“La CNIL avvia una consultazione pubblica sulla valutazione d’impatto del trasferimento dei dati”
In data 8 Gennaio 2024, la Commission Nationale de l’Informatique et des Libertés (“CNIL”) ha pubblicato una consultazione avente ad oggetto una guida relativa alle valutazioni d’impatto sui trasferimenti di dati al di fuori dello Spazio Economico Europeo.
Indipendentemente dal loro status (pubblico o privato) o dalle loro dimensioni (multinazionali o medie e piccole imprese) sono sempre di più le organizzazioni che trattano i dati in Paesi terzi non soggetti all’applicazione del GDPR. Tuttavia, il principio sancito dal Considerando 101 del GDPR è che in caso di trasferimento, i dati devono continuare a beneficiare dello stesso livello di protezione offerto dal Regolamento europeo. La stessa Corte di Giustizia dell’Unione Europea (CGUE) nella sentenza “Schrems II” ha sottolineato la responsabilità degli esportatori e degli importatori di garantire che i dati personali siano trattati, e continuino a essere trattati, nel rispetto del livello di protezione stabilito dalla legislazione UE in materia di protezione dei dati. Secondo la CGUE, gli esportatori sono anche responsabili della risoluzione del contratto se l’importatore non è – o non è più – in grado di rispettare le clausole privacy. Pertanto, gli esportatori che si avvalgono delle garanzie cui all’articolo 46 del GDPR per i loro trasferimenti sono tenuti a valutare il livello di protezione dei dati nel paese terzo di destinazione.
Per tali ragioni è fondamentale procedere con una valutazione dell’impatto dei trasferimenti di dati (cd. TIA) verso i Paesi non europei in linea con le raccomandazioni dell’EDPB, i requisiti stabiliti dal GDPR e dalla sentenza Schrems II.
La guida oggetto di consultazione costituisce una metodologia, una lista che identifica vari elementi da considerare quando si effettua un TIA. Fornisce inoltre indicazioni su come l’analisi può essere effettuata seguendo le sei fasi stabilite nelle raccomandazioni del Comitato europeo per la protezione dei dati e rimanda alla documentazione pertinente.
Nello specifico, nell’esecuzione di un Transfer Impact Assesment, la CNIL raccomanda ai responsabili del trattamento di sapere quali dati vengono trasferiti, documentare lo strumento di trasferimento utilizzato, comprendere le leggi del paese ricevente, identificare e attuare eventuali misure supplementari e rivalutare il livello appropriato di protezione dei dati necessario. Se necessario, la TIA deve consentire all’esportatore di valutare se le misure supplementari consentano di rimediare alle carenze individuate nella legislazione del Paese extra UE e di garantire il livello richiesto dalla normativa GDPR. Poiché l’importatore dei dati è in possesso di molte delle informazioni necessarie per questa valutazione, la sua collaborazione sarà essenziale per lo svolgimento della TIA.
I contributi alla consultazione dovranno pervenire entro il 12 febbraio e la CNIL dovrà pubblicare la guida finale sul proprio sito web nel 2024.
