Home

Internal

Global

Contatto

Rödl & Partner ha prestato la propria consulenza per il perfezionamento dell'acquisizione del Gruppo italiano FGV da parte di Hettich |

In tutto il mondo

Utilizziamo cookie tecnici per personalizzare il sito web e offrire all’utente un servizio di maggior valore. Chiudendo il banner e continuando con la navigazione verranno installati nel Suo dispositivo i cookie tecnici necessari ai fini della navigazione nel Sito. L’installazione dei cookie tecnici non richiede alcun consenso da parte Sua. Ulteriori informazioni sono contenute nella nostra Cookie Policy.

Linee guida 04/2021 sui codici di condotta come strumenti per i trasferimenti

Ultimo aggiornamento del 6.04.2022 | Tempo di lettura ca. 7 minuti

The article is available also in English »

Il 22 febbraio 2022, il comitato europeo per la protezione dei dati ha adottato la versione 2.0 delle sue linee guida 04/2021 sui codici di condotta come strumenti per i trasferimenti.

La necessità di adottare un quadro europeo armonizzato sui codici di condotta come strumenti per i trasferimenti deriva dalla loro crescente rilevanza come mezzo per dimostrare la “responsabilizzazione” e come salvaguardia adeguata per i trasferimenti di dati personali.

Il GDPR prevede che "qualsiasi trasferimento di dati personali verso paesi terzi o organizzazioni internazionali ha luogo solo se le condizioni stabilite nel presente regolamento ai sensi degli articoli 44 e seguenti del GDPR sono rispettate dal titolare e dal responsabile del trattamento". In assenza di una decisione di adeguatezza, un titolare del trattamento o un responsabile del trattamento può trasferire dati personali a un paese terzo o a un'organizzazione internazionale solo se ci sono garanzie adeguate.

Ai sensi dell'articolo 46, paragrafo 2, del GDPR, tra le garanzie appropriate che non richiedono alcuna autorizzazione specifica da parte di un'autorità di controllo c'è anche la lettera e) ossia "un codice di condotta approvato a norma dell'articolo 40,unitamente all'impegno vincolante ed esecutivo da parte del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati".

Infatti ai sensi dell'art. 40, comma 3, del GDPR un "codice di condotta approvato e avente validità generale ai sensi del paragrafo 9 del presente articolo può essere rispettato anche dai titolari del trattamento o dai responsabili del trattamento che non sono soggetti al presente regolamento ai sensi dell'articolo 3 al fine di fornire garanzie adeguate nel quadro dei trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali".

A tal fine, tali titolari/responsabili del trattamento devono assumere impegni vincolanti ed esecutivi, vale a dire utilizzando un contratto o altri strumenti giuridicamente vincolanti, di cui siano in grado di dimostrare la natura vincolante ed esecutiva in conformità con l'UE e che siano vincolanti ed esecutivi per gli interessati come terzi beneficiari.

Queste linee guida integrano le linee guida EDPB 1/2019 su "codici di condotta e organismi di controllo ai sensi del regolamento 2016/679" e forniscono indicazioni pratiche sul contenuto di tali codici di condotta, sul loro processo di adozione con diagrammi di flusso e sugli attori coinvolti.

Gli attori coinvolti per la creazione di un codice di condotta da utilizzare come strumento di trasferimento e il loro ruolo sono i seguenti:

Un promotore del codice;
Un organo di controllo;
Autorità di vigilanza ("SA");
EDPB;
Commissione Europea.

Il promotore del codice è l'entità, un gruppo di aziende, un'associazione/federazione che rappresenta categorie di controllori/elaboratori coinvolti nello stesso settore o altro organismo che preparerà un codice di condotta o modificherà un "codice GDPR" approvato per utilizzarlo come strumento per i trasferimenti e lo presenterà all'autorità di controllo competente per l'approvazione.

Ai sensi dell'articolo 41 del GDPR, il promotore del codice identifica un organismo di monitoraggio come parte di un codice. Il ruolo di un organismo di controllo è quello di monitorare la conformità di un paese terzo partecipante al codice con le regole stabilite nel codice. Potrebbe essere situato all'interno o anche al di fuori del SEE con uno stabilimento nel SEE.

Un organismo di controllo nel SEE può subappaltare le sue attività ad un'entità esterna al di fuori del SEE, che agisce per suo conto a determinate condizioni (vale a dire che tale entità mantiene la stessa competenza ed esperienza richiesta, nonché dai requisiti di accreditamento, e che l'organismo di controllo del SEE è in grado di garantire un controllo efficace).

Tuttavia, il ricorso al subappalto non comporta la delega delle responsabilità. L'organismo di controllo prevede una clausola nel contratto con lo scopo di vincolare i subappaltatori alla riservatezza dei dati.

