EDPB, raccomandazioni trasferimento dati extra-UE

---

Condividi l'articolo:

---

L’European Data Protection Board (EDPB), il 10 novembre 2020, ha reso pubbliche, durante la 41° sessione plenaria, le “raccomandazioni 01/2020”, al fine di fornire importanti indicazioni, a favore delle imprese e degli esperti privacy, sulle misure che integrano gli strumenti di trasferimento dei dati per garantire il rispetto del livello UE di protezione dei dati personali, nonché “raccomandazioni 02/2020” sulle "garanzie essenziali europee" in rapporto alle misure di sorveglianza.

Questi documenti sono stati adottati successivamente alla sentenza 16 luglio 2020 "Schrems II" della Corte di giustizia dell’Unione europea, la quale ha previsto, per l’esportatore e per il destinatario di tali dati, l’obbligo di verificare, preliminarmente al trasferimento, se la legislazione del paese terzo garantisca un livello di protezione dei dati personali trasferiti equivalente a quello vigente nello Spazio economico europeo (SEE). In aggiunta, la Corte impone all’importatore dei dati di informare l’esportatore di qualsiasi impossibilità di conformarsi alle clausole tipo di protezione nonché, ove necessario, a eventuali misure supplementari a quelle offerte dalle clausole, con l’onere, in tal caso, per l’esportatore dei dati, di sospendere il trasferimento degli stessi e/o di risolvere il contratto concluso con l’importatore.

Mentre, le “raccomandazioni sulle garanzie essenziali europee”, complementari alle “raccomandazioni sulle misure supplementari”, forniscono agli esportatori di dati elementi utili a stabilire se il quadro giuridico che disciplina in paesi terzi l'accesso delle autorità pubbliche ai dati per fini di sorveglianza configuri un'ingerenza giustificata nei diritti alla vita privata e alla protezione dei dati personali, e quindi non sia in contrasto con gli impegni assunti dall’esportatore e dall’importatore attraverso lo strumento di trasferimento utilizzato fra quelli di cui all'art. 46 del GDPR.

Il Comitato europeo si augura che le raccomandazioni possano aiutare titolari e responsabili del trattamento, che siano esportatori di dati, a individuare e attuare misure supplementari efficaci laddove siano necessarie. Pertanto, l’obiettivo è consentire trasferimenti leciti di dati personali verso paesi terzi, garantendo contestualmente che ai dati trasferiti sia assicurato un livello di protezione sostanzialmente equivalente a quello vigente all'interno del SEE.

Va da se, che gli esportatori di dati devono procedere con la dovuta diligenza e documentare accuratamente il processo valutativo, in quanto saranno chiamati a rispondere delle decisioni assunte, in linea con il principio di responsabilizzazione previsto dal GDPR.