L’8 luglio 2021, l’European Data Protection Board (EDPB) ha adottato, durante la sua ultima sessione plenaria, le linee guida sui codici di condotta come strumento per i trasferimenti (“Guidelines on Codes of Conduct (CoCs) as a tool for transfers.”) con lo scopo di chiarire l’applicazione degli articoli 40, par. 3 e 46, par. 2 del GDPR. Tali disposizioni stabiliscono che, una volta approvato da un’Autorità di controllo competente e dopo aver ottenuto validità generale all’interno del SEE da parte della Commissione, al codice di condotta potranno aderire anche titolari e responsabili del trattamento non soggetti al GDPR al fine di fornire garanzie adeguate ai trasferimenti di dati al di fuori dello Spazio Economico Europeo (SEE).
Linee guida codici condotta
Le Guidelines on Codes of Conduct (CoCs) as a tool for transfers integrano le Linee Guida 1/2019 “on Codes of Conduct and Monitoring Bodies under Regulation 2016/679” che disciplinano a loro volta il quadro generale per l’adozione dei codici di condotta.
L’EDPB aveva già anticipato nelle Linee Guida 1/2019 che avrebbe elaborato distinte linee guida riguardo all’uso dei codici come strumento per facilitare i trasferimenti internazionali
GDPR, codici di condotta e certificazioni: lo stato dell’arte tra sfide e opportunità
Nell’ambito dei trasferimenti dei dati, il GDPR all’art. 46, par. 2 del GDPR, prescrive che, in assenza di una decisione di adeguatezza della Commissione, il trasferimento è consentito ove titolare o il responsabile del trattamento forniscano garanzie adeguate che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati. Al riguardo, tra le garanzie adeguate vi è anche l’adozione di un codice di condotta approvato a norma dell’articolo 40 del GDPR, unitamente all’impegno vincolante ed esecutivo da parte del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati.
I codici di condotta possono quindi costituire un meccanismo significativo e utile anche nel settore dei trasferimenti internazionali che consentirebbe a terzi di aderire ai codici approvati per soddisfare l’obbligo giuridico di fornire garanzie adeguate in relazione ai trasferimenti internazionali di dati personali verso paesi terzi. L’adozione di un codice di condotta consentirebbe di trasferire i dati personali verso paesi terzi o organizzazioni internazionali sulla base di una garanzia adeguata nonché di sviluppare e promuovere ulteriormente la fiducia degli interessati nel trattamento dei dati extra UE.
Soluzioni al problema
Dallo scenario attuale ciò che emerge è un forte impegno da parte dell’Unione Europea e delle autorità competenti nazionali nel disciplinare e dare delle soluzioni pertinenti e, al contempo, tutelanti dei diritti e delle libertà degli interessati in merito al tema del trasferimento dei dati fuori dallo SEE.
Ricordiamo infatti che in questo ultimo anno sono state moltissime le novità in tema di trasferimento a seguito della decisione della Corte di Giustizia del 16 luglio 2020 (Schrems II).
La Commissione Europea, alla luce dell’applicazione del GDPR e a fronte dell’evoluzione tecnologica che facilita i flussi transfrontalieri di dati, ha emanato in data 04/06/2021 la Decisione di esecuzione (UE) 2021/914 relativa alle clausole contrattuali tipo per il trasferimento di dati personali verso paesi terzi a norma del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio.
La Decisione di esecuzione (UE) 2021/914 ha aggiornato le precedenti standard contractual clauses (SCC) adeguandole al contesto normativo attuale. La Decisione di esecuzione prevede un periodo transitorio di 18 mesi per aggiornare i contratti conclusi prima dell’entrata in vigore delle nuove SCC.
La Decisione di Esecuzione riporta infatti quale termine ultimo per considerare ancora validi i contratti conclusi prima del 27/09/2021 e basati sulle precedenti SCC, quello del 27 dicembre 2022. Si precisa però che tali contratti possono considerarsi validi solo a patto che i trattamenti in oggetto rimangano invariati e il ricorso a tali clausole garantisca che il trasferimento di dati personali sia soggetto a garanzie adeguate. In caso di modifiche rilevanti del contratto, l’esportatore dovrà basarsi su un nuovo fondamento giuridico per i trasferimenti di dati, sostituendo le SCC con le nuove
Sempre in tema di trasferimenti il 28 giugno 2021 la Commissione Europea ha approvato la decisione di adeguatezza per i trasferimenti di dati tra UE e UK sia sulla base del GDPR che sulla base della Law Enforcement Directive.
La Commissione ha rilevato, infatti, che la legislazione europea ha modellato il sistema giuridico inglese durante gli anni della permanenza del Regno Unito all’interno dell’Unione. Tale decisione di adeguatezza è quindi immediatamente efficace e avrà validità fino al 27 giugno 2025, fatto salvo il caso in cui non venga confermata o modificata alla luce dell’evoluzione del sistema legale britannico.
GDPR, la privacy del Regno Unito è “adeguata”: ecco le conseguenze per imprese e cittadini