L'approfondimento

Trasferimento dati extra UE, come usare le certificazioni: in consultazione le linee guida EDPB

L’EDPB ha posto in consultazione le linee guida per l’uso delle certificazioni per il trasferimento dei dati extra-UE: ecco tutti i dettagli, i riferimenti normativi e lo scenario che si prospetta con gli impatti per aziende e professionisti

01 Lug 2022
C
Marina Rita Carbone

Consulente privacy

Sono attualmente in corso di consultazione pubblica le linee guida dell’EDPB per l’utilizzo dei meccanismi di certificazione quale strumento di garanzia adeguato per il trasferimento dei dati personali in Paesi collocati al di fuori dello Spazio Economico Europeo, ai sensi del disposto di cui all’art. 46 GDPR.

Dette linee guida andranno a complemento delle linee guida 1/2018 sulla certificazione, che forniscono orientamenti più generali sulla certificazione. Vediamo l’impatto per le aziende e il contesto in cui si collocano.

Trasferimento di dati personali all’estero: una guida per chiarire ogni dubbio

La normativa di riferimento

L’art. 46 GDPR, al paragrafo 2, lettera f), introduce, infatti, i meccanismi di certificazione approvati fra i nuovi strumento per trasferire dati personali a paesi terzi in assenza di una decisione di adeguatezza. Le imprese e le organizzazioni interessate, aperta la fase di consultazione, avranno termine fino al 30 settembre 2022 per proporre eventuali modifiche al testo.

WEBINAR
23 Settembre 2022 - 10:00
DIGITAL360 Semestrale 2022: scopri tutte le novità
Acquisti/Procurement
Amministrazione/Finanza/Controllo

Il documento, elaborato anche grazie al contributo del Garante per la Protezione dei Dati Personali italiano, fornisce una serie di chiarimenti ed utili esempi pratici per il concreto utilizzo delle certificazioni quali strumento per il trasferimento.

Cosa dice il Garante privacy italiano

“Lo strumento della certificazione”, precisa il Garante italiano nel suo comunicato stampa, “può rivelarsi di particolare importanza, aggiungendosi ad altri strumenti già esistenti, come le clausole contrattuali standard, le clausole contrattuali ad hoc e le regole vincolanti di impresa”.

Il vicepresidente dell’EDPB Ventsislav Karadjov ha dichiarato sul tema che “Queste linee guida sono rivoluzionarie, in quanto forniscono le prime indicazioni pratiche sulla certificazione come strumento per i trasferimenti – un nuovo strumento di trasferimento introdotto dal GDPR. Le linee guida forniscono indicazioni su come questo strumento può essere utilizzato nella pratica e su come può contribuire a mantenere un elevato livello di protezione dei dati durante il trasferimento di dati personali dallo Spazio economico europeo a paesi terzi.”

Lo schema delle nuove linee guida EDPB

Le “Linee guida sulle certificazioni come strumento per i trasferimenti” n. 7/2022 sono suddivise in quattro sezioni, ciascuna delle quali mira ad approfondire degli specifici aspetti connessi all’utilizzo dei meccanismi di certificazione quale strumento per i trasferimenti. Nella prima sezione delle linee guida si provvede all’analisi dei temi di carattere più generali, come l’ambito di applicazione, il ruolo dell’importatore e dell’esportatore dei dati, e il processo di certificazione cui occorre sottoporsi per procedere al trasferimento.

Nella seconda sezione del documento, l’EDPB rende dei charimenti circa alcuni dei requisiti di accreditamento degli organismi di certificazione, comunque già contenuti all’interno di precedenti linee guida rese dall’EDPB medesimo e all’interno della certificazione ISO 17065.

Nella terza sezione, poi, si provvede ad analizzare i criteri specifici per ottenere la certificazione, ossia per dimostrare l’esistenza “di garanzie adeguate per il trasferimento, che riguardano in particolare la valutazione della legislazione dei Paesi terzi, gli obblighi generali degli esportatori e degli importatori, le norme in materia di trasferimenti successivi, i diritti dei terzi beneficiari e i mezzi di tutela esercitabili, le misure da adottare per le situazioni in cui la legislazione e le prassi nazionali impediscano il rispetto degli impegni assunti dall’importatore nell’ambito della certificazione e nei casi di richieste di accesso ai dati da parte delle autorità di paesi terzi”.

Da ultimo, nella quarta sezione si affronta il tema degli impegni vincolanti ed applicabili da attuare: il GDPR “impone infatti che i titolari e i responsabili del trattamento non soggetti al Regolamento europeo, quando aderiscono a un meccanismo di certificazione destinato ai trasferimenti, assumano impegni vincolanti ed esecutivi attraverso strumenti contrattuali o altri strumenti giuridicamente vincolanti, riguardo alle garanzie previste dal meccanismo di certificazione, anche per quanto riguarda i diritti degli interessati”.

Al documento sono allegati anche degli esempi pratici di misure supplementari da attuarsi a cura dell’importatore nel caso in cui il transito è incluso nello scopo della certificazione, o nel caso in cui, viceversa, il transito non è coperto dalla certificazione e l’esportatore debba assicurarlo.

