Le nuove Linee Guida 07/2022 dello EDPB sulle certificazioni quali meccanismo di trasferimento dei dati personali forniscono chiarimenti in relazione all’utilizzo pratico di certificazioni come strumento per i trasferimenti e sono oggetto di consultazione pubblica fino al 30 settembre 2022. Le nuove linee guida, complementari alle Linee Guida 1/2018 dell’EDPB sulle certificazioni, forniscono importanti chiarimenti in relazione all’utilizzo pratico di certificazioni come strumento per i trasferimenti e sono oggetto di consultazione pubblica fino al 30 settembre 2022.
Il 16 giugno 2022, lo European Data Protection Board (“EDPB”) ha adottato le Linee Guida 07/2022 aventi ad oggetto l’utilizzo dei meccanismi di certificazione previsti dall’art. 46(2)(f) del Regolamento (UE) 679/2016 (“GDPR” o “Regolamento”) quali strumento per trasferire dati personali a Paesi terzi in assenza di una decisione di adeguatezza della Commissione europea, come previsto dall’art. 46 del GDPR.
Cos’è e come funzionano le certificazioni
Come riportato al Considerando 100, il GDPR incoraggia l’istituzione di meccanismi di certificazione e sigilli nonché marchi di protezione dei dati che consentano agli interessati di valutare rapidamente il livello di protezione dei dati dei relativi prodotti e servizi, questo con lo scopo di migliorare la trasparenza e il rispetto del Regolamento stesso.
In buona sostanza, attraverso la certificazione, titolari e responsabili del trattamento possono beneficiare dell’attestazione di conformità delle loro operazioni di trattamento al GDPR rilasciata da una terza parte indipendente.
Come riportato nelle FAQ del Garante per la protezione dei dati personali (“Garante”) su questo tema, il rilascio della certificazione ha ad oggetto un trattamento di dati personali, che dovrà essere indicato con chiarezza nel certificato rilasciato dall’organismo di certificazione. Poiché la definizione di “trattamento” di dati personali è molto ampia, anche l’oggetto della certificazione può variare in misura considerevole e può comprendere:
- una sola operazione di trattamento (e.g. la conservazione di dati personali) oppure più operazioni di trattamento (e.g. raccolta, conservazione, messa a disposizione) svolte dal titolare o dal responsabile del trattamento; inoltre,
- nella misura in cui uno o più trattamenti configurino un “servizio” o un “prodotto”, la certificazione può avere come oggetto tale servizio o prodotto (e.g. il servizio di gestione del personale di un’azienda).
Per quanto riguarda l’Italia, al fine di ottenere una certificazione basata su uno schema di certificazione approvato dal Garante, il titolare o responsabile interessato dovrà rivolgersi agli organismi di certificazione accreditati e tale certificazione avrà validità per un periodo massimo di tre anni e può essere rinnovata alle stesse condizioni purché continuino a essere soddisfatti i requisiti pertinenti, in assenza dei quali si procederà alla revoca.
L’utilizzo delle certificazioni quale meccanismo di trasferimento dei dati personali secondo l’EDPB
Tra le altre cose, i meccanismi di certificazione possono essere rilasciati per dimostrare la previsione di garanzie appropriate da parte dei titolari del trattamento o responsabili del trattamento, nel quadro dei trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali alle condizioni di cui all’articolo 46(2)(f).
A tal riguardo, l’EDPB sottolinea come, nel caso di trasferimento di dati personali, alcuni requisiti necessitano di essere “tailorizzati” alla luce delle attività di trattamento oggetto delle certificazioni. In particolare, l’EDPB fornisce indicazioni sui criteri di certificazione già elencati nelle Linee guida 1/2018 e stabilisce criteri ulteriori e specifici che dovrebbero essere inclusi in un meccanismo di certificazione da utilizzare come strumento per i trasferimenti verso Paesi terzi, alla luce delle garanzie individuate per altri strumenti di trasferimento ai sensi dell’art. 46 del GDPR (come le norme vincolanti d’impresa o i codici di condotta) e al fine di garantire un livello coerente di protezione, e tenendo conto della sentenza Schrems II.
In relazione ai requisiti della certificazione da tailorizzare alla natura del trattamento, dovrebbero essere previsti, tra le altre cose:
- una chiara descrizione dell’oggetto della certificazione, in particolare si deve specificare se la stessa copre solo le attività di trattamento nel paese terzo di destinazione o anche il transito di dati (che è a tutti gli effetti un trattamento, ai sensi dell’art. 4 GDPR);
- una concreta indicazione del ruolo privacy della entity a cui si applica il meccanismo di certificazione (ad esempio, se è titolare o responsabile del trattamento);
- misure per garantire la trasparenza e l’esercizio dei diritti degli interessati, in particolare, implementando una procedura per la gestione dei reclami e appurando che i diritti degli interessati siano garantiti e le informazioni sul trasferimento e il meccanismo utilizzato vengano fornite agli interessati ai sensi degli artt. 12, 13 e 14 GDPR;
- misure tecniche e organizzative in virtù delle quali il criterio di certificazione dovrà richiedere all’importatore di informare l’esportatore e, se l’importatore agisce come titolare, di notificare l’autorità competente di eventuali data breach ed effettuare la notifica agli interessati impattati, ove la violazione comporti un rischio elevato per i loro diritti e libertà.
Infine, per quanto concerne i criteri specifici e ulteriori, l’EDPB ritiene che il meccanismo di certificazione dovrebbe includere, tra le altre cose:
- specifici criteri volti alla valutazione della legislazione del Paese terzo, richiedendo, ad esempio, all’importatore di documentare l’assessment del contesto legale e delle pratiche del paese in cui opera;
- obblighi generali di esportatori e importatori, prevedendo che accordi contrattuali (ad esempio in un contratto di servizi) tra esportatori e importatori descrivano il trasferimento specifico a cui si applica la certificazione e che i diritti dei terzi beneficiari sono riconosciuti agli interessati;
- obblighi che impongano i medesimi criteri di cui alla certificazione anche agli onward transfer;
- obblighi in relazione all’esercizio dei diritti degli interessati quali third-party beneficiary nei confronti dell’importatore;
- meccanismi da attivare nei casi in cui la legislazione e le pratiche nazionali impediscano il rispetto degli impegni assunti nell’ambito della certificazione; e
- misure per la gestione di richieste di accesso ai dati da parte delle autorità del Paese terzo.
E’ da chiedersi se il meccanismo di certificazione rappresenti lo strumento più idoneo per garantire la conformità al GDPR del trasferimento dei dati fuori dello SEE e se lo stesso fine possa essere raggiunto con una accurata valutazione del trasferimento, come quella che è possibile compire con il tool di legal tech Transfer sviluppato da DLA Piper sul quale alcune informazioni sono disponibili QUI.
Su un simile argomento, potrebbe interessarvi “Le Q&A sulle nuove Clausole Contrattuali Tipo per i trasferimenti dei dati della Commissione europea”.