A seguito di una consultazione sui trasferimenti di dati personali per l’elaborazione, l’Ufficio del Commissario per la Privacy del Canada ( OPC ) ha concluso che le sue linee guida per il trattamento dei dati personali oltre confine rimarranno invariate ai sensi della legge vigente. 

L’ OPC concentrerà ora i suoi sforzi su come una legge riformata possa proteggere al meglio i diritti alla privacy dei canadesi quando le loro informazioni vengono trasferite tra le organizzazioni.

L’ obiettivo a lungo termine dell’OPC rimane quello di garantire un’efficace protezione della privacy nel contesto dei trasferimenti per l’elaborazione, accettando che i flussi di dati transfrontalieri siano oggetto di accordi commerciali internazionali e che i trasferimenti sia nazionali che internazionali apportino benefici significativi a persone e organizzazioni.

Durante la sua consultazione, l’Ufficio ha ricevuto 87 osservazioni. Le parti interessate, compresi i rappresentanti del settore, hanno sollevato preoccupazioni in merito alla posizione che potrebbe essere necessario il consenso per i trasferimenti per l’elaborazione.

La stragrande maggioranza ha ritenuto che ai sensi della legge sulla protezione delle informazioni personali e dei documenti elettronici ( PIPEDA ) non fosse richiesto il consenso per i trasferimenti per l’elaborazione e che ciò avrebbe creato enormi sfide per i loro processi aziendali.

A nostro avviso, questa non è una situazione insolita in cui è possibile più di un’interpretazione della legge. La Corte d’appello federale ha imposto che, a causa della “redazione non legale” della PIPEDA e del fatto che la legge “costituisce un compromesso sia nella sostanza che nella forma”, si applica una speciale regola di interpretazione. La Corte ha dichiarato che: “L’Allegato 1 (di PIPEDA ) non si presta alla tipica costruzione rigorosa. In queste circostanze, flessibilità, buon senso e pragmatismo guideranno al meglio la Corte “.

L’ OPC sta applicando questo approccio pragmatico nel determinare che manterrà lo status quo fino alla modifica della legge. A tal fine, l’Ufficio ha preso in considerazione le osservazioni ricevute e il fatto che è improbabile che la posizione proposta sia applicata in pratica fino a anni in futuro, probabilmente ben dopo la riforma della legislazione.

Mentre la posizione dell’OPC sui trasferimenti per l’elaborazione rimane invariata, ricordiamo alle aziende che i requisiti legali devono essere trasparenti sulle pratiche di gestione delle informazioni personali. Le organizzazioni dovrebbero informare i clienti che le loro informazioni personali possono essere inviate a un’altra giurisdizione per l’elaborazione e che, mentre le informazioni si trovano in un’altra giurisdizione, le autorità giudiziarie, le forze dell’ordine e le autorità di sicurezza nazionali possono accedervi.

Inoltre, l’ OPC si aspetta che le organizzazioni continuino ad applicare le sue linee guida per ottenere un consenso significativo per consentire alle persone di prendere decisioni informate mentre stanno prendendo in considerazione l’utilizzo del servizio o del prodotto offerto, l’acquisto o il download dell’app. Le linee guida indicano che le organizzazioni, comprese quelle che si affidano a processori di terze parti, dovrebbero enfatizzare gli elementi chiave nelle loro informative sulla privacy: quali informazioni personali vengono raccolte; con quali parti vengono condivise le informazioni personali; per quali scopi le informazioni personali vengono raccolte, utilizzate o divulgate; e ogni residuo rischio significativo di danno o altre conseguenze.

Mentre elabora raccomandazioni per modernizzare il diritto del settore privato federale canadese, l’ OPC prenderà in considerazione le osservazioni che ha ricevuto in merito alla riforma legislativa e in che modo una futura legge potrebbe indirizzare i trasferimenti per l’elaborazione e la trasbordo dei flussi di dati per proteggere efficacemente la privacy.

I trasferimenti per l’elaborazione e i flussi di dati transfrontalieri possono creare vantaggi significativi per i consumatori e le organizzazioni. Uno degli scopi di PIPEDA è supportare e promuovere il commercio elettronico. Tuttavia, questi trasferimenti creano rischi intrinseci per la privacy che devono essere affrontati attraverso solide protezioni legali. A nostro avviso, le protezioni esistenti per la privacy sono chiaramente insufficienti e formuleremo raccomandazioni per rafforzare le protezioni in una futura legge.

FONTE: priv.gc.ca – AUTORITA’ PER LA PROTEZIONE DEI DATI CANADESE