Il 14 febbraio 2023 l’European Data Protection Board (“EDPB”) ha adottato la nuova versione 2.0 delle Linee Guida 05/2021 sulla interazione tra l’articolo 3 GDPR – norma relativa di applicazione territoriale del Regolamento – e il capo V sul trasferimento di dati personali al di fuori dello SEE.
Le nuove Linee Guida vanno a sostituire la prima versione adottata il 18 novembre 2021 e resa oggetto di pubbliche consultazioni.
Le linee guida serviranno a titolari e responsabili del trattamento per identificare i casi di invio di dati personali al di fuori dello Spazio Economico Europeo (“SEE”) che rientrano nella nozione di trasferimento. Come ha sottolineato l’EDPB, tale interpretazione è fonte di problemi per gli operatori del settore pubblico e privato. Ciò a causa dell’assenza di una definizione di “trasferimento” nel GDPR. Il Board ha colto l’occasione per ribadire alla Commissione europea la necessità di fornire ulteriori chiarimenti.
Confermando l’orientamento adottato nella prima bozza, l’EDPB ha identificato tre criteri che applicati congiuntamente sono idonei ad identificare un trasferimento: (i) Il titolare o responsabile (“esportatore”) è soggetto al GDPR per il trattamento in questione; (ii) l’esportatore divulga o rende disponibili i dati personali dei soggetti al trattamento a un altro titolare, contitolare o responsabile del trattamento (“importatore”) (iii) l’importatore, indipendentemente dal fatto che tale sia soggetto al GDPR per il trattamento in oggetto, si trova in un paese terzo, oppure è un’organizzazione internazionale.
Seguendo le consultazioni, i tre criteri sono stati arricchiti di numerosi esempi e integrati in alcuni punti.
Al punto (ii) è inserito un chiarimento sui profili di responsabilità del titolare del trattamento quando l’esportatore è un responsabile del trattamento. A norma dell’art. 44 GDPR, si verifica trattamento quando un responsabile invia dati personali ad un altro titolare o responsabile al di fuori dello SEE. In questo caso, il responsabile sta agendo come esportatore per conto del titolare che gli deve fornire istruzioni per assicurare che le disposizioni del capo V siano rispettate. Per questo, secondo l’EDPB, il titolare è considerato legalmente responsabile per il trattamento in questione ai sensi del capo V. Lo stesso è anche tenuto ad assicurarsi che il responsabile fornisca le adeguate garanzie ai sensi dell’art. 28.
L’EDPB approfondisce anche la spiegazione del punto (iii). L’European Data Protection Board si sofferma ad analizzare il caso in cui il titolare del trattamento si affidi ad un responsabile che si trova all’interno dell’UE, ma che è soggetto alla legislazione di uno stato terzo. Quest’ultimo potrebbe ricevere richieste di accesso ai dati da parte delle autorità del paese terzo, che se soddisfatte integrano un trasferimento. Per questo motivo è compito del titolare prestare attenzione ai soggetti ai quali trasmette i dati personali e procedere solo se ritiene che questi forniscano sufficienti garanzie tecniche ed organizzative per soddisfare i requisiti del GDPR. Tali garanzie non devono essere valutate solo su una base oggettiva, ma anche soggettiva, prendendo in considerazione l’affidabilità della controparte. L’EDPB evidenzia che la questione se il responsabile del trattamento fornisca garanzie sufficienti riguarda anche la liceità del trattamento e il rispetto del principio dell’integrità e della riservatezza, di cui il titolare del trattamento deve rispondere ai sensi dell’articolo 5, paragrafo 2, del GDPR.
In conclusione, occorre sempre tenere presente, come ricordato dal Board, che i trasferimenti di dati possono portare ad un incremento dei rischi per i titolari e responsabili, per questo è necessario prestare cautela per assicurare che le attività siano conformi alle previsioni del GDPR.
Su un simile argomento può essere di interesse il seguente articolo: “Linee Guida del EDPB sulle certificazioni quali meccanismo di trasferimento dei dati personali”.