Inoltre, il ruolo della SA competente sarà quello di approvare il progetto di codice di condotta o le modifiche ad esso per utilizzarlo come strumento per i trasferimenti e di accreditare l'organismo di monitoraggio individuato come parte del codice di condotta.

Successivamente, l'EDPB sarà chiamato a fornire un parere sul progetto di decisione di una SA che mira ad approvare un codice di condotta destinato ai trasferimenti o una modifica di un codice di condotta per utilizzarlo anche come strumento per i trasferimenti. Infine, la Commissione può decidere, adottando un atto di esecuzione, che un codice destinato ai trasferimenti e approvato da una società di sorveglianza ha validità generale nell'Unione e può essere utilizzato per inquadrare i trasferimenti.

In termini di contenuto, come mezzo di garanzie adeguate ai sensi dell'articolo 46 del GDPR, gli elementi da affrontare sono: 1) principi essenziali, diritti e obblighi derivanti dal GDPR per i controllori/elaboratori e 2) garanzie specifiche dei trasferimenti (cioè la questione dei trasferimenti successivi, il conflitto di leggi nel paese terzo).

Il contratto o altro strumento dovrebbe affrontare:

Il diritto per gli interessati i cui dati sono trasferiti secondo il codice di condotta;
La clausola di giurisdizione con la quale gli interessati avranno la possibilità, in caso di violazione delle regole, di presentare un reclamo, invocando il loro diritto di terzo beneficiario, anche per il risarcimento;
Il diritto per l'esportatore di far valere contro il membro del codice che agisce come importatore le regole del codice come terzo beneficiario;
L'obbligo dell'importatore di notificare all'esportatore e alla SA dell'esportatore di dati qualsiasi violazione rilevata dallo stesso membro del codice al di fuori del SEE e qualsiasi misura correttiva adottata dall'organismo di controllo.

L'EDPB fornisce una chek-list di elementi da includere in un codice di condotta per i trasferimenti che dovrebbe includere quanto segue:

Una descrizione dei trasferimenti che devono essere coperti dal codice di condotta (natura dei dati trasferiti, categorie di persone interessate, paesi);
Una descrizione dei principi di protezione dei dati da rispettare ai sensi dell'articolo 5 del GDPR, comprese le regole sull'uso di processori o sub-processori e le regole sui trasferimenti successivi;
Misure in ottica del principio di responsabilizzazione da adottare ai sensi del codice;
La fornitura di un'adeguata governance della protezione dei dati attraverso i DPO o altro personale responsabile della privacy;
L'esistenza di un adeguato programma di formazione sugli obblighi derivanti dal codice;
L'esistenza di un audit sulla protezione dei dati (da parte di revisori interni o esterni) o altro meccanismo interno per il monitoraggio della conformità con il codice;
Misure di trasparenza, compreso un facile accesso, in particolare per quanto riguarda i diritti di terzi beneficiari;
La disposizione dei diritti degli interessati ai sensi degli articoli 12, 13, 14, 15, 16, 17, 18, 19, 21 e 22 del GDPR;
La creazione di diritti di terzi beneficiari per le persone interessate a far rispettare le norme del codice in qualità di terzi beneficiari (nonché la possibilità di presentare un reclamo dinanzi alla SA competente e ai tribunali del SEE);
Un adeguato processo di gestione dei reclami per le violazioni delle norme di protezione dei dati mantenuto dall'organismo di controllo può essere integrato con una procedura interna al membro del codice;
I meccanismi per trattare le modifiche al codice;
Le conseguenze del ritiro di un partecipante al codice;
Un impegno per il partecipante al codice e l'organismo di controllo a cooperare con le SCS del SEE;
Un impegno per il partecipante al codice ad accettare di essere soggetto alla giurisdizione delle autorità di sorveglianza del SEE in qualsiasi procedura volta a garantire il rispetto del codice di condotta e dei tribunali del SEE;
I criteri di selezione dell'organismo di controllo per un codice destinato ai trasferimenti, cioè dimostrare che l'organismo di controllo ha il livello di competenza richiesto per svolgere il suo ruolo in modo efficace.

Le presenti linee guida sono molto importanti per tutti i settori del mercato data l'ampia applicazione di tutti i codici di condotta che peraltro potrebbe rappresentare un mezzo per garantire la responsabilizzazione ai sensi del GDPR da parte del partecipante al codice e assicurare la conformità, in particolare, con gli obblighi per i trasferimenti di dati personali e al fine di fornire il livello di coerenza della protezione dei dati personali al di fuori del SEE secondo la sentenza Schrems II della CGUE.

Infatti, nell'ottica di assicurare un'adeguata salvaguardia come strumento di trasferimento, queste linee guida forniscono una check-list degli elementi che devono essere coperti da un codice di condotta destinato ai trasferimenti.

Autore:

Flavia Terenzi - Senior Associate