Novità per il trasferimento dei dati personali fuori dalla...

Grandi novità per gli esperti di protezione dei dati personali

I titolari del trattamento di dati personali, che devono trasferire dati personali a soggetti che si trovino in paesi terzi, dove le garanzie di protezione dei dati non sono allineate con quelle dell’unione europea, devono mettere a punto delle norme vincolanti di impresa, in conformità alle prescrizioni dell’articolo 47 del regolamento europeo.

Sino ad oggi queste norme venivano elaborate dai singoli titolari e venivano sottoposti all’approvazione dell’autorità Garante nazionale. Rappresenta pertanto un notevole passo avanti, in termini di armonizzazione europea nelle procedure di elaborazione di queste norme, il fatto che la commissione europea, di concerto con il comitato europeo per la protezione dati personali, abbia preso atto della bozza di documento, allegato a questo articolo, ed abbia messo a disposizione 12 mesi dall’approvazione finale del documento per rivedere completamente tutte le norme precedentemente elaborate ed approvate dall’autorità Garanti nazionali.

Ricordo che queste norme si applicano solo quando il trasferimento di dati avviene tra imprese che appartengono allo stesso gruppo imprenditoriale o gruppo di imprese, che svolgono un’attività economica comune.

Raccomando che tutti gli esperti di protezione dei dati personali leggano attentamente le bozze dei documenti allegati per avanzare eventuali proposte integrative e migliorative, che verranno esaminate a tempo debito dal comitato europeo e che verranno infine approvate dalla commissione europea.

La bozza di documento della commissione europea è articolata in modo assai chiaro, perché mette chiaramente in evidenza, dedicando all’argomento uno specifico annesso, come gli scenari legati all’elaborazione di norme vincolanti d’impresa si applichino a quattro diversi scenari:

da un titolare del trattamento ad altro titolare del trattamento,
da un titolare del trattamento a un responsabile del trattamento,
da un responsabile del trattamento ad altro responsabile del trattamento,
da un responsabile del trattamento ad un altro titolare.

È interessate notare come mentre i primi due scenari sono quelli normalmente utilizzati nell’elaborazione delle norme vincolanti d’impresa, i secondi scenari rappresentano una novità, che certamente contribuirà ad una semplificazione nella gestione dell’intero processo garantistico di trasferimento di dati personali dall’unione europea ad altro soggetto.

Un altro grande vantaggio di questi documenti sta nel fatto che essi prevedono che il rapporto contrattuale possa coinvolgere anche più soggetti, semplificando quindi la elaborazione di normative specifiche.

Il fatto quindi che sia possibile prevedere uno scenario, in cui sono presenti più di due controparti, può rappresentare per molte aziende una importante semplificazione.

Per avere una visione completa dell’argomento, è bene che lettori leggano non solo la bozza di documento elaborata dal comitato europeo per la protezione dei dati, ma anche la bozza di decisione della commissione europea.

È ben vero che fra i documenti vi sono numerosissimi punti di contatto, ma vi sono alcuni fattori non allineati, che probabilmente potranno essere messi a punto in fase di approvazione definitiva del documento.

Adalberto Biasiotti

Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data. Adopted on 10 November 2020

COMMISSION IMPLEMENTING DECISION (EU) .../... of XXX on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council (PDF) - BOZZA

ANNEX to the COMMISSION IMPLEMENTING DECISION on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council (PDF) - BOZZA