L'approfondimento

GDPR, come si fa la cooperazione internazionale tra autorità: ecco il toolbox EDPB

L’EDPB ha adottato un toolbox relativo alla cooperazione internazionale con le autorità di controllo competenti di Paesi Terzi per la protezione dei dati personali: si tratta di un importante step per affrontare il tema del trasferimento transfrontaliero dei dati

Pubblicato il 05 Apr 2022

Lorenzo Baudino Bessone

praticante avvocato, Studio Previti

Rossella Bucca

avvocato, Studio Previti associazione professionale

elezioni cyber

L’EDPB ha adottato, lo scorso 14 marzo, un toolbox concernente l’articolo 50, par. 1, lett. a) del GDPR in materia di cooperazione internazionale con le autorità di controllo competenti di Paesi Terzi per la protezione dei dati personali.

Con questo toolbox, l’EDPB ha inteso rendere importanti indicazioni sul tema, sempre più annoso, del trasferimento transfrontaliero di dati personali al di fuori dell’Unione Europea, e delle necessarie garanzie che devono essere apprestate, al fine di ridurre i rischi a cui sono naturalmente esposti i dati che sono oggetto di tali operazioni.

Dark pattern, così le aziende ingannano gli utenti: le nuove linee guida EDPB

Toolbox, il contesto

Il toolbox (letteralmente “cassetta degli attrezzi” che, nel caso di specie, costituisce una bozza di accordo con alcuni allegati annessi e che, da ora in avanti sarà indicato come “Toolbox”) pubblicato dall’EDPB il 22 marzo, si inserisce nell’alveo applicativo dell’articolo 50 del GDPR sulla “Cooperazione internazionale per la protezione dei dati personali”, a mente del quale: “In relazione ai paesi terzi e alle organizzazioni internazionali, la Commissione e le autorità di controllo adottano misure appropriate per: a) sviluppare meccanismi di cooperazione internazionale per facilitare l’applicazione efficace della legislazione sulla protezione dei dati personali”.

Nel contesto dello scambio di informazioni – da cui non è possibile prescindere nella prospettiva di cooperazione internazionale tra le Autorità di controllo facenti parte dello Spazio Economico Europeo (“SEE”) e le “Supervisory Authorities” (“SA”) di paesi terzi – il predetto Toolbox potrà essere utilizzato al fine di fornire garanzie adeguate per i trasferimenti di dati personali ivi operati, sia sulla base degli accordi amministrativi (di cui all’art. 46, par. 3, lettera b), del GDPR) sviluppati all’interno dell’EDPB dalle stesse SA non europee, sia in virtù degli accordi internazionali negoziati dalla Commissione europea (di cui all’art. 46, par. 2, lettera a) del GDPR).

Accordi amministrativi e internazionali

Come puntualmente osservato dall’EDPB, il toolbox fornisce garanzie adeguate per la protezione dei dati la cui formulazione deve, però, essere modulata a seconda che lo strumento sia sviluppato attraverso un accordo amministrativo o un accordo internazionale, nonché, naturalmente, in base alle specifiche circostanze dei trasferimenti che, di conseguenza, dovranno formare oggetto di apposita regolamentazione.

Nel caso di conclusione di un accordo amministrativo, predette garanzie dovranno essere previste con gli accordi di cooperazione esecutiva fra le Autorità (“enforcement cooperation agreement” – “ECA”), all’interno dei quali dovranno, peraltro, essere inserite misure adeguate a garantire diritti individuali effettivi, di riparazione e di controllo, con l’assicurazione, prestata dalla parte ricevente, circa la conformità delle stesse al diritto interno del Paese di appartenenza. Per quel che afferisce agli accordi internazionali, invece, è possibile basarsi su profili ed elementi giuridici già esistenti nel diritto nazionale di un paese terzo.

Gli obiettivi del toolbox

Il Toolbox si presenta come un fac-simile con alcune parti differenziate ed evidenziate, rispettivamente: in grigio se destinate a regolare un accordo amministrativo; in blu se volte a regolare un accordo internazionale. Ulteriore parte modificabile del Toolbox è, chiaramente, l’individuazione delle Autorità competenti (parti dell’accordo) la cui nozione viene fornita dall’EDPB e ricomprende gli organi competenti a vigilare sull’osservanza della normativa in materia di protezione dei dati personali. Esse sono indicate genericamente come [X] (Autorità competente all’interno del SEE) e [Y] (Autorità competente nel Paese Terzo).

