TUTELA DEI DATI PERSONALI
Comitato Europeo per la protezione dei dati personali: adottate le Raccomandazioni 1/2020 e 2/2020 sulle misure da adottarsi a seguito della sentenza Schrems II.
L'EDPB ha adottato due raccomandazioni (1/2020 e 2/2020) sulle misure che integrano gli strumenti di trasferimento per garantire il rispetto del livello di protezione dei dati personali dell'UE, nonché raccomandazioni sulle garanzie essenziali europee per le misure di sorveglianza.
Entrambi i documenti sono stati adottati a seguito della sentenza Schrems II della CGUE. A seguito della sentenza del 16 luglio 2020, i Titolari del trattamento che si basano su clausole contrattuali standard (CSC) sono tenuti a verificare, caso per caso e, se del caso, in collaborazione con il destinatario dei dati nel paese terzo, se la legge del paese terzo garantisce un livello di protezione dei dati personali trasferiti sostanzialmente equivalente a quello garantito nello Spazio economico europeo (SEE). La CGUE ha consentito agli esportatori di aggiungere misure complementari ai CSC per garantire l'effettivo rispetto di tale livello di protezione qualora le salvaguardie contenute nei CSC non siano sufficienti.
Le raccomandazioni mirano ad assistere i Titolari del trattamento e i Responsabili del trattamento che agiscono in qualità di esportatori di dati circa il loro dovere di individuare e attuare misure supplementari appropriate laddove siano necessarie per garantire un livello di protezione sostanzialmente equivalente ai dati che trasferiscono a paesi terzi. In tal modo, l'EDPB chiede un'applicazione coerente del GDPR e della sentenza della Corte in tutto lo Spazio Economico Europeo.
Le Raccomandazioni contengono una tabella di marcia delle misure che gli esportatori di dati devono adottare per verificare se devono mettere in atto misure supplementari per poter trasferire dati al di fuori del SEE in conformità al diritto dell'UE. In tale prospettiva, le Raccomandazioni contengono anche un elenco (non esaustivo) di esempi di misure supplementari e di alcune delle condizioni che richiederebbero per essere efficaci. Tuttavia, alla fine, gli esportatori di dati sono responsabili della valutazione concreta nel contesto del trasferimento, del diritto dei paesi terzi e dello strumento di trasferimento su cui si basano. Gli esportatori di dati devono procedere con la dovuta diligenza e documentare a fondo il loro processo, in quanto saranno ritenuti responsabili delle decisioni che prendono su tale base, in linea con il principio di responsabilizzazione sancito dal GDPR. Inoltre, gli esportatori di dati dovrebbero sapere che potrebbe non essere possibile attuare misure supplementari sufficienti in ogni caso.
Le Raccomandazioni sulle misure supplementari saranno sottoposte a consultazione pubblica (che terminerà il 21 dicembre 2020). Esse saranno applicabili immediatamente dopo la loro pubblicazione.
Inoltre, l'EDPB ha adottato anche Raccomandazioni sulle garanzie essenziali europee per le misure di sorveglianza. Le raccomandazioni sulle garanzie essenziali europee sono complementari alle raccomandazioni sulle misure supplementari. Le raccomandazioni sulle garanzie essenziali europee forniscono agli esportatori di dati elementi per determinare se il quadro giuridico che disciplina l'accesso delle autorità pubbliche ai dati a fini di sorveglianza nei paesi terzi può essere considerato un'interferenza giustificabile con i diritti alla vita privata e alla protezione dei dati personali, e quindi non inficiare gli impegni dello strumento di trasferimento del GDPR ai sensi dell'articolo 46 su cui si basano l'esportatore e l'importatore di dati.
Entrambi i documenti sono stati adottati a seguito della sentenza Schrems II della CGUE. A seguito della sentenza del 16 luglio 2020, i Titolari del trattamento che si basano su clausole contrattuali standard (CSC) sono tenuti a verificare, caso per caso e, se del caso, in collaborazione con il destinatario dei dati nel paese terzo, se la legge del paese terzo garantisce un livello di protezione dei dati personali trasferiti sostanzialmente equivalente a quello garantito nello Spazio economico europeo (SEE). La CGUE ha consentito agli esportatori di aggiungere misure complementari ai CSC per garantire l'effettivo rispetto di tale livello di protezione qualora le salvaguardie contenute nei CSC non siano sufficienti.
Le raccomandazioni mirano ad assistere i Titolari del trattamento e i Responsabili del trattamento che agiscono in qualità di esportatori di dati circa il loro dovere di individuare e attuare misure supplementari appropriate laddove siano necessarie per garantire un livello di protezione sostanzialmente equivalente ai dati che trasferiscono a paesi terzi. In tal modo, l'EDPB chiede un'applicazione coerente del GDPR e della sentenza della Corte in tutto lo Spazio Economico Europeo.
Le Raccomandazioni contengono una tabella di marcia delle misure che gli esportatori di dati devono adottare per verificare se devono mettere in atto misure supplementari per poter trasferire dati al di fuori del SEE in conformità al diritto dell'UE. In tale prospettiva, le Raccomandazioni contengono anche un elenco (non esaustivo) di esempi di misure supplementari e di alcune delle condizioni che richiederebbero per essere efficaci. Tuttavia, alla fine, gli esportatori di dati sono responsabili della valutazione concreta nel contesto del trasferimento, del diritto dei paesi terzi e dello strumento di trasferimento su cui si basano. Gli esportatori di dati devono procedere con la dovuta diligenza e documentare a fondo il loro processo, in quanto saranno ritenuti responsabili delle decisioni che prendono su tale base, in linea con il principio di responsabilizzazione sancito dal GDPR. Inoltre, gli esportatori di dati dovrebbero sapere che potrebbe non essere possibile attuare misure supplementari sufficienti in ogni caso.
Le Raccomandazioni sulle misure supplementari saranno sottoposte a consultazione pubblica (che terminerà il 21 dicembre 2020). Esse saranno applicabili immediatamente dopo la loro pubblicazione.
Inoltre, l'EDPB ha adottato anche Raccomandazioni sulle garanzie essenziali europee per le misure di sorveglianza. Le raccomandazioni sulle garanzie essenziali europee sono complementari alle raccomandazioni sulle misure supplementari. Le raccomandazioni sulle garanzie essenziali europee forniscono agli esportatori di dati elementi per determinare se il quadro giuridico che disciplina l'accesso delle autorità pubbliche ai dati a fini di sorveglianza nei paesi terzi può essere considerato un'interferenza giustificabile con i diritti alla vita privata e alla protezione dei dati personali, e quindi non inficiare gli impegni dello strumento di trasferimento del GDPR ai sensi dell'articolo 46 su cui si basano l'esportatore e l'importatore di dati.
