La Commission nationale de l’informatique et des libertés (CNIL), l’autorità francese per la protezione dei dati personali, ha diffuso un draft molto importante in materia di valutazione di impatto del trasferimento dei dati personali (cd. TIA).
Si tratta di un notevole strumento per l’implementazione delle attività aziendali in materia e un poderoso strumento interpretativo delle norme contenute nel GDPR, aprendo a futuri scenari di riflessione.
Indice degli argomenti
Un’attenta analisi delle norme del paese ricevente
In un’analisi approfondita della posizione del CNIL sulla valutazione dell’impatto dei trasferimenti di dati personali, emerge una chiara attenzione sulla necessità di un’attenta valutazione delle leggi e delle pratiche del paese ricevente.
La CNIL sottolinea che ogni valutazione dovrebbe considerare in modo dettagliato la legislazione locale in materia di protezione dei dati, i diritti degli individui interessati, i meccanismi di ricorso disponibili e il potenziale rischio di accesso ai dati da parte delle autorità governative.
Un aspetto fondamentale riguarda l’adozione di misure supplementari, che possono essere tecniche, contrattuali o organizzative, per mitigare qualsiasi rischio identificato nell’analisi. Queste misure devono essere valutate e aggiornate periodicamente per assicurare una protezione adeguata dei dati nel contesto di un ambiente normativo e tecnologico in evoluzione.
Maggiore cooperazione tra esportatore e importatore dei dati
La CNIL pone l’accento sull’importanza di una cooperazione efficace tra l’esportatore e l’importatore dei dati, con una documentazione dettagliata di tutto il processo.
Questo approccio riflette la necessità di un bilanciamento tra la libera circolazione dei dati e la protezione dei diritti fondamentali degli individui nel contesto del trasferimento di dati a livello internazionale.
L’impatto del caso Schrems II sul trasferimento di dati personali
È infatti di notevole interesse l’enfasi sul caso Schrems II.
La sentenza Schrems II, formalmente nota come “Data Protection Commissioner v Facebook Ireland and Maximillian Schrems”, ha avuto un impatto significativo sulla valutazione dell’impatto dei trasferimenti di dati personali, come interpretato dal CNIL. In questa sentenza, la Corte di Giustizia dell’Unione Europea (CJEU) ha invalidato il meccanismo del Privacy Shield EU-USA, affermando che non forniva una protezione adeguata ai dati personali degli europei, in particolare a causa delle attività di sorveglianza delle autorità statunitensi.
Il caso Schrems II trae origine dalla preoccupazione che le leggi statunitensi sulla sorveglianza permettessero l’accesso indiscriminato ai dati personali degli europei, senza controlli o rimedi giudiziari adeguati. Questa situazione, secondo la sentenza, violava i diritti fondamentali degli individui garantiti dal GDPR e dalla Carta dei diritti fondamentali dell’UE (CFR), in particolare gli articoli 7, 8 e 47, relativi rispettivamente al diritto alla vita privata, alla protezione dei dati personali e al diritto a un rimedio effettivo e a un processo equo.
La sentenza ha anche confermato la validità delle clausole contrattuali standard (SCCs) come meccanismo di trasferimento dei dati, a condizione che vengano effettuate valutazioni aggiuntive. Queste valutazioni devono includere un’analisi dettagliata delle leggi del paese ricevente, con un particolare focus sulle leggi di sorveglianza e su come queste potrebbero influenzare la protezione dei dati trasferiti.
Inoltre, la sentenza ha categorizzato il ruolo delle autorità di controllo nazionali nell’UE, che ora hanno la responsabilità di valutare attivamente la conformità dei trasferimenti di dati con il GDPR.
Questo implica che le aziende che trasferiscono dati personali al di fuori dell’UE devono non solo affidarsi alle SCCs, ma anche garantire che tali trasferimenti rispettino i requisiti di protezione dei dati dell’UE, anche alla luce delle leggi locali del paese di destinazione.
Mantenere il livello di protezione dati equivalente a quello UE
Per tali ragioni emerge l’importanza di una valutazione approfondita e continua dei trasferimenti di dati verso paesi terzi, in linea con i requisiti del GDPR e la sentenza Schrems II.
Secondo la CNIL l’analisi deve considerare le leggi sulla protezione dei dati del paese destinatario e la loro efficacia pratica, ponendo particolare attenzione alle leggi di sorveglianza.
È sottolineata l’importanza di adottare misure supplementari per garantire che i trasferimenti rispettino i diritti degli individui e mantengano un livello di protezione dei dati equivalente a quello dell’UE.
Un approccio olistico e dinamico al trasferimento dei dati
Questo approccio riflette un equilibrio tra la necessità di facilitare la circolazione internazionale dei dati e la salvaguardia dei diritti fondamentali delle persone nel contesto del trattamento dei dati.
La CNIL promuove un approccio olistico e dinamico alla gestione dei trasferimenti di dati, enfatizzando la responsabilità dei responsabili del trattamento di garantire una protezione adeguata e di adattarsi ai cambiamenti nel contesto normativo e tecnologico.