L’EDPB chiarisce le regole sul corretto utilizzo dei codici di condotta per il trasferimento dei dati extra Unione Europea. Infatti, responsabili e incaricati del trattamento non soggetti al GDPR possono servirsi di tali codici per dare garanzie sul trasferimento dei dati al di fuori dell’UE. Come e quando si può fare è stato definito nelle linee guida sui codici di condotta come tool per i trasferimenti, adottate dall’EDPB durante la sua ultima sessione plenaria. Il documento con tutti i dettagli non è ancora stato reso disponibile, come indicato sul sito dell’autorità.
La sessione plenaria è stata anche l’occasione per prendere decisioni anche su altri fronti, come sciogliere la taskforce su TikTok.
Indice degli argomenti
Linee guida EDPB sui codici di condotta, perché sono necessarie
Relativamente al framework normativo, l’obiettivo delle linee guida sull’utilizzo dei codici di condotta come strumenti per il trasferimento, è fare chiarezza sull’applicazione degli articoli 40 (3) e 46 (2) (e) del GDPR, che appunto si concentrano sulla possibilità di usare i codici di condotta come garanzia nell’ambito di trasferimenti di dati extra UE.
Gli articoli di riferimento del regolamento spiegano che qualora il codice di condotta venga approvato da una supervisory authority competente e sia validato dalla Commissione, possa essere adottato e usato anche da soggetti (responsabili o incaricati del trattamento) non soggetti al GDPR. Questo al fine di fornire garanzie rispetto al trasferimento di dati verso Paesi extra UE. Ora l’EDPB ha adottato le linee guida che offrono un quadro di riferimento pratico in proposito. Il documento integra le già esistenti linee guida EDPB 1/2019 che spiegano in generale le regole per adottare i codici di condotta e “rappresenta un ulteriore tassello del processo di adeguamento degli strumenti di soft law ai principi contenuti nella nota sentenza Schrems II, che ha reso necessario determinare con maggior precisione quali possano essere gli strumenti idonee a costituire garanzie adeguate al trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, ai sensi di quanto indicato nell’art. 46 GDPR”, spiega l’avvocato Marina Carbone.
Codici di condotta, post GDPR: contenuti e benefici di questi strumenti di auto-regolamentazione
L’impatto della sentenza Schrems II
In seguito alla sentenza Schrems II infatti “abbiamo già avuto modo, infatti, di vedere come le Autorità Europee abbiano, a seguito della citata sentenza, provveduto a definire anche nuove clausole contrattuali standard e ulteriori linee guida che potessero aiutare i titolari e i responsabili del trattamento nel processo di assessment della conformità dei trattamenti posti in essere (specialmente verso gli USA) e delle modalità di trasferimento dei dati personali, preservando la continuità operativa e, allo stesso tempo, salvaguardando i dati trattati e i diritti degli interessati, in assenza di decisioni di adeguatezza o di strumenti come il Privacy Shield – prosegue Carbone -. I codici di condotta, in particolare, come indicato anche dallo stesso EDPB all’interno delle citate Linee Guida 01/2019, costituiscono uno dei più efficaci strumenti di responsabilizzazione, in quanto non solo forniscono degli standard dettagliati di quali siano i comportamenti più appropriati da adottare, in termini giuridici ed etici, con riguardo a un determinato settore, ma, sotto il profilo della tutela dei dati personali, costituiscono anche preziosi decaloghi per la progettazione e lo svolgimento delle attività di trattamento in modo pienamente conforme al regolamento, conferendo un significato operativo ai principi di protezione dei dati stabiliti dalla legislazione europea e nazionale”.
L’utilità dei codici di condotta
I codici di condotta rappresentano anche “una preziosa opportunità per definire standard e regole dettagliati ed eterogenei che siano coerenti con le necessità e le specificità, in materia di trattamento di dati personale, di uno specifico settore. Inoltre, poiché tengono conto anche delle esigenze e delle capacità economico-organizzative delle piccole e medie imprese, oltre che delle microimprese, rappresentano, fra le garanzie indicate all’interno dell’art. 46, il principale strumento di conformità applicabile da queste per i trasferimenti di dati personali verso Paesi terzi, in quanto permettono non solo di rispettare le norme privacy in modo più economico, ma risolvono anche gli squilibri di potere che troppo spesso le PMI incontrano nel processo di definizione dei contratti di fornitura di servizi e prodotti da parte di società site in Paesi Terzi”, precisa Carbone.
Le linee guida su assistenti virtuali e “controllore e processore”
Non si tratta dell’unico tema trattato dall’EDPB nel corso della sessione plenaria. L’autorità ha adottato anche la versione definitiva delle linee guida sugli assistenti vocali virtuali, integrate dopo la consultazione pubblica, con l’obiettivo di fornire indicazioni agli interessati su come gestire aspetti di compliance per questo ambito.
Adottata anche la versione definitiva delle linee guida sui concetti di “controllore e processore”, che includono aggiornamenti e chiarimenti in seguito ai feedback ottenuti nella consultazione pubblica.
EDPB, il caso TikTok
L’EDPB ha deciso inoltre di sciogliere la Taskforce TikTok, team che era stato creato come organismo di coordinamento nel caso di eventuali azioni delle autorità di vigilanza e per avere il quadro completo del trattamento dati da parte del social in UE. Una scelta che era stata attuata dall’EDPB in quanto TikTok non aveva una sede europea: ora il social si è stabilito in Irlanda, quindi l’autorità irlandese è stata designata come responsabile dei dossier relativi alla piattaforma. Si applicherà la procedura one-stop-shop: le autorità che erano coinvolte nella task force
Di conseguenza, le autorità di controllo coinvolte nella task force “utilizzeranno gli strumenti designati nell’ambito del meccanismo di cooperazione, tenendo conto anche dell’articolo 64, paragrafo 2, del GDPR e del parere 8/2019 dell’EDPB sulla competenza di un’autorità di controllo in caso di cambiamento delle circostanze relative allo stabilimento principale o unico”, spiega l’EDPB in una comunicazione ufficiale, ricordando inoltre che “le autorità di vigilanza avranno l’opportunità di tenere discussioni sulla questione, all’interno dell’EDPB, e in particolare all’interno del suo sottogruppo di esperti in materia di esecuzione.
È importante notare che l’EDPB può agire solo nel caso in cui venga attivato il meccanismo di coerenza di cui all’articolo 63 del GDPR”.
La decisione dell’autorità italiana
In questo contesto, relativamente alla piattaforma TikTok, spicca la decisione della supervisory authority italiana, relativamente al fatto di non aver più bisogno di una decisione urgente dell’EDPB “dopo aver emesso misure provvisorie ai sensi dell’articolo 66(1) GDPR, e aver ricevuto garanzie da TikTok sulla loro applicazione, compresi gli impegni che quest’ultima ha assunto in merito alle sue attività di trattamento”.
TikTok, dal Garante privacy nuove misure per tener lontani gli under 13
I prossimi passi EDPB: il coordinamento sul cloud
L’EDPB ha anche stabilito che la propria prima azione coordinata, attività che segue la decisione dell’ottobre 2020 di istituire un quadro di applicazione coordinata, riguarderà “l’uso di servizi basati su cloud da parte di enti pubblici e ora si lavorerà ulteriormente per specificare i dettagli e la portata nei prossimi mesi”, spiega l’ente nel proprio comunicato.
