sicurezza adeguate ai rischi, in coerenza con gli artt. 25 e 32 GDPR; il set include una sezione specifica sulle misure tecniche e organizzative (TOMs) e sui controlli. In materia di data breach, l’importatore deve documentare analiticamente gli incidenti e notificare l’Autorità di controllo competente per l’esportatore e, nei casi dovuti, gli interessati, in linea con gli artt. 33-34 GDPR. È inoltre richiesto di effettuare, ove necessario, valutazioni d’impatto ai sensi dell’art. 35 (DPIA).
- Trasferimenti, TIA e impegni vincolanti
I criteri impongono di mappare coerentemente ed esaustivamente tutti i flussi dei dati e identificare tutti i trasferimenti verso paesi terzi e organizzazioni internazionali nel perimetro del ToE, scegliendo lo strumento di trasferimento conforme al capo V GDPR e gestendo anche gli onward transfers senza indebolire la protezione garantita nello SEE. L’importatore deve aver svolto una Transfer Impact Assessment (TIA) e adottato, quando necessario, misure supplementari per assicurare che il livello di tutela non sia compromesso. Prima dell’audit per la certificazione l’importatore deve verificare e garantire che le leggi e prassi del proprio paese terzo non siano in contrasto con il GDPR e non siano da impedimento per il rispetto dei requisiti di certificazione; in caso contrario, il processo di certificazione si arresta. Se, nonostante l’analisi, non è possibile garantire la protezione tramite misure supplementari, l’importatore deve informare l’esportatore e sospendere e/o interrompere il trasferimento.
Il Parere enfatizza la trasparenza del processo: i trasferimenti non possono iniziare prima del rilascio della certificazione; prima dell’avvio si possono usare dati non personali o fittizi per l’audit, con successiva rivalutazione in sede di sorveglianza una volta avviato il trasferimento. La documentazione dei criteri deve essere resa disponibile anche agli interessati ai sensi dell’art. 13(1)(f) GDPR quando la certificazione è usata come strumento di garanzia per il trasferimento.
Perno operativo sono gli impegni vincolanti ed esecutivi tra importatore e ogni esportatore extra UE mediante specifici accordi contrattuali, che devono essere sottoscritti tra le parti prima dell’avvio delle attività di trattamento che comportano il trasferimento transfrontaliero. Lo schema di certificazione prevede un elenco di contenuti minimi dell’accordo: riconoscimento dei diritti degli interessati; cooperazione con le Autorità nazionali competenti (accettazione di audit/ispezioni, rispetto dei loro provvedimenti); rispetto delle decisioni vincolanti e delle giurisdizioni SEE; trattamento dei dati solo finché il certificato è valido; restituzione/cancellazione dei dati in possesso dell’esportatore in caso di revoca della certificazione o cessazione del rapporto con l’importatore; dichiarazione di non conflitto con le leggi/prassi locali e obbligo di informare l’esportatore in caso di cambiamenti rilevanti. L’importatore deve inoltre mettere a disposizione dell’organismo di certificazione e delle Autorità competenti la propria analisi sulle leggi e prassi locali, la quale deve essere sempre aggiornata con le novità normative nazionali del paese dell’esportatore.
- Conclusioni
Dal quadro delineato emerge un modello fondato su responsabilizzazione sostanziale degli operatori: la validità del trasferimento non deriva automaticamente dal possesso del certificato, ma dalla capacità di dimostrare, in modo continuo e verificabile, l’effettiva tenuta delle garanzie nel contesto del paese terzo. In questo senso, il Sigillo si integra – senza sostituirli – agli altri strumenti del Capo V GDPR, introducendo un livello più strutturato di standardizzazione e controllo.
L’elemento centrale è la combinazione tra certificazione e impegni vincolanti dell’importatore, che rafforza la tutela degli interessati e rende più incisivo il ruolo delle Autorità nazionali di riferimento, chiamate a vigilare anche oltreconfine. Allo stesso tempo, resta in capo agli esportatori un obbligo attivo di verifica sull’adeguatezza e sulla pertinenza della certificazione rispetto allo specifico trasferimento.
Avv. Simona Lanna e Dott.ssa Melissa Marro
[1] Spazio Economico Europeo.
[2] Standard Contractual Clauses.