I ruoli dell’esportatore e dell’importatore dei dati

All’interno delle linee guida si precisa, innanzitutto, come l’esportatore sia tenuto a rispettare gli obblighi previsti dal GDPR e, più nel dettaglio, a garantire che i dati siano trasferiti in modo sicuro secondo quanto stabilito dall’art. 32 GDPR, con applicazione delle garanzie adeguate di cui al Capo V del Regolamento.

Ove si scelga di garantire il trasferimento mediante il ricorso a meccanismi di certificazione, l’esportatore di dati è tenuto “a verificare se la certificazione su cui intende basarsi sia efficace alla luce delle caratteristiche del trattamento previsto”. A tal fine, precisa l’EDPB, “l’esportatore di dati deve verificare se la certificazione è valida e non è scaduta, se riguarda il trasferimento specifico da effettuare e se il transito di dati personali rientra nell’ambito della certificazione, nonché se si tratta di trasferimenti successivi e se è fornita una documentazione adeguata su di essi. Inoltre, l’esportatore deve verificare che esista un contratto o un altro strumento giuridicamente vincolante tra l’importatore di dati certificato e l’organismo di certificazione”, ossia il c.d. accordo di certificazione.

Detto accordo consiste in un contratto concluso sulla scorta del punto 4.1.2 della ISO 17065 e nei requisiti aggiuntivi stabiliti nelle Linee Guida 4/2018, in cui l’importatore di dati “si impegna ad applicare i criteri di certificazione ai ToE (cioè tutti i dati personali trasferiti nell’ambito della certificazione), anche per quanto riguarda i criteri relativi ai diritti degli interessati SEE i cui dati saranno trasferiti”.

L’articolo 28 del GDPR

A ciò si aggiunga che nel contratto redatto ai sensi dell’art. 28 GDPR “in caso di trasferimenti da titolare del trattamento a responsabile del trattamento o di un contratto di condivisione dei dati insieme a impegni vincolanti e applicabili con l’importatore di dati in caso di trasferimenti da titolare del trattamento a responsabile del trattamento” si dovrà fare espresso riferimento all’utilizzo della certificazione come strumento per il trasferimento. Considerando che l’esportatore è responsabile dell’applicazione di tutte le disposizioni del capo V sulla garanzia dei trasferimenti extra UE, l’esportatore dovrà anche valutare, a seconda del ruolo effettivamente ricoperto di titolare o responsabile del trattamento, se la certificazione su cui si “intende fare affidamento sia efficace alla luce del diritto e delle prassi in vigore nel paese terzo. La valutazione documentata delle legislazioni e delle prassi del paese terzo da parte dell’importatore di dati […] può essere utilizzata come elemento per dimostrare la conformità nell’ambito di tale valutazione da parte dell’esportatore”.

Nel caso in cui dalla valutazione dell’importatore emerga la necessità di fornire “le misure supplementari previste dalla certificazione per garantire un livello di protezione sostanzialmente equivalente a quello previsto nel SEE, l’esportatore di dati deve verificare le misure supplementari fornite dall’importatore di dati in possesso di una certificazione e se è in grado di rispondere alle misure tecniche e (se del caso) supplementari richieste dall’importatore di dati”. Nel caso in cui tali previsioni non siano soddisfatte, l’esportatore di dati dovrà chiedere all’importatore di attuare dette misure supplementari, o altre misure adeguate a garantire il rispetto dell’art. 32 GDPR.

La procedura di certificazione

Le linee guida si occupano, poi, di svolgere alcune precisazioni circa il processo di certificazione, il quale deve innanzitutto essere su base volontaria e disponibili mediante un processo trasparente, oltre a garantire che i certificati rilasciati soddisfino materialmente i requisiti specificati nell’art. 46 GDPR.

Pertanto, la certificazione dovrà basarsi “la certificazione si basa sulla valutazione dei criteri di certificazione secondo una metodologia di audit vincolante. Tali criteri saranno approvati dalle autorità nazionali di vigilanza o dal Comitato europeo per la protezione dei servizi di protezione dei servizi di protezione in caso di applicazione del meccanismo di coerenza di cui all’articolo 42, paragrafo 5, del GDPR”.

I criteri per la certificazione, secondo quanto precisato dall’EDPB, comprenderanno “requisiti per una valutazione del pertinente quadro giuridico del paese terzo al fine di contrastare i rischi specifici derivanti dal trasferimento di dati personali nel paese terzo interessato e dall’ulteriore trattamento effettuato dall’importatore dei dati”. Nel corso del processo di certificazione, l’obiettivo di valutazione sarà controllato, in base ai criteri di certificazione, da un organismo di certificazione accreditato dall’organismo nazionale di accreditamento o dalla SA competente.

Che cos’è il ToE

Per i criteri di certificazione, le linee guida rimandano interamente al contenuto delle Linee Guida 1/2018 sulla certificazione. L’ulteriore precisazione resa, tuttavia, riguarda il c.d. obiettivo di valutazione (toE – Target of evaluation), che deve chiaramente descrivere se copre anche il transito dei dati e per quale tipo di soggetto (titolare o responsabile) è applicabile.

