L’EDPB ha adottato, nei giorni scorsi, un documento finalizzato, ai sensi dell’art. 50 lett. a) e 70 lett. u) GDPR, a favorire lo scambio di dati e informazioni fra le autorità di controllo internazionali.
Si tratta di un toolbox (“cassetta degli attrezzi”) utile a questo scopo.
Le norme richiamate, infatti, prevedono che, al fine di garantire una sicura cooperazione internazionale per la protezione dei dati personali, la Commissione e le autorità di controllo adottino misure appropriate per sviluppare meccanismi di cooperazione che facilitino l’applicazione della legislazione europea sulla protezione dei dati personali.
Tale finalità è raggiunta mediante delle prassi di natura contrattuale che gestiscono il flusso di dati fra le autorità di controllo sia a livello bilaterale che multilaterale. Proprio queste prassi sono formalizzate nel documento elaborato dall’EDPB, il cui contenuto si andrà sinteticamente ad analizzare nel prosieguo.
Dark pattern e dati personali: ecco le linee guida EDPB per il legal design dei social (e non solo)
Indice degli argomenti
Lo scopo del documento EDPB, il toolbox
Nelle premesse del documento, l’EDPB afferma che il pacchetto di strumenti delineato nel documento in esame si colloca, come anticipato, nel contesto delineato dall’art. 50 GDPR, precedentemente citato, relativo alla cooperazione internazionale con le autorità competenti per la protezione dei dati dei paesi terzi. Si tratta di una serie di strumenti e di garanzie essenziali, in materia di protezione dei dati personali, da inserire all’interno degli accordi di cooperazione esecutiva fra autorità (enforcement cooperation agreement o ECA), o da integrare agli stessi come allegati.
“Tali garanzie”, continua l’EDPB, “possono essere previste in un accordo amministrativo o in un accordo internazionale. La loro formulazione dovrà essere adattata di conseguenza, a seconda che lo strumento sviluppato sia un accordo amministrativo o un accordo internazionale e delle circostanze specifiche dei trasferimenti da definire. Come ricordato negli orientamenti 2/2020 dell’EDPB relativi all’articolo 46, 2, lettera a) e all’articolo 46, 3, lettera b), del GDPR, negli accordi amministrativi devono essere adottate misure specifiche per garantire diritti individuali effettivi, di risarcimento e controllo, preferibilmente attraverso la prestazione di garanzie da parte della parte ricevente, che il suo diritto interno prevede già le garanzie essenziali [previste dal GDPR]. Gli accordi internazionali possono stabilire garanzie direttamente nell’ambito dell’accordo internazionale o basarsi su elementi già esistenti nel diritto nazionale di un paese terzo”.
Cosa dice il Comitato
Il documento elaborato dall’EDPB si struttura come un fac-simile, contenente parti modificabili e sezioni evidenziate in grigio o in blu, destinate a regolare, rispettivamente, gli accordi amministrativi e gli accordi internazionali. Nella sezione dedicata alle finalità del documento, le parti, in primo luogo, confermano di:
- avere l’autorità di agire in modo coerente con i termini previsti nell’accordo e “di non avere motivo di ritenere che i requisiti giuridici applicabili esistenti impediscano loro di farlo”;
- poter rispettare pienamente le garanzie stabilite nell’accordo sulla base dei requisiti giuridici applicabili, fornendo garanzie sufficienti per proteggere i Dati personali “attraverso una combinazione di leggi, regolamenti e le proprie politiche e procedure interne”.
Vengono poi richiamati integralmente i principi previsti dal GDPR per il corretto trattamento dei dati, facendo richiamo espresso ai compiti istituzionali che sono demandati alle autorità di controllo ed alla necessità di condividere dati ed informazioni al fine di svolgere le dovute attività investigative o azionare dei procedimenti innanzi alle corti competenti.
Gli obblighi di informazione tra le autorità
Il documento prevede anche l’insorgenza di obblighi di informazione tra le autorità, come l’obbligo di informare l’altra parte nel caso in cui si rilevi che alcune delle informazioni trasmesse o ricevute sia inaccurate (perché errate o datate), o necessitino di essere aggiornate. Il rapporto tra le autorità deve, inoltre, essere trasparente: si richiede, infatti, la pubblicazione dell’accordo di cooperazione siglato sul sito web istituzionale di tutte le parti coinvolte nell’accordo, con obbligo di fornire agli interessati le dovute informazioni connesse al trasferimento ed al conseguente trattamento dei loro dati personali. In particolare, l’informativa dovrà indicare:
- come e perché può trattare e trasferire i Dati Personali;
- il tipo di organizzazioni a cui tali dati possono essere trasferiti;
- i diritti riconosciuti agli interessati ai sensi delle normative applicabili, comprese le modalità di esercizio di tali diritti;
- i casi in cui possono esserci delle restrizioni all’esercizio di tali diritti, comprese le restrizioni che si applicano in caso di trasferimenti di Dati personali;
- i dettagli di contatto per l’invio di una contestazione o di un reclamo.
