ricerca avanzata
ricerca anche su

  • Privacy - Trasferimenti di dati verso l’estero

26 giugno 2024

Trasferimenti di dati personali soggetti a garanzie adeguate verso paesi terzi o organizzazioni internazionali ai sensi dell’art. 37 LED

Il Comitato europeo per la protezione dei dati (EDPB - European Data Protection Board) ha pubblicato la versione finale delle Linee guida sull'applicazione dell'articolo 37 della LED (Direttiva UE 27 aprile 2016, n. 2016/680) riguardante i trasferimenti di dati personali dalle autorità competenti degli Stati membri dell’UE a soggetti terzi (autorità nazionali o organizzazioni internazionali).


Le Linee guida in esame (Guidelines 01/2023 on Article 37 Law Enforcement Directive), adottate nella versione finale il 19 giugno 2024, forniscono indicazioni sull'applicazione dell'articolo 37 LED, in particolare sullo standard giuridico delle garanzie adeguate da applicare da parte delle autorità competenti ai sensi dell'art 37, comma 1, lettere a) e b), LED e, conseguentemente, sugli elementi rilevanti per valutare se tali garanzie esistono.

Si ricorda che l’articolo 37 della LED dispone quanto segue:

Articolo 37 - Trasferimenti soggetti a garanzie adeguate

1. In mancanza di una decisione ai sensi dell'articolo 36, paragrafo 3, gli Stati membri dispongono che sia ammesso un trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale se:

a) sono fornite garanzie adeguate per la protezione dei dati personali in uno strumento giuridicamente vincolante; oppure

b) il titolare del trattamento ha valutato tutte le circostanze relative al trasferimento dei dati personali e ritiene che sussistano garanzie adeguate per la protezione dei dati personali.

2. Il titolare del trattamento informa l'autorità di controllo in merito alle categorie di trasferimenti di cui al paragrafo 1, lettera b).

3. Qualora sia basato sul paragrafo 1, lettera b), un tale trasferimento deve essere documentato e, su richiesta, la documentazione deve essere messa a disposizione dell'autorità di controllo con l'indicazione della data e dell'ora del trasferimento, delle informazioni sull'autorità competente ricevente, della motivazione del trasferimento e dei dati personali trasferiti.


Con riferimento alle predette disposizioni, le Linee guida pubblicate contengono, innanzitutto, un’indicazione delle aspettative dell’EDPB nel caso in cui gli Stati membri dispongano che sia ammesso un trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale ai sensi dell'articolo 37, paragrafo 1, lettera a), LED, mediante uno strumento giuridicamente vincolante. L'EDPB raccomanda agli Stati membri di utilizzare queste linee guida come riferimento quando si tratta di concludere o modificare tale tipo di strumento.

Il Comitato europeo rileva che l’articolo 35, paragrafo 3, LED si applica ai trasferimenti effettuati ai sensi dell’articolo 37 LED. La LED dovrebbe pertanto essere applicata alla luce del principio secondo cui il livello di protezione dei dati applicabile nelll’Unione europea non deve essere compromessa dal trasferimento di dati personali in un’altra giurisdizione. L’EDPB afferma che l’articolo 37 LED richiede un livello sostanzialmente equivalente di protezione dei dati nel paese terzo o nell'organizzazione internazionale destinataria. Tuttavia, questo requisito riguarda il trasferimento di dati specifico o la specifica categoria di trasferimenti. Ai sensi dell'articolo 37 LED, equivalenza essenziale alla protezione garantita sotto la direttiva LED dovrebbe essere assicurata per quel particolare caso e non necessariamente con riguardo a tutta la legislazione esistente nel paese terzo o organizzazione internazionale. L'entità che deve stipulare uno strumento giuridicamente vincolante ai sensi dell'articolo 37, paragrafo 1, lettera a), LED, ha il potere di contrarre obblighi rispetto alle garanzie previste dallo strumento. Gli accordi internazionali dovrebbero quindi avere forza di legge.

Tale strumento giuridicamente vincolante può essere applicato dalle parti e dagli interessati il ​​cui trattamento dei dati personali è disciplinato dall'accordo. Lo strumento giuridicamente vincolante dovrebbe contenere tutte le norme pertinenti per consentire il superamento di eventuali carenze o limitazioni della legislazione del paese terzo o dell'organizzazione internazionale in termini di protezione dei dati, definendo un quadro di garanzie adeguate che consentano un approccio essenziale di livello equivalente di protezione dei dati.

L'EDPB ritiene che l'uso di uno strumento giuridicamente vincolante che disciplini i trasferimenti di dati personali tra le parti dovrebbe, in assenza di una decisione di adeguatezza, avere la precedenza, in linea di principio, su una valutazione da parte del responsabile del trattamento ai sensi dell'articolo 37, paragrafo 1, lettera b), LED, in quanto fornisce ulteriori informazioni legali sul piano della certezza, trasparenza, prevedibilità, stabilità, coerenza e garanzie sull'efficacia applicazione. In questo contesto, l’EDPB ricorda la sua dichiarazione sugli accordi internazionali compresi i trasferimenti, adottato il 13 aprile 2021, invitando gli Stati membri a valutare e, ove necessario, rivedere i propri accordi internazionali che comportano trasferimenti internazionali di dati personali. L’EDPB sottolinea che è opportuno tenere in considerazione l'obiettivo di allineare tali accordi con la LED in ordine ai requisiti per i trasferimenti di dati, laddove ciò non sia ancora avvenuto, per garantire il livello di protezione delle persone fisiche interessate.

Nel valutare i rischi che circondano i trasferimenti di dati ai fini dell'articolo 37, paragrafo 1, lettera b), LED, le autorità competenti dovrebbero esaminare la protezione dei dati personali da trasferire in considerazione dei rischi che la loro condivisione con paesi terzi comporta per i diritti e le libertà fondamentali degli interessati, i loro interessi legittimi e quelli di altre persone interessate. Conoscere in dettaglio le circostanze relative ai trasferimenti di dati effettuati o da condurre è necessario per poter identificare questi rischi per i diritti e le libertà naturali delle persone ed, in particolare, per il diritto alla protezione dei dati, e le eventuali garanzie adeguate al fine di mitigarli.

Come per qualsiasi altra operazione di trattamento, l'autorità competente deve essere a conoscenza e considerare in modo granulare la natura, la portata, il contesto e le finalità del trasferimento. Più precisamente, le autorità competenti possono analizzare e classificare i loro trasferimenti considerando le caratteristiche rilevanti da valutare, i rischi posti ai diritti fondamentali degli interessati, come le finalità specifiche del trasferimento, la quantità di dati trasferiti o la gravità di un reato. Potrebbero esserci casi in cui le garanzie adeguate derivano già dall’accordo internazionale del paese terzo, dalla sua legislazione e dalle sue pratiche. In altri casi, le autorità competenti potrebbero dover fornire, nella misura in cui siano giuridicamente competenti, ulteriori garanzie alla luce delle caratteristiche della fattispecie di trasferimento dei dati, per assicurare un livello di protezione sostanzialmente equivalente a quello garantito ai sensi della LED e della legislazione nazionale. L'impegno dell'autorità ricevente nel paese terzo a il rispetto di tali garanzie aggiuntive è necessario affinché siano efficaci. Il fatto che i meccanismi di trasferimento previsti dagli articoli da 36 a 38 LED funzionino in generale a cascata incide anche sugli obblighi di responsabilità del titolare del trattamento.

Gli obblighi di responsabilità in capo al titolare del trattamento quando il trasferimento dei dati si basa sull'articolo 37, paragrafo 1, lettera b), LED, sono rafforzati ai sensi dell'articolo 37, paragrafo 2, e 37, paragrafo 3, LED, poiché in tali casi è solo il titolare del trattamento a determinare, sulla base della propria valutazione, se esistono le garanzie adeguate. Ciò comporta maggiori rischi di incoerenze, minore trasparenza e minore certezza giuridica per gli interessati rispetto a trasferimenti legalmente disciplinati da decisioni di adeguatezza o strumenti giuridicamente vincolanti.

Con riguardo all'obbligo imposto dall'articolo 37, comma 2, LED e tenuto conto del motivo giustificativo per l'adozione di tale disposizione, le autorità competenti dovrebbero informare le rispettive autorità per la protezione dei dati a intervalli regolari sulle categorie di trasferimenti effettuati ai sensi dell'articolo 37, paragrafo 1, lettera b), LED. Le informazioni presentate dovrebbero includere le autorità competenti riceventi e il numero di trasferimenti. Ciò consentirebbe alle autorità di vigilanza di avere una visione generale e di focalizzare la propria azione con riguardo ad un eventuale controllo di liceità “ex post” su specifiche categorie di trasferimenti.

×
©2024 - Sprint Soluzioni Editoriali s.r.l. - P.I. 15078421003 - Riproduzione Riservata

I testi presenti in questa banca dati hanno finalità unicamente informative e scientifiche e non rivestono carattere di ufficialità; si declina, pertanto, ogni responsabilità per eventuali errori o inesattezze. Tutti i marchi riportati appartengono ai legittimi proprietari; marchi di terzi, nomi di prodotti, nomi commerciali e immagini di prodotti sono di proprietà dei rispettivi titolari. Sono utilizzati nella seguente banca dati a puro scopo divulgativo e informativo, senza alcun fine di violazione dei diritti vigenti.

informativa privacy - informativa cookie