Come trasferire di dati personali a organizzazioni internazionali

Come trasferire di dati personali a organizzazioni internazionali

Il supervisore europeo alla protezione dei dati, ha pubblicato un prezioso documento che aiuta tutte le istituzioni europee, e non solo quelle, nel delicato processo di trasferimento di dati personali a organizzazioni internazionali.

È del tutto fisiologico che una agenzia od istituzione europea debba trasferire dati personali ad altre organizzazioni internazionali. Si pensi ad esempio al fatto che, nel corso di una missione in Medioriente, i dati personali di soggetti europei debbano essere trasferiti all’organizzazione delle Nazioni Unite o ad altre organizzazioni, come ad esempio la Croce Rossa di Ginevra.

Il motivo per cui riteniamo che questo documento sia oltremodo interessante per i nostri lettori è da ricondurre al fatto che esso passa in rassegna in modo analitico tutti i passi da svolgere per il trasferimento dei dati e può quindi essere utilizzato, senza difficoltà, anche da un titolare di trattamento italiano od europeo, che debba trasferire dati ad una controparte all’estero.

In altre parole, che lo scambio di dati avvenga tra organizzazioni internazionali, o avvenga tra soggetti privati non comporta una sostanziale modifica degli adempimenti ed ecco il motivo per cui mettiamo a disposizione dei lettori questo documento, assai comprensibile e accompagnato da una semplice modulistica.

Come è noto, il trasferimento di dati, che escono dall’unione europea, deve garantire un elevato livello di protezione dei dati stessi, stabilendo accordi garantistici fra l’ente che trasferisce i dati e l’ente che li riceve.

Pubblicità

Libri e Manuali - La progettazione delle sale di controllo: la serie ISO 11064 ed altre norme - eBook in pdf Approfondimento della normativa ISO 11064 e altre norme per la progettazione delle sale di controllo, a cura di di Adalberto Biasiotti.

Proprio per mettere sotto controllo questo trasferimento, il supervisore europeo si è attivato, pubblicando un articolato documento, di ben 29 pagine, che offre tutta una serie di concrete indicazioni ai titolari europei, che debbano effettuare questi trasferimenti.

Per elaborare questo documento è stato particolarmente utile il contributo offerto dal gruppo di lavoro dei DPO dell’unione europea, che hanno elaborato con il supervisore europeo gli aspetti critici di questo trasferimento di dati.

Nell’ottobre 2020 è stato attivato un gruppo di lavoro specializzato, che ha messo a disposizione una traccia, successivamente sottoposte alla condivisione ed all’approvazione da parte di tutti i soggetti coinvolti.

Ecco gli aspetti essenziali che devono essere rispettati, per procedere questo trasferimento:

• tanto per cominciare, il trasferimento deve avvenire sempre con adeguate motivazioni, debitamente illustrate in un apposito documento,
• successivamente, il trasferimento è soggetto ad una autorizzazione rilasciata dal supervisore europeo, che verifica gli aspetti essenziali del trasferimento ed il rispetto delle indicazioni specifiche. A questo punto il supervisore europeo è in grado di emettere una autorizzazione al trasferimento, senza la quale non si può procedere,
• il passo successivo consiste nell’elaborare una valutazione di impatto, afferente al trasferimento, che deve anche indicare quali eventuali misure integrative di protezione debbano essere attuate, prima di procedere al trasferimento stesso; in questa valutazione di impatto devono essere indicati anche i tempi di conservazione dei dati ed i criteri, che hanno portato a ridurre al minimo i dati da trasferire,
• un aspetto assai interessante della documentazione riguarda le misure che devono essere poste in essere, quando una delle parti non si attiene alle pattuizioni contrattuali; in questo caso occorre individuare i motivi per cui nasce questa discrepanza,
• come integrazione di questo documento, deve anche essere valutata la possibilità che si possa verificare una violazione dei dati, dando indicazioni di comportamento a tutti i soggetti coinvolti,
• ovviamente, il trasferimento può essere effettuato solo in presenza di assoluta garanzia di rispetto dei dati degli interessati, con possibilità di accedere ai dati stessi, anche presso il soggetto ai quali i dati sono stati trasferiti,
• è esplicitamente vietata la possibilità di utilizzare applicativi di intelligenza artificiale per elaborare decisioni afferenti al trattamento dei dati; in particolare, si richiede esplicitamente che le eventuali decisioni di questi applicativi vengano sottoposte a revisione ed approvazione esplicita da parte di un soggetto fisico, responsabile dell’attività,
• un aspetto alquanto delicato riguarda il fatto che i dati, inizialmente trasferiti ad un’organizzazione internazionale all’esterno all’unione europea, vengano trasferiti ad altra organizzazione. In questo caso occorre avere garanzia di continuità della protezione dei dati, lungo l’intera catena,
• assai interessante è il fatto che le parti coinvolte possono mettere a punto un meccanismo di vigilanza sui dati, gestito da un organismo indipendente, in modo da avere un elevato livello garanzia di protezione, che supera il coinvolgimento degli enti coinvolti.

Questo documento è accompagnato da alcuni annessi, che aiutano a mettere a punto la documentazione di supporto, mettendo a disposizione degli schemi tanto analitici, quanto garantistici.

EDPS - EDPS decision on the edps model administrative arrangement for transfers of personal data under regulation (eu) 2018/1725 from european union institutions, bodies, offices and agencies to international organisations (Case 2020-0809) - Modello di Accordo Amministrativo per i trasferimenti di dati personali da istituzioni, organi, uffici e agenzie dell'UE (IUE) a organizzazioni internazionali.

Adalberto Biasiotti

Licenza Creative Commons