Dal Safe Harbor al Data Privacy Framework

Dal Safe Harbor al Data Privacy Framework

La IAPP - International Association of privacy professional- ha messo a disposizione degli esperti di protezione dei dati personali una infografica, sintetica ma completa, che illustra le nuove regole, che consentono il trasferimento di dati fra la unione europea e gli Stati Uniti.

Questo nuovo accordo, chiamato Data privacy framework- DPF, prende in considerazione sia le nuove modalità, cui devono conformarsi le aziende che già in precedenza trasferivano dati dagli Stati Uniti all’Europa, sia i modelli da adottare da parte di nuove aziende.

Vediamo innanzitutto quali sono gli adempimenti delle aziende che già trasferivano dati, prima nell’ambito del Privacy shield, e adesso nell’ambito del DPF.

L’organizzazione deve aggiornare le proprie regole entro il 10 ottobre 2023, oppure deve smettere di trasferire dati.

Libri e Manuali - La progettazione delle sale di controllo: la serie ISO 11064 ed altre norme - eBook in pdf

Approfondimento della normativa ISO 11064 e altre norme per la progettazione delle sale di controllo, a cura di di Adalberto Biasiotti.

Se l’azienda ha provveduto ad aggiornare le proprie politiche di trasferimento, il suo nome deve essere reperibile in un elenco, costantemente aggiornato, di aziende conformi al DPF.

Se l’azienda intende trasferire dati del Regno Unito o Gibilterra, deve adottare politiche similari, ma può essere necessario presentare una specifica domanda di conversione alle autorità del Regno Unito. Nel frattempo, è possibile conformarsi alle linee guida del Garante inglese, l’Information Commissioner Office, che dà indicazioni su come condurre un’analisi di rischio.

Se, infine, l’azienda deve trasferire dati in Svizzera, anche in questo caso deve aggiornare le proprie politiche, attendendo però la decisione di adeguatezza, che deve essere rilasciata dall’autorità svizzera. Anche in questo caso, il commissario federale per la protezione dei dati e delle informazioni della Svizzera offre delle linee guida sui modelli di comportamento da adottare.

Vediamo invece cosa succede se l’azienda per la prima volta deve trasferire dati dagli Stati Uniti all’Europa, al Regno Unito od alla Svizzera.

In questo caso l’azienda deve presentare una richiesta di adesione al nuovo schema DPF, seguendo specifiche istruzioni. Dopo che il Dipartimento del commercio degli Stati Uniti ha dato la sua approvazione, l’azienda deve attendere una decisione adeguatezza delle strutture preposte nell’unione europea.

Per quanto riguarda trasferimento nel Regno Unito, occorre conformarsi alle linee guida messe a disposizione dal Garante britannico.

Per quanto riguarda la Svizzera, anche in questo caso occorre avanzare una domanda, attenendosi alle istruzioni di compilazione e attendere la decisione di adeguatezza, rilasciata dall’autorità svizzera.

Infine, un’azienda statunitense che non ha fatto una autodichiarazione di certificazione di conformità al DPF, può utilizzare sistemi alternativi di trasferimento dei dati, come ad esempio le clausole contrattuali standardizzate, previste dal regolamento generale europeo sulla protezione dei dati personali.

Anche in questo caso sono disponibili delle linee guida che permettono di facilitare la messa a punto delle modalità di trasferimento dei dati.

Lo stesso ragionamento vale per il trasferimento di dati nel Regno Unito e in Svizzera.

Ringrazio ancora una volta la IAPP per aver messo a punto questo sintetico ed illuminante documento, che offriamo in allegato ai nostri lettori.

Vedi allegato (PDF)

Adalberto Biasiotti