Dopo aver ripercorso alcune definizioni del GDPR, ed aver ribadito le finalità specifiche perseguite dal documento – di cui si dirà infra – il Toolbox sancisce:

  • che le parti concordano che i trasferimenti dei dati personali tra le Autorità saranno disciplinati dalle disposizioni dettate all’interno dell’accordo;
  • che le stesse confermano di avere l’autorità per agire coerentemente con i termini previsti nell’accordo, nonché “di non avere motivo di ritenere” che vi siano impedimenti esistenti discendenti da disposizioni di legge;
  • che sostengono di poter rispettare pienamente le garanzie fissate nell’accordo sulla base dei requisiti di legge applicabili, predisponendo garanzie adeguate per proteggere i dati personali “attraverso una combinazione di leggi, regolamenti e di proprie politiche e procedure interne”.

I principi del GDPR richiamati dal toolbox

Come poc’anzi anticipato, il documento elaborato dall’EDPB ricalca i principi e gli obblighi sanciti dal GDPR, modellandoli in base alla diversa tipologia di accordo – amministrativo o internazionale – che verrà, di volta in volta, concluso dalle parti. In prima battuta, sono richiamati integralmente i principi previsti dal Regolamento per il corretto trattamento dei dati, facendo richiamo espresso ai compiti istituzionali demandati alle Autorità di controllo ed alla necessità di condividere dati ed informazioni, con la precipua finalità di portare a compimento le attività investigative o di attribuire impulso ai procedimenti innanzi alle corti competenti.

È interessante osservare quanto previsto in relazione al principio di minimizzazione del trattamento di cui all’art. 5, par. 1, lett. c), del GDPR. Sul punto, l’EDPB statuisce che i dati personali dovranno essere conservati in una forma che non consenta l’identificazione degli interessati per un periodo più lungo di quanto necessario agli scopi per i quali i dati sono stati raccolti o per i quali sono ulteriormente trattati, o per il tempo richiesto da leggi, norme e regolamenti applicabili “a condizione che [Y] sia stato informato da [X] delle presenti norme applicabili all’interno del SEE e del periodo massimo di conservazione dei dati personali ivi stabilito, e che [X] è stata informata delle norme e dei regolamenti di legge applicabili da [Y] nonché del periodo massimo di conservazione dei dati personali ivi stabilito e il periodo massimo è ritenuto proporzionato e necessario in una società democratica, coerentemente con gli standard dell’UE”. Da ciò si evince che non soltanto sarà necessario osservare puntualmente i principi applicabili al trattamento di dati personali ma occorrerà implementare lo spirito di mutua collaborazione tra le autorità di controllo competenti.

Direttive in tema di misure di sicurezza e “data breach”

Anche per queste fattispecie, l’EDPB propone delle indicazioni, affermando che le parti debbano descrivere, in maniera specifica, quali misure di sicurezza siano adottate, in concreto, in relazione a ciascuna operazione di trasferimento transfrontaliero di dati: a tal fine, l’Allegato I del Toolbox elenca una serie di possibili misure di sicurezza tecniche e organizzative che possono essere adottate per garantire la conformità al GDPR, quali la pseudonimizzazione, la cifratura, misure che assicurino la riservatezza, integrità, disponibilità e resilienza continua dei sistemi e servizi di elaborazione.

Le parti sono, dunque, tenute a concordare che, nel caso concreto, le misure di sicurezza adottate da ciascuna di esse siano tanto conformi al GDPR quanto adeguate e proporzionate al trasferimento di dati posto in essere, oltre che alla tipologia, alla finalità e alla quantità di dati scambiati, per prevenire la distruzione, la perdita, l’alterazione, la divulgazione o l’accesso accidentali o illecito ai dati personali.

