Hai sviluppato un’app che tratta dati personali?
Come vengono trattati queste informazioni?
Esistono delle linee guida da seguire per il trasferimento dei dati personali?
La risposta è sì! Ecco quali sono i punti chiave!
L’European Data Protection Board (EDPB) il 22 febbraio ha adottato una serie di linee guida sui codici di condotta, come strumento per il trasferimento dei dati personali da e verso l’Ue.
Ma partiamo dal principio:
Cosa sono i codici di condotta?
I codici di condotta hanno lo scopo di facilitare l’ottemperanza delle norme in materia di protezione dei dati personali da parte di un’intera categoria di titolari o responsabili.
Sono sostenuti dai Paesi membri dell’Unione europea, dalle Autorità di controllo e dalla Commissione europea, che contribuiscono alla corretta applicazione del regolamento. (Art. 40 GDPR)
A chi sono rivolti i codici di condotta?
I codici di condotta sono rivolti alle aziende europee.
Cosa contengono?
Il GDPR, agli artt 40 e 41, fa riferimento dei codici di condotta
“Oltre all’adesione ai codici di condotta [..] da parte di titolari o responsabili soggetti al presente regolamento, possono aderire a tali codici di condotta anche i titolari del trattamento o i responsabili del trattamento che non sono soggetti al presente regolamento [..], al fine di fornire adeguate garanzie nel quadro dei trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali [..].” (Art. 40 GDPR)
Le linee guida, in questo caso, spiegano in particolare i comportamenti legali e le disposizioni contenute negli articoli legati ai trasferimenti transfrontalieri.
Vengono innanzitutto indicate le parti coinvolte:
- l’esportatore dei dati (azienda UE)
- l’importatore dei dati (azienda in un paese terzo)
Sulla base delle situazioni da affrontare tali codici di condotta risultano utili in quanto riportano le indicazioni di come agire nel trasferimento dei dati verso paesi terzi.
Come deve avvenire il trasferimento?
Al fine che il trasferimento avvenga in modo conforme all’art 40.3 GDPR, l’esportatore non è obbligato ad aderire al codice di condotta. L’EDPB (European Data Protection Board) indica infatti la possibilità di trasferire i dati sulla base dell’adesione ad un codice di condotta da parte dell’importatore del dato, senza la necessità che l’esportatore aderisca al medesimo o ad un altro analogo. Viene però fortemente suggerito l’uso di questi codici di condotta, in quanto preferibili alle soluzioni contrattuali, come le clausole standard.
Come saranno nel futuro?
Il percorso effettuato per arrivare ad approvare i codici di condotta per i player europei è durato anni, sicuramente però, appariranno sempre di più come uno strumento utile a catturare l’attenzione anche di altri soggetti, come ad esempio quelli operanti nel settore cloud.
Numerose saranno infatti le problematiche che si dovranno affrontare, è infatti impensabile pensare che il codice di condotta possa approfondire le normative privacy di ogni paese degli aderenti extra-UE.
Esistono altre forme di autorizzazione per il trasferimento dei dati?
La legittimazione al trasferimento può derivare inoltre:
- da decisioni di adeguatezza come quelle emanate per Andorra, Argentina, Canada, Isole Faroe, Baliato di Guernsey, Israele, Isola di Man, Giappone, Jersey, Nuova Zelanda, Corea del Sud, Svizzera, Regno Unito ed Uruguay);
- da clausole contrattuali standard;
- dal possesso di idonee certificazioni da parte del soggetto verso cui si trasferiscono i dati ai sensi dell’art. 42 GDPR;
- dalla presenza di norme vincolanti di impresa che si applichino al soggetto che trasferisce ed a quello a cui vengono trasferiti i dati;