Le misure di sicurezza
Si richiede, poi, alle parti dell’accordo di fornire delle informazioni che riguardino anche le misure tecniche ed organizzative applicate al trattamento, ai sensi di quanto previsto dal GDPR; dette misure di sicurezza dovranno essere adeguate a tutelare i dati da eventi di rischio accidentali o illeciti, che comportino la distruzione, la perdita, l’alterazione, la diffusione o l’accesso ai dati personali al di fuori delle ipotesi consentite.
L’eventuale modifica delle misure tecniche ed organizzative di sicurezza dovrà essere immediatamente resa nota alle altre parti dell’accordo, con conseguente aggiornamento del contenuto dello stesso: all’interno dell’allegato 1, in particolare, si richiede di rendere una descrizione proprio delle misure di salvaguardia applicate ai dati, che devono essere sempre coerenti e aggiornate. Oltre alla descrizione delle misure di sicurezza, l’accordo dovrà includere anche una reciproca descrizione delle “leggi e/o delle norme applicabili in materia di riservatezza e delle conseguenze derivanti da qualsiasi divulgazione illecita di informazioni non pubbliche o riservate o sospette violazioni di tali leggi e/o norme”.
Nel caso in cui un’autorità venga a conoscenza di una violazione dei dati personali che interessa i dati personali trasferiti ai sensi dell’accordo di cooperazione, informerà l’altra autorità competente senza indebito ritardo e, ove possibile, entro 24 ore dalla data in cui è venuta a conoscenza della violazione che riguarda tali dati personali. “L’autorità competente notificante deve inoltre, quanto prima possibile, utilizzare mezzi ragionevoli e appropriati per porre rimedio alla violazione dei dati personali e ridurre al minimo i potenziali effetti avversi”. Non solo: le parti dovranno anche comunicare il breach agli interessati, senza indebito ritardo, nel caso in cui la violazione possa comportare un elevato rischio per i loro diritti e libertà individuali. All’interno dell’accordo, poi, dovranno essere specificate le modalità di esercizio dei diritti da parte degli interessati, secondo quanto previsto dal GDPR.
Il trattamento di dati particolari
Nella bozza di accordo, si specifica poi che, con riferimento alle categorie particolari di dati personali, queste non saranno oggetto di trasferimento, a meno che non “siano necessarie per gestire i reclami, indagare su possibili violazioni delle norme sulla protezione dei dati e imporre misure correttive ove necessario”. In tal caso, le parti che trattano i dati dovranno applicare garanzie più rigorose, da determinare caso per caso, “quali, ad esempio, restrizioni di accesso, restrizioni delle finalità per le quali le informazioni possono essere trattate, restrizioni sui trasferimenti successivi o garanzie specifiche, ad esempio misure di sicurezza aggiuntive, che richiedono una formazione specializzata per il personale autorizzato ad accedere alle informazioni.”
Condivisione e trasferimento secondario di dati
Nel caso in cui una delle parti intenda condividere i Dati personali con altre parti terze, specificamente identificate, la condivisione dei dati sarà subordinata alla preventiva autorizzazione scritta, e alla sottoscrizione, da parte del terzo, di un impegno a rispettare gli stessi principi di protezione dei dati e le stesse garanzie previste nell’accordo di cooperazione. La richiesta di autorizzazione dovrà contenere un’indicazione del tipo di dati personali che intende condividere e i motivi e le finalità per i quali intende condividere gli stessi.
I dati potranno essere condivisi con terzi senza previa autorizzazione scritta e garanzie adeguate in casi eccezionali , ove necessario per adempiere agli obblighi giuridici applicabili a una delle parti o nell’ambito di procedimenti giudiziari, nei limiti in cui tale condivisione è finalizzata al perseguimento di importanti motivi di interesse pubblico, come riconosciuto nel paese terzo, nello Stato Membro o nell’Unione europea, o se la condivisione è necessaria per l’istituzione, l’esercizio o la difesa di rivendicazioni legali. In tali casi, la parte che procede alla condivisione dei dati informerà periodicamente le altre parti dell’accordo sulla natura dei dati personali condivisi e sui soggetti cui sono condivisi, se rendere tali informazioni non rischia di compromettere un’indagine in corso.
Quanto detto vale anche per il trasferimento successivo di dati verso terze parti collocate all’interno di paesi terzi: anche in questo caso, infatti, dovrà essere richiesta la preventiva autorizzazione scritta, e dovrà garantirsi che il trasferimento non provochi una contrazione dei diritti previsti dal GDPR.
