Come trasferire in modo sicuro dati personali in paesi terzi
Per ragioni funzionali ed economiche, sempre più spesso il trattamento di dati personali può essere svolto in paesi, esterni all’unione europea, che offrono condizioni contrattuali ed economiche assai più vantaggiose, rispetto a organizzazioni similari, aventi sede nell’unione europea. I call center sono un classico esempio di questa attività. Vediamo come sia possibile trasferire in modo sicuro dati personali in paesi terzi, grazie a una guida del comitato europeo per la protezione dei dati.
È bene rammentare che l’articolo 46 del regolamento europeo non consente il trasferimento di dati personali in paesi esterni all’unione europea, o anche presso organizzazioni internazionali, come l’Unesco, se non vengono rispettati determinati requisiti di sicurezza, simili a quelli che debbono essere attuati, per trattamenti svolti in Europa.
Questa situazione ha messo talvolta in difficoltà i titolari e responsabili di attività, che per varie ragioni si preferiva svolgere in paesi esterni all’unione europea.
Approfondimento della normativa ISO 11064 e altre norme per la progettazione delle sale di controllo, a cura di di Adalberto Biasiotti. |
Uno dei più clamorosi esempi di questa attività è il servizio di call center, che spesso viene gestito da società aventi sede in paesi terzi, come ad esempio l’Albania. In questo caso il titolare europeo del servizio deve trasferire tutti i dati necessari per le chiamate in un paese terzo e deve garantire che il trattamento di questi dati in questo paese sia rispettoso dei dettati europei.
Il problema quindi ha una dimensione sovrannazionale ed ecco la ragione per cui il comitato europeo per la protezione dei dati, fin dal luglio del 2021, ha pubblicato una linea guida, sottoposta ad inchiesta pubblica. Dopo aver recepito ed esaminato tutte le osservazioni giunte, assai numerose, è stata pubblicata la guida finale, che adesso è a disposizione di tutti i titolari e responsabili, che debbono trasferire dati personali fuori dell’unione europea.
Ricordo ai lettori che l’articolo 46 del regolamento stabilisce che i titolari o responsabili del trattamento devono attuare appropriate misure di salvaguardia, ogniqualvolta i dati personali vengano trasferiti in paesi terzi. Uno dei meccanismi di trasferimento più affidabile è indubbiamente quello, grazie al quale vengono definiti dei codici di condotta, (vedi articolo 40, comma 3 ed articolo 46 comma 2, lettera e), il rispetto dei quali, da parte del titolare o responsabile, avente sede in paese terzo, garantisce il pieno rispetto delle disposizioni del regolamento.
Appare evidente come questo codice di condotta deve prendere in considerazione i principi essenziali, nonché i diritti e gli obblighi, che nascono in questo rapporto contrattuale, ma deve anche offrire garanzie specifiche, in funzione del contesto in cui il trasferimento avviene.
Vale la pena di ricordare che la corte europea di giustizia ha già emesso una sentenza, il 12 luglio 2020, proprio su questo tema.
Le linee guida sono assai chiare e accrescono ulteriormente la loro comprensibilità, grazie alla introduzione di numerosi esempi pratici, che prendono in considerazione situazioni affatto tipiche.
Si pensi ad esempio al caso in cui i titolari europei desiderano appoggiarsi ad un gestore del cloud, che ha sede in un paese terzo.
Un aspetto importante di queste linee guida riguarda la introduzione di un soggetto terzo, che agisce come elemento di monitoraggio del rispetto del codice di condotta, presso il paese terzo.
Le linee guida non dicono quale debba essere questo ente terzo, ma danno delle preziose indicazioni sulle modalità con cui questo soggetto deve essere selezionato e, elemento ancora più importante, indicano gli strumenti operativi, che devono essere messi a sua disposizione.
Per rendere ancora più trasparente ed analitico il codice di condotta, un intero paragrafo illustra la lista di controllo degli elementi, che devono essere inclusi in questo codice di condotta, semplificandone quindi la compilazione e l’aggiornamento.
In sintesi, un prezioso e costruttivo documento a disposizione di tutti i titolari e responsabili europei, interessati a questa opzione di trattamento.
Adalberto Biasiotti
I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.