Skip to main content

Legal Update

RGPD: Il Comitato europeo per la protezione dei dati adotta la versione definitiva delle Linee guida sulle deroghe ai sensi dell'Art. 49 e la bozza delle Linee guida sui meccanismi di certificazione ai sensi dell'Art. 42.

5 June 2018
Mayer Brown Legal Update

Il Comitato europeo per la protezione dei dati ("CEPD") si è riunito per la prima volta in seduta plenaria il 25 maggio 2018, lo stesso giorno dell'entrata in vigore del Regolamento generale sulla protezione dei dati ("RGPD").

Il CEPD sostituisce il Gruppo di lavoro ex articolo 29, un organismo di consulenza costituito dalle autorità nazionali di protezione dei dati ai sensi della precedente normativa privacy dell'Unione Europea ("UE"). Il CEPD è un organismo indipendente europeo composto da rappresentanti delle autorità di controllo nazionali di ogni Stato membro e dal Garante europeo della protezione dei dati ("GEPD"). La sua missione è assicurare l'applicazione coerente delle leggi sulla riservatezza UE e fornire istruzioni nell'intepretazione dei concetti fondamentali del RGPD.

Durante la sua la prima riunione, il CEPD ha adottato linee guida su due diverse disposizioni del RGPD: (1) la versione finale delle Linee guida 2/2018, aventi ad oggetto le deroghe per il trasferimento di dati personali verso Paesi terzi ai sensi dell'Art. 49 del RGPD ("Linee guida sulle deroghe ai sensi dell'Art. 49") e (2) la bozza delle Linee guida 1/2018, in materia di meccanismi di certificazione, sigilli e marchi di protezione dei dati usati per dimostrare l'adempimento al RGPD in conformità agli Artt. 42 e 43 del RGPD ("Linee guida sui meccanismi di certificazione").
Linee guida sulle deroghe ai sensi dell'Art. 49.

Allo scopo di trasferire dati personali verso Paesi terzi, le aziende devono basarsi su uno dei meccanismi di trasferimento previsti dal RGPD. Questi meccanismi comprendono: (i) il trasferimento verso un Paese che l'UE ritenga avere leggi di protezione dei dati adeguate ai sensi dell'Art. 45 del RGPD, (ii) l'uso di una delle specifiche garanzie previste dall'Art. 46 del RGPD (come le clausole contrattuali tipo, le norme vincolanti d'impresa, ecc.), e (iii) l'uso di deroghe di cui all'Art. 49 del RGPD. Le deroghe di cui all' Art. 49 comprendono, inter alia, il consenso esplicito dagli interessati, l'adempimento di obblighi contrattuali e l'interesse pubblico.

Le Linee guida sulle deroghe ai sensi dell'Art. 49 forsiniscono diverse indicazioni sull'interpretazione di tale disposizione:

a) confermano, per le aziende che trasferiscono dati personali verso Paesi terzi, la necessità di valutare in primo luogo qualora il trasferimento possa avvenire sulla base di uno dei meccanismi di cui negli Artt. 45 e 46 del RGPD. Solo nel caso in cui ciò non sia possibile, l'esportatore di dati ha la possibilità di ricorrere alle deroghe di cui all'Art. 49 del RGPD;

b) il CEPD riafferma la validità dei requisiti formulati dal Gruppo di lavoro ex articolo 29 in riferimento alla valutazione dei casi in cui il consenso possa definirsi "esplicito". Tali criteri sono dunque applicabili anche nel caso del consenso esplicito come deroga ai sensi dell'Art. 49. A tal riguardo, il CEDP sottolinea come il consenso degli interessati non debba costituire una soluzione a lungo termine per i trasferimenti dei dati pesonali verso Paesi terzi;

c) nel caso in cui le disposizioni del RGPD non prevedano che le deroghe siano limitate a trasferimenti "occasionali" o "non ripetitivi" (ad esempio per quanto riguarda il consenso esplicito e l'interesse pubblico), queste devono comunque essere oggetto di un'intepretazione restrittiva;

d) il CEPD fornisce altresì indicazioni sulla valutazione dei criteri di "occasionalità" e di "necessità". In relazione al primo criterio, il CEPD afferma, ad esempio, come i trasferimenti di dati che hanno luogo all'interno di una relazione commerciale stabile non possano essere considerati "occasionali". Riguardo alla "necessità" del trasferimento, il CEPD conferma che la verifica di tale criterio richiede una valutazione da parte dell'esportatore dei dati riguardo all'esistenza di una connessione stretta e sostanziale tra il trasferimento dei dati e la finalità perseguita.

Le Linee guida sulle deroghe ai sensi dell' Art. 49 offrono inoltre esempi pratici riguardo ai casi in cui le aziende possano avvalersi di tali deroghe (anche in un contesto intra-gruppo, ad esempio in relazione ai dati relativi alle risorse umane).
Linee guida sui meccanismi di certificazione.

L'Art. 42 del RGPD incoraggia le società ad utilizzare meccanismi di certificazione, sigilli e marchi di protezione dei dati al fine di: (i) permettere agli interessati di valutare il livello di protezione dei dati fornito da una società; e (ii) dimostrare l'utilizzo di garanzie adeguate di protezione dei dati.

La bozza delle Linee guida sui meccanismi di certificazione non rappresenta un manuale procedurale per la certificazione ma identifica criteri generali da applicare in referimento ai diversi tipi di meccanismi. Le linee guida contengono anche interessanti tabelle riassuntive che assegnano ruoli e poteri alle autorità di controllo in relazione al processo di certificazione.

Nella bozza delle Linee guida sui meccanismi di certificazione, il CEPD:

a) definisce il significato di certificazione (facendo riferimento alla norma ISO);
b) esplora la logica dietro l'uso della certificazione come strumento di responsabilità;
c) valuta il ruolo delle autorità di controllo nello sviluppo di meccanismi di certificazione e fornisce esempi di cosa possa essere oggetto di certificazione (prodotti, servizi, software, ecc.). Le linee guida confermano come la certificazione possa rappresentare uno strumento per dimostrare l'esistenza di misure tecniche e organizzative adeguate (come previsto negli Artt. 24 e 32 del RGPD);
d) contempla l'idea di un sigillo di protezione dei dati europeo volto a limitare la diffusione di loghi e pratiche nazionali.

Le Linee guida sui meccanismi di certificazione sono aperte a pubblica consultazione per sei settimane. I commenti possono essere inviati a  entro il 12 luglio 2018.

Per saperne di più sul RGPD EU General Data Protection Regulation.

Authors

  • Diletta De Cicco
    T +32 2 551 5945

Related People

  • Kendall C. Burman
    T +1 202 263 3210
  • Charles-Albert Helleputte
    T +32 2 551 5982
  • Mark A. Prinsley
    T +44 20 3130 3900
  • Lei Shen
    Partner
    T +1 312 701 8852
  • Oliver Yaros
    T +44 20 3130 3698
The Build a Report feature requires the use of cookies to function properly. Cookies are small text files that are placed on your computer by websites that you visit. They are widely used in order to make websites work, or work more efficiently. If you do not accept cookies, this function will not work. For more information please see our Privacy Policy

You have no pages selected. Please select pages to email then resubmit.