La descrizione del ToE dovrebbe includere almeno:

  1. le operazioni di trattamento, anche nel caso in cui siano previsti trasferimenti successivi;
  2. la finalità;
  3. il tipo di entità cui si applica (ad es. titolare del trattamento e/o responsabile);
  4. il tipo di dati trasferiti, tenendo conto della circostanza in cui sono coinvolte categorie particolari di dati personali ai sensi dell’articolo 9 del GDPR);
  5. le categorie di interessati;
  6. i paesi in cui avviene il trattamento dei dati.

In riferimento agli obblighi di trasparenza e ai diritti degli interessati, i criteri di certificazione dovrebbero poi:

  1. richiedere che siano fornite informazioni sulle attività di trattamento, anche sul trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale e sull’uso della certificazione come strumento per i trasferimenti (cfr. articoli 12, 13 e 14 del GDPR);
  2. richiedere che agli interessati siano garantiti i loro diritti di accesso, cancellazione della rettifica, limitazione, notifica relativa alla rettifica o cancellazione o limitazione, opposizione al trattamento, diritto di non essere soggetti a decisioni basate esclusivamente sul trattamento automatizzato, compresa la profilazione come quelle previste dagli articoli da 15 a 19, 21 e 22 GDPR;
  3. prevedere un’adeguata procedura di gestione dei reclami da parte dell’importatore di dati in possesso di una certificazione al fine di garantire l’effettiva attuazione dei diritti dell’interessato;
  4. valutare adeguatamente se e in quale misura tali diritti siano applicabili agli interessati nel paese terzo interessato o se sia necessario adottare misure adeguate per farli rispettare.

Da ultimo, con riferimento alle misure tecnico-organizzative di cui all’art. 32, i criteri di certificazione dovrebbero richiedere che l’importatori informi l’esportatore e, nel caso in cui l’importatore agisca come titolare, notifichi all’autorità competente i data breach e comunichi agli interessati se la violazione può comportare un rischio elevato per i loro diritti e libertà.

I criteri di certificazione aggiuntivi

Sulla scorta della Sentenza Schrems II, l’EDPB ritiene che il meccanismo di certificazione dovrebbe includere, al fine di garantire un livello coerente di protezione, anche i seguenti criteri aggiuntivi:

  1. valutazione della legislazione e delle prassi del paese terzo in cui l’importatore opera;
  2. previsione degli accordi contrattuali alla base del trasferimento tra esportatori ed importatori di obblighi generali legati alla descrizione dello specifico trattamento e al riconoscimento dei diritti;
  3. previsione di espresse norme circa la possibilità o meno di effettuare trasferimenti successivi, e i requisiti da rispettare per poter procedere in tal senso;
  4. previsione di procedure efficaci per consentire agli interessati di far valere i propri diritti come terzi beneficiari nei confronti dell’importatore di dati innanzi ai tribunali competenti dello Spazio Economico Europeo, ai sensi dell’art 79 GDPR, o presso un’organizzazione internazionale, anche per il risarcimento del danno subito dall’interessato in caso di mancato rispetto da parte dell’importatore del relativo Schema di Certificazione, o possa proporre reclamo alle autorità di controllo competenti;
  5. obblighi di tempestiva comunicazione nel caso in cui la legislazione nazionale impedisca il rispetto degli impegni assunti nell’ambito della certificazione;
  6. previsione di procedure di gestione tempestiva delle richieste di accesso ai dati da parte delle autorità di paesi terzi.

Gli impegni vincolanti

L’art. 42 GDPR prevede che i soggetti che aderiscono ad un meccanismo di certificazione assumano impegni vincolanti ed esecutivi, mediante la stipula di contratti o altri strumenti giuridicamente vincolanti, all’applicazione delle garanzie adeguate previste dal meccanismo di certificazione, anche per quanto riguarda i diritti degli interessati. Detti impegni vincolanti dovranno essere chiaramente distinti da qualsiasi altra qualcosa, e potranno essere anche fatti confluire all’interno di un addendum contrattuale o di un contrato separato rispetto a quello che regola il trattamento.

“In generale”, si legge nelle linee guida, “il contratto o altro strumento deve stabilire che il titolare del trattamento/responsabile del trattamento in possesso di una certificazione che agisce in qualità di importatore si impegna a rispettare le norme specificate nella certificazione destinata ai trasferimenti durante il trattamento dei dati pertinenti ricevuti dal SEE e garantisce di non avere motivo di ritenere che le leggi e le pratiche nel paese terzo applicabili al trattamento siano adottate, compresi eventuali obblighi di divulgazione di dati personali o misure che autorizzano l’accesso da parte delle autorità pubbliche, impedire che essa rispetti gli impegni assunti nell’ambito della certificazione e che informi l’esportatore di eventuali modifiche pertinenti della legislazione o della prassi al riguardo”.

WHITEPAPER
CyberWar Russia-Ucraina: scenario e impatto sulle aziende italiane ed europee
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 4