Ulteriori misure di sicurezza dovrebbero poi essere implementate laddove si renda necessario il trasferimento delle categorie particolari di dati personali di cui all’art. 9 del Regolamento. Difatti, sebbene l’EDPB vieti, come regola generale, che tali tipologie di dati possano essere oggetto di trasferimento per le finalità di cui all’accordo, al contrario ciò sarà possibile qualora il trattamento si renda necessario per la gestione dei reclami e/o per l’indagine su possibili violazioni delle norme sulla protezione dei dati e/o l’imposizione di eventuali misure correttive.

Laddove poi una parte apporti delle modifiche alle misure di sicurezza, tali da pregiudicare il livello di protezione dei dati personali offerto mediante l’accordo, l’EDPB dispone che quest’ultima sia tenuta a notificare all’altra la modifica, mantenendo aggiornate le informazioni contenute nell’Allegato I (che comprendono, come pare opportuno ricordare, le misure di sicurezza tecniche ed organizzative adottabili). In tal caso, la notifica dovrà essere effettuata almeno due mesi prima dall’effettiva entrata in vigore della sostituzione. Peraltro, nel caso in cui una delle parti venga a conoscenza di una violazione dei dati personali interessati dal trasferimento, avrà l’obbligo di informare l’altra senza indebito ritardo e, ove possibile, entro 24 ore, dovendo anche, quanto prima possibile, “utilizzare mezzi ragionevoli e appropriati per porre rimedio alla violazione dei dati personali e ridurre al minimo i potenziali effetti avversi”.

Il concetto di trasferimento secondario di dati personali

Assumono significativa rilevanza le clausole dell’accordo relative alla condivisione ed al trasferimento di dati personali secondario, ossia effettuato dall’Autorità ricevente (quindi dall’Autorità [Y]) a terze parti. La condivisione dei dati personali (“onward sharing” secondo la definizione fornita dalla clausola I, lett. e) ricorre quando l’Autorità [Y] condivide successivamente i dati personali con una terza parte all’interno del proprio Paese Terzo, coerentemente con l’accordo di cooperazione esecutiva. Qui l’EDPB chiarisce che la condivisione dei dati sarà lecita solo se subordinata alla preventiva autorizzazione scritta, e alla sottoscrizione, da parte del terzo, di un impegno a rispettare gli stessi principi di protezione dei dati e le stesse garanzie previste nell’accordo di cooperazione.

Mentre i dati potranno essere condivisi con terzi senza previa autorizzazione scritta e garanzie adeguate solo in casi eccezionali, ove necessario, ad esempio, per adempiere agli obblighi di legge applicabili a una delle parti o nell’ambito di procedimenti giudiziari, nei limiti in cui tale condivisione è finalizzata al perseguimento di importanti motivi di interesse pubblico, come riconosciuto nel Paese Terzo, nello Stato Membro o nell’Unione europea, o se la condivisione è imprescindibile per l’istituzione, l’esercizio o la difesa di rivendicazioni legali. In tali fattispecie, la parte che procede alla condivisione dei dati dovrà informare periodicamente le altre dell’accordo sulla natura dei dati personali di cui trattasi e sui soggetti “destinatari”, a patto che rendere tali informazioni non rischi di compromettere un’indagine in corso.

Il medesimo ragionamento può essere traslato in relazione al trasferimento successivo di dati verso terze parti collocate all’interno di Paesi Terzi (“onward transfer” secondo la definizione fornita dalla clausola I, lett. g): anche in questo caso, infatti, dovrà essere richiesta la preventiva autorizzazione scritta, e dovrà garantirsi che il trasferimento non provochi una contrazione dei diritti previsti dal GDPR.

Conclusioni

Lo strumento potrà determinare un considerevole impatto nel contesto della cooperazione internazionale, atteggiandosi come fonte agevolmente fruibile dalle Autorità, modellabile in base alle varie esigenze, con l’obiettivo di ridurre in termini ragguardevoli gli ostacoli che, purtroppo, spesso si frappongono tra gli Stati Membri e i Paesi Terzi nel percorso di cooperazione. Non bisogna, infatti, dimenticare che la promozione, di fatto concreta, dei principi contenuti nel GDPR integra il filo conduttore della tutela dei dati personali nel territorio europeo e transfrontaliero.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Social
Analisi
Video
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2