Trasferimento dei dati personali oltre i confini europei. Indicazioni operative.
-
- 16 Settembre 2024
Premessa
Il Regolamento europeo sulla protezione dei dati (di seguito, “GDPR”) dell’UE è stato adottato per un duplice scopo: agevolare la libera circolazione dei dati personali all’interno dell’UE preservando al contempo i diritti e le libertà fondamentali delle persone.
La protezione garantita nello Spazio Economico Europe (di seguito, “SEE”) deve valere anche qualora i dati personali siano trasmessi verso paesi terzi; la protezione non deve essere identica ma equivalente.
Il titolare (i.e., ente o azienda), in qualità di esportatore dei dati, ha la responsabilità di verificare caso per caso se il diritto o la prassi del paese terzo incide sull’efficacia delle garanzie adeguate contenute negli strumenti di trasferimento.
I casi relativi al trasferimento dei dati personali verso paesi terzi si verificano, per quanto attiene le aziende sanitarie, prevalentemente riguardo alla conduzione di Protocolli di Studio e, seppure in maniera residuale, e alla stipula di convenzioni/contratti relativamente alla fornitura di dispositivi SW e HW da parte di fornitori con sede in Paesi terzi.
Invece, le aziende trasferiscono dati personali all’estero, soprattutto, attraverso la stipula di contratti/accordi.
Di conseguenza, si rende necessario, al fine di uniformare le condotte ed al contempo di assicurare il rispetto del principio di accountability, individuare delle indicazioni operative il cui espletamento è demandato – n misura prevalente e prioritaria – all’Ufficio Privacy, al Privacy Manager (se nominato) e al Responsabile della Protezione dei Dati (RPD/DPO), che sarà coinvolto dal titolare del trattamento affinché esprima un pare di conformità alla vigente normativa di settore..
I trasferimenti di dati personali fuori dai confini europei nel GDPR: le finalità del legislatore
La necessità, in capo al titolare del trattamento di verificare la legittimità di un trasferimento di dati da un territorio a un altro