Prima di trasferire dati personali al di fuori dello Spazio economico europeo (SEE), è necessario valutare il livello di protezione nel Paese di destinazione e le eventuali garanzie da fornire. Per assistere le organizzazioni, la CNIL sta lanciando una consultazione pubblica fino al 12 febbraio 2024 su una bozza di guida per condurre una valutazione d’impatto.
Garantire lo stesso livello di protezione del RGPD in caso di trasferimento di dati
Indipendentemente dal loro status o dalle loro dimensioni, un numero molto elevato di organizzazioni è interessato dalla questione dei trasferimenti di dati al di fuori dello Spazio economico europeo (SEE). Gli sviluppi tecnici, in particolare i servizi cloud, stanno aumentando il numero di casi in cui i dati vengono trattati in tutto o in parte in paesi terzi non soggetti al diritto dell’Unione Europea (e in particolare al RGPD). Quando i dati vengono trasferiti, devono continuare a beneficiare dello stesso livello di protezione previsto dal GDPR.
La sentenza “Schrems II” della Corte di giustizia dell’Unione europea (CGUE) ha sottolineato la responsabilità degli esportatori di dati al di fuori del SEE e degli importatori nel paese di destinazione. Essi devono garantire che il trattamento sia effettuato, e continui a essere effettuato, nel rispetto del livello di protezione stabilito dalla legislazione dell’UE. Secondo la CGUE, gli esportatori sono anche responsabili della sospensione del trasferimento e/o della risoluzione del contratto se l’importatore non è, o non è più, in grado di rispettare i propri impegni in termini di protezione dei dati personali.
Gli esportatori che si affidano agli strumenti di trasferimento elencati negli articoli 46.2 e 46.3 del RGPD per i loro trasferimenti sono quindi tenuti a valutare il livello di protezione nel paese terzo di destinazione e la necessità di mettere in atto garanzie aggiuntive.
Tale valutazione è comunemente chiamata Data Transfer Impact Analysis o “ AITD ” in francese ( Transfer Impact Assessment o “ TIA ” in inglese).
In linea con le raccomandazioni del Comitato europeo per la protezione dei dati (GEPD) sulle misure aggiuntive per integrare gli strumenti di trasferimento, la CNIL ha redatto una guida per aiutare gli esportatori di dati a effettuare la TIA.
Quando è necessaria una TIA?
Una TIA deve essere effettuata dai titolari o dagli incaricati del trattamento che agiscono in qualità di esportatori di dati, con l’assistenza dell’importatore, prima di trasferire i dati a un paese terzo, quando tale trasferimento si basa su uno strumento di trasferimento (articolo 46 del RGPD). Poiché l’importatore dispone di molte informazioni necessarie per questa valutazione, la sua collaborazione è essenziale per lo svolgimento della TIA.
Se il Paese di destinazione dei dati è coperto da una decisione di adeguatezza della Commissione europea, l’esportatore non è soggetto all’obbligo di effettuare una TIA. Lo stesso vale se il trasferimento avviene sulla base di una delle deroghe elencate nell’articolo 49 del GDPR.
Qual è lo scopo di una TIA?
La DTIA deve consentire all’esportatore di valutare il livello di protezione offerto dalla legislazione locale e di tenere conto delle prassi delle autorità del Paese terzo in materia di accesso ai dati trasferiti. A tal fine, la TIA consente di valutare l’esistenza nel Paese di destinazione delle garanzie europee essenziali per le misure di controllo identificate nelle raccomandazioni del GEPD.
Se necessario, la TIA dovrebbe anche consentire di valutare se misure aggiuntive consentano di colmare eventuali lacune nella protezione e di garantire il livello richiesto dalla legislazione dell’UE.
Quali sono gli obiettivi e la portata della guida TIA?
Questa guida è una metodologia che identifica i vari elementi da prendere in considerazione quando si effettua una DTIA. Fornisce indicazioni su come effettuare l’analisi seguendo le sei fasi stabilite nelle raccomandazioni del GEPD e rimanda alla documentazione pertinente. Non costituisce una valutazione della legislazione e delle pratiche dei Paesi terzi e dei rischi associati.
L’uso di questa guida non è obbligatorio: si possono prendere in considerazione anche altri elementi e applicare altre metodologie.
La guida è organizzata in base alle sei diverse fasi di realizzazione di una TIA:
- Conoscere il trasferimento
- Identificare lo strumento di trasferimento utilizzato
- Valutare la legislazione e le pratiche del Paese di destinazione dei dati e l’efficacia dello strumento di trasferimento.
- Identificare e adottare misure aggiuntive
- Implementare le misure aggiuntive e le fasi procedurali necessarie
- Rivalutare il livello di protezione a intervalli appropriati e monitorare i potenziali sviluppi che potrebbero influenzarlo.
Qual è il calendario della consultazione e chi può contribuire?
La consultazione pubblica si chiuderà il 12 febbraio 2024.
La CNIL desidera consentire al maggior numero possibile di persone, fisiche o giuridiche, pubbliche o private, di partecipare a questa consultazione pubblica. In particolare, vuole mobilitare gli attori che trasferiscono dati al di fuori dell’UE, che abbiano o meno già effettuato delle TIA.
Le risposte alla consultazione pubblica possono essere collettive ed essere inviate attraverso federazioni, associazioni, ecc.
Non è necessario commentare il documento nel suo complesso per rispondere alla consultazione pubblica.
La consultazione è ora chiusa.
Quali sono i prossimi passi?
I contributi saranno analizzati al termine della consultazione pubblica, in modo che la guida definitiva possa essere pubblicata sul sito web della CNIL nel 2024.