Il 14 giugno 2022, il Comitato europeo per la protezione dei dati personali (in inglese, European Data Protection Board, “EDPB”) ha adottato le Guidelines 07/2022 on certification as a tool for transfers, ossia le nuove Linee guida aventi ad oggetto l’utilizzo delle certificazioni quale strumento per il trasferimento transfrontaliero dei dati, in assenza di una decisione di adeguatezza ai sensi dell’art. 45, paragrafo 3 del GDPR.

Le suddette Linee guida integrano le già esistenti Guidelines 01/2018 on certification and identifying certification criteria, stabilendo ulteriori specifici criteri da rispettare quando un meccanismo di certificazione viene utilizzato per trasferire i dati verso un Paese terzo o un’organizzazione internazionale.

Premessa

Ai sensi del Regolamento (UE) 2016/679 (di seguito, “GDPR”), il trasferimento dei dati personali verso Paesi non appartenenti allo Spazio Economico Europeo (“SEE”) o verso un’organizzazione internazionale è consentito a condizione che l’adeguatezza del livello di protezione del Paese terzo o dell’organizzazione in questione sia riconosciuta mediante una decisione della Commissione europea, disciplinata dall’art. 45, paragrafo 3 del GDPR (“decisione di adeguatezza”).

In assenza di tale decisione, ai sensi del successivo art. 46, il trasferimento è consentito ove il titolare o il responsabile del trattamento forniscano garanzie adeguate, che assicurino agli interessati diritti azionabili e mezzi di ricorso effettivi.

Al riguardo, possono costituire garanzie adeguate:

  • senza autorizzazione da parte dell’Autorità garante: strumenti giuridicamente vincolanti ed aventi efficacia esecutiva tra soggetti pubblici; le norme vincolanti d’impresa; le clausole tipo di protezione dei dati adottate dalla Commissione seguendo un’apposita procedura d’esame; i codici di condotta e i meccanismi di certificazione, unitamente, questi ultimi due, all’impegno vincolante ed esecutivo da parte del titolare e/o responsabile destinatario dei dati di applicare le garanzie adeguate, anche con riguardo ai diritti degli interessati (art. 46, par. 2, lett. da a) a f).

  • previa autorizzazione dell’Autorità garante: clausole contrattuali ad hoc tra il titolare e/o il responsabile esportatore ed il titolare/responsabile destinatario dei dati personali (art. 46, par. 3, lett. a); accordi amministrativi tra autorità o organismi pubblici, che comprendano delle disposizioni sui diritti effettivi ed azionabili da parte degli interessati (art. 46, par. 3, lett. b).

In assenza di ogni altro presupposto, è possibile trasferire i dati personali in base ad alcune deroghe che si verificano in specifiche situazioni (art. 49 del Regolamento).

Il meccanismo di certificazione in generale

Il GDPR, dunque, diversifica quelle “garanzie adeguate” che, ai sensi dell’articolo 46, possono essere utilizzate dagli esportatori di dati personali, introducendo, inter alia, il meccanismo di certificazione come nuovo strumento di trasferimento.

Come precisato dall’art. 42 del GDPR, i meccanismi di certificazione, insieme ai sigilli ed ai marchi di protezione dei dati personali, hanno lo scopo di dimostrare la conformità al Regolamento dei trattamenti effettuati: la loro istituzione consente ai soggetti interessati di valutare rapidamente il livello di protezione dei propri dati, nel rispetto del generale principio di trasparenza.

In particolare, la certificazione deve essere rilasciata da appositi organismi, disciplinati dall’art. 43, oppure dalla competente autorità di controllo, che nel nostro caso è l’Autorità garante per la protezione dei dati personali. La ratio è che la predetta conformità sia attestata da un soggetto terzo, indipendente ed imparziale.

A tal fine, il titolare e/o il responsabile del trattamento che intenda sottoporre l’attività di trattamento effettuata ad un meccanismo di certificazione deve fornire all’organismo di certificazione o all’Autorità garante tutte le informazioni riguardanti le attività poste in essere, necessarie per espletare la procedura in esame.

La certificazione è rilasciata al titolare o al responsabile del trattamento per un periodo massimo di tre anni e può essere rinnovata alle stesse condizioni, purché continuino ad essere soddisfatti i requisiti richiesti dal Regolamento.

La certificazione può essere revocata dagli organismi di certificazione o dall’Autorità, a seconda dei casi, qualora non siano più soddisfatti i criteri per la certificazione.

Il Comitato europeo per la protezione dei dati personali (“EDPB”) ha il compito di raccogliere e conservare, in un apposito registro, tutti i meccanismi di certificazione, i sigilli ed i marchi di protezione dei dati, rendendoli pubblici con qualsiasi mezzo appropriato e, in tal modo, agevolmente consultabili.

Il meccanismo di certificazione quale strumento di trasferimento ed i chiarimenti forniti dall’EDPB

Quando utilizzato quale strumento di trasferimento transfrontaliero dei dati personali, la funzione del meccanismo di certificazione è quella di dimostrare l’adozione, da parte dei titolari e/o responsabili esportatori ed importatori, di garanzie adeguate in grado di assicurare un livello di protezione dei dati pari o superiore a quello previsto dal GDPR.

A tal fine, l’EDPB, con le nuove citate Guidelines, ha inteso fornire delle indicazioni di taglio più pratico, complementari, come anticipato, rispetto a quelle già fornite, in precedenza, nelle Linee guida 01/2018.

Preliminarmente, con specifico riguardo ai requisiti degli organismi di certificazione, il Board chiarisce che i criteri di accreditamento degli stessi sono cristallizzati nel protocollo ISO 17065, letto alla luce delle Linee guida 04/2018.

In presenza di uno scenario avente ad oggetto un trasferimento transfrontaliero, tuttavia, l’organismo di certificazione deve altresì garantire di disporre delle risorse necessarie per poter verificare che il titolare e/o responsabile esportatore abbia effettuato, in modo appropriato e corretto, una preventiva valutazione (“assessment”) in merito alla situazione giuridica e alle prassi del Paese o dell’organizzazione destinatari dei dati.

In particolare, la valutazione deve avere ad oggetto, oltre che l’attività di trattamento da certificare, le misure adottate dall’importatore, nonché l’esame delle leggi e delle consuetudini di riferimento, monitorando le novità legislative e giurisprudenziali più rilevanti.

In secondo luogo e con specifico riferimento ai criteri che devono orientare la valutazione, l’EDPB chiarisce che i criteri redatti nelle Linee guida 01/2018 (nello specifico, nell’Allegato 2 e nell’Addendum con la guida alla valutazione) coprono già la maggior parte dei requisiti che devono essere presi in considerazione ai fini del rilascio della certificazione.

Tuttavia, quando l’attività da certificare è coinvolta in un trattamento transfrontaliero, il Comitato fornisce delle regole aggiuntive, che elenca nel paragrafo 3.1. delle nuove Guidelines.

Qui, l’EDPB chiarisce, anzitutto, quale deve essere il Target of Evaluation (“ToE”): in proposito, afferma che deve essere chiaro, preliminarmente, se la certificazione dovrà riguardare solo le attività che saranno oggetto di trattamento nel Paese/organizzazione di destinazione, oppure anche il transito stesso, che configura un’attività di trattamento a sé stante, ai sensi dell’art. 4 GDPR.

Deve essere ben definito, poi, il ruolo privacy rivestito – rispettivamente – dall’importatore e dall’esportatore (ad esempio, se si tratta di titolare, di responsabile o di incaricato), al fine di comprendere in relazione a quale tipo di soggetto è concretamente applicabile il meccanismo di certificazione.

Devono, altresì, essere chiare sin dalla descrizione dell’oggetto: la tipologia di trattamento, la finalità perseguita, le categorie di dati trasferiti, le categorie di interessati, oltre, naturalmente, a tutte le informazioni relative all’esportatore e all’importatore, al fine di poter confrontare i relativi livelli di protezione.

Infine, l’EDPB si sofferma sui criteri da osservare affinché sia assicurata l’effettività dei diritti dei soggetti interessati, prevedendo, a tal fine, che gli organismi di certificazione o la competente Autorità che rilasciano l’attestazione debbano:

a) richiedere tutte le informazioni sulle attività di trattamento effettuate;

b) richiedere che agli interessati siano effettivamente garantiti i diritti di accesso, rettifica, cancellazione, limitazione, notifica relativa alla rettifica o alla cancellazione o alla limitazione, obiezione al trattamento, il diritto di non essere sottoposto a decisioni basate unicamente sul trattamento automatizzato, compresa la profilazione, come quelli previsti dagli articoli da 15 a 19, 21 e 22 del GDPR;

c) prevedere un’appropriata procedura di gestione dei reclami da parte dell’importatore dei dati;

d) affrontare in modo adeguato le questioni su: i. se e in che misura tali diritti siano applicabili agli interessati nel Paese terzo/organizzazione destinatari; ii. se sia necessario adottare misure adeguate per farli valere.

Da ultimo, con riguardo alle misure tecniche e organizzative da adottare ai fini di un appropriato livello di protezione dei dati personali, i criteri di certificazione dovrebbero richiedere all’importatore di informare l’esportatore (nonché di notificarlo all’autorità competente e di comunicarlo agli interessati, ove necessario) di eventuali eventi di data breach che comportino elevati rischi per i diritti e le libertà fondamentali degli interessati.

Gabriella Amato

Author Gabriella Amato

More posts by Gabriella Amato