L’European Data Protection Board (EDPB) ha pubblicato le Linee guida sulla certificazione come strumento di trasferimento di dati personali.
Lo scopo principale di queste linee guida è quello di fornire ulteriori chiarimenti sull’uso pratico di questo strumento di trasferimento.
Le linee guida sono composte da quattro parti, ognuna delle quali si concentra su aspetti specifici riguardanti la certificazione come strumento per i trasferimenti.
Le linee guida integrano le linee guida 1/2018 sulla certificazione, che forniscono indicazioni più generali sulla certificazione.
In particolare, l’articolo 46 del GDPR prevede che gli esportatori di dati adottino garanzie adeguate per i trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali.
A tal fine, il GDPR diversifica le garanzie appropriate che possono essere utilizzate dagli esportatori di dati ai sensi dell’articolo 46 per inquadrare i trasferimenti verso Paesi terzi, introducendo, tra l’altro, la certificazione come nuovo meccanismo di trasferimento (articolo 42 (2) e articolo 46 (2) (f) GDPR).
Le presenti linee guida forniscono indicazioni sull‘applicazione dell’articolo 46 (2) (f) del GDPR sui trasferimenti di dati personali a Paesi terzi o a organizzazioni internazionali sulla base di una certificazione.
Il documento è strutturato in quattro sezioni e un allegato.
L’EDPB evidenzia che, come primo passo, deve essere garantita la conformità alle disposizioni generali del GDPR e, come secondo passo, devono essere rispettate le disposizioni del Capitolo V del GDPR.
Vengono descritti gli attori coinvolti e i loro ruoli principali in questo contesto, con particolare attenzione al ruolo dell’importatore di dati che otterrà la certificazione e dell’esportatore di dati che la utilizzerà come strumento per inquadrare i propri trasferimenti (considerando che la responsabilità della conformità del trattamento dei dati rimane in capo all’esportatore).
In questo contesto, la certificazione può anche includere misure che integrano gli strumenti di trasferimento per garantire la conformità al livello di protezione dei dati personali dell’UE.
La prima parte delle linee guida contiene anche informazioni sul processo per ottenere una certificazione da utilizzare come strumento per i trasferimenti.