6 passi per rispettare la protezione dei dati e i trasferimenti al di fuori dell’UE

Blog
Il Comitato europeo per la protezione dei dati ha pubblicato delle linee guida su come le società devono eseguire il trasferimento di dati personali secondo la legge sulla protezione dei dati nell'UE. Questo articolo cerca di rendere le linee guida più facili da capire e raccoglie tutte le informazioni rilevanti in un unico posto.
Table of Contents

Il trasferimento internazionale di dati personali è parte integrante delle attività quotidiane della maggior parte delle organizzazioni.Per esempio, la tua società può conservare dati personali di clienti su un servizio cloud in un’altra nazione. Oppure potresti conservare i dati personali di un dipendente in una filiale con sede in un altro paese.

Con l’avvento delle leggi sulla protezione dei dati, lo scambio di dati è diventato più complesso per le aziende nell’UE.

Questo articolo mira a rendere il trasferimento dei dati facile da capire e a raccogliere tutte le informazioni rilevanti in un unico luogo. Iniziamo con una breve introduzione alle iniziative dell’UE in materia di protezione dei dati e al modo in cui i trasferimenti di dati sono stati gestiti nel corso degli anni. Successivamente, puoi conoscere gli ultimi consigli da seguire quando invii dati ad altri paesi. Questi suggerimenti renderanno più facile garantire che tutti i tuoi trasferimenti siano conformi al GDPR.

Cos'è il Schrems II e cosa ha a che fare con i cookie?

La storia di Schrems II ha inizio il 25 maggio 2018, quando è entrato in vigore il GDPR. L’obiettivo principale del GDPR è proteggere i dati personali degli europei controllandone il trattamento e consentendo loro di definire e avere voce in capitolo su ciò che accade ai loro dati. La parte relativa al consenso del GDPR è specificamente essenziale per raggiungere questo obiettivo. Implica che è responsabilità delle aziende comunicare ai visitatori del proprio sito Web quali cookie hanno sul sito web, quali dati vengono raccolti e per quale scopo.

Ma cosa devono fare le società al di fuori dell’UE? Se le autorità decidessero di proteggere i dati delle persone, questo non dovrebbe fermarsi alle frontiere europee. Ogni azienda e Paese devono rispettare e proteggere i dati, indipendentemente dal fatto che si trovino nell’UE o meno. Ad esempio, molte aziende europee inviano dati negli Stati Uniti. Per questo, nel GDPR, è scritto che:

"gli accordi internazionali che implicano il trasferimento di dati personali verso paesi terzi o organizzazioni internazionali" devono "rispettare le leggi dell'Unione Europea"

In breve, le società o le nazioni devono scrivere e firmare accordi con l’UE per ricevere i dati e trattarli secondo la legge sulla protezione dei dati.

L’8 luglio 2016, i rappresentanti degli stati membri dell’UE hanno approvato la versione finale dell’accordo sul trasferimento di dati tra UE e USA – Privacy Shield Framework. 4.646 organizzazioni americane hanno firmato un documento affermando che, quando ricevono dei dati dall’UE, li tratteranno ai sensi del GDPR. Tuttavia, ogni azienda europea deve essere consapevole di dove vanno a finire i dati personali per garantire che venga fornito un livello di protezione essenzialmente equivalente ovunque questi vengano elaborati.

Il fattore chiave riguardo a questa decisione era la sezione del consenso nel GDPR. Ora i visitatori del sito web possono decidere come raccogliere ed elaborare i propri dati, il che significa che gli utenti che rifiutano i cookie genereranno dati anonimi, sui quali né le società europee né quelle americane possono agire.

Max Schrems, attivista e avvocato austriaco, ha letto il Privacy Shield Framework e analizzato come viene eseguito il trasferimento di dati secondo l’accordo. C’era qualcosa che non andava. La National Security Agency negli Stati Uniti avrebbe potuto richiedere e ricevere qualsiasi dato disponibile sul territorio americano. Pertanto, non era stato garantito il livello equivalente essenziale di protezione dei dati.

Dal 16 luglio 2020, il Privacy Shield Framework non è più valido. La Corte di giustizia europea ha deciso che i limiti delle normative statunitensi sulla protezione dei dati personali non soddisfano i requisiti di “equivalenza essenziale” con il diritto dell’UE. Questo giudizio è noto come Schrems II. A seguito della sentenza, aziende come Facebook e Google hanno iniziato a investire nella costruzione di data center nell’UE.

Immagine del logo del privacy shield

Il GDPR ha una sezione che spiega ciò che dovrebbe succedere in caso di assenza di un accordo come il Privacy Schield 

"In mancanza di una decisione sull'adeguatezza, il titolare del trattamento o il responsabile del trattamento dovrebbe provvedere a compensare la carenza di protezione dei dati in un paese terzo mediante adeguate garanzie a tutela dell'interessato."

Oggi, è responsabilità delle società assicurarsi che il trasferimento di dati segua le SCCs (Standard Contractual Clauses). La nuova versione delle SCC espone i nuovi requisiti previsti dal GDPR e prende in considerazione la decisione Schrems II della Corte di giustizia europea, assicurando ai cittadini un alto livello di protezione dei dati.

Perché è importante che tu conosca le nuove raccomandazioni del Comitato europeo per la protezione dei dati (EDPB)?

Come detto prima, i titolari e i responsabili del trattamento dei dati devono assicurarsi che gli strumenti di trasferimento del Paese terzo corrispondano ai requisiti del GDPR. Il loro compito è quello di valutare le nazioni terze e identificare le misure supplementari appropriate. Il Comitato europeo per la protezione dei dati (EDPB) ha delineato alcune raccomandazioni per aiutare gli esportatori (titolari, responsabili, entità private o organizzazioni pubbliche che trattano dati personali nell’ambito del GDPR) con questo compito complesso. Queste raccomandazioni includono una serie di passaggi da seguire, potenziali fonti di informazione e alcuni esempi di misure supplementari che potrebbero essere messe in atto.

Quali sono le raccomandazioni dell'EDPB?

  1. Conoscere i trasferimenti
  2. Identificare gli strumenti di trasferimento su cui si fa affidamento
  3. Valutare se lo strumento di trasferimento Articolo 46 GDPR su cui si da affidamento è efficace alla luce di tutte le circostanze del trasferimento
  4. Adottare delle misure supplementari
  5. Eseguire i passi procedurali nel caso in cui siano state identificate delle misure supplementari efficaci
  6. Rivalutare a intervalli appropriati

Passo 1: Conoscere i trasferimenti

Se desideri trasferire dati al di fuori dell’UE, devi tenere d’occhio ogni trasferimento. Questo passaggio è essenziale perché l’esportatore deve applicare misure supplementari se il livello di protezione dei dati del paese di destinazione non corrisponde ai requisiti del GDPR.

Mappare tutti i trasferimenti richiede impegno e tempo. La nostra Compliance Dashboard può farlo per te. Provala gratis!

Passo 2: Identificare gli strumenti di trasferimento su cui si fa affidamento

Dopo aver mappato i trasferimenti di dati in cui sei coinvolto, il passaggio successivo consiste nell’identificare gli strumenti di trasferimento su cui fai affidamento. Se nel primo passo scopri che stai inviando dati a Paesi senza un accordo di adeguatezza con l’UE, devi assicurarti di usare gli strumenti di trasferimento adeguati. Questi potrebbero includere:

  • Affidamento su una decisione di adeguatezza;
  • Strumenti di trasferimento conformi all’articolo 46 del GDPR (per esempio uno strumento giuridicamente vincolante ed esecutivo tra autorità o enti pubblici);
  • Deroghe;

Non sono necessarie ulteriori azioni per trasferimenti verso nazioni con un accordo di adeguatezza con l’UE.

Passo 3: Valutare che lo strumento di trasferimento rispetti l'articolo 46 del GDPR in relazione a ogni circostanza del trasferimento

Nella terza fase, devi valutare se c’è qualcosa nella legge o nelle pratiche del Paese terzo che può influire sull’efficacia degli strumenti di trasferimento nel trasferimento specifico.

Esaminare queste pratiche è particolarmente importante per valutare dove: 

  • La legislazione nel Paese terzo non è applicata in pratica;
  • Il Paese terzo manca di legislazione rilevante compatibile con lo strumento di trasferimento;
  • Il tuo importatore rientra o potrebbe rientrare nell’ambito di una legislazione problematica (una legislazione che contraddice i requisiti del GDPR);

Nei primi due casi, devi interrompere il trasferimento di dati o implementare misure supplementari. Nel terzo caso, puoi decidere di procedere con il trasferimento senza attuare misure integrative.

In questo caso, devi dimostrare e documentare di non avere motivo di credere che la legislazione pertinente e problematica sarà interpretata e/o applicata in pratica. 

Puoi trovare possibili fonti di informazioni per valutare i Paesi terzi nel documento ufficiale dell’EDPB all’allegato 3.

Passo 4: Adottare delle misure supplementari

Questo passaggio è richiesto solo se il trasferimento rientra in una delle tre situazioni citate prima.

Puoi trovare esempi di misure supplementari nel documento ufficiale dell’EDPB all’allegato 2.

Nel caso in cui non si riesca a trovare nessuna misura integrativa per il trasferimento, devi evitare, sospendere o terminare tale trasferimento di dati.

Passo 5: Eseguire i passi procedurali nel caso in cui siano state identificate delle misure supplementari efficaci

Il quinto passaggio consiste nel prendere in considerazione eventuali azioni procedurali per adottare le misure integrative a seconda dello strumento di trasferimento. Potrebbe essere necessario consultare le autorità di vigilanza competenti per questo.

Passo 6: Rivalutare a intervalli appropriati

Il sesto e ultimo passo è quello di rivalutare il livello di protezione dei dati personali coinvolti nel trasferimento a intervalli appropriati. È necessario valutare se ci sono modifiche o sviluppi che potrebbero influenzarlo. 

Come la nostra Compliance Dashboard può aiutarti?

L’identificazione dei trasferimenti è il primo e più importante passaggio menzionato nelle raccomandazioni dell’EDPB. Potresti utilizzare servizi di terze parti provenienti da Stati Uniti, Cina o altri paesi terzi non sicuri che impostano cookie sui tuoi siti web. In quanto esportatore, è tuo dovere conoscere questi trasferimenti. Se disponi di uno strumento adeguato per identificarli, puoi evitare azioni legali e multe.

Una funzione essenziale della Compliance Dashboard riguarda i “rischi della privacy UE/SEE“, la quale ti aiuta a vedere dove i siti inviano dati e cookie. In questo modo puoi monitorare continuamente ogni trasferimento e assicurare la conformità al GDPR della tua attività.

La Compliance Dashboard è anche adatta per coloro che vogliono una panoramica completa di livello di conformità, percentuali di consenso e cookie.

Compliance Dashboard di Cookie Information, panoramica sui rischi della privacy

Compliance Dashboard di Cookie Information, panoramica dei rischi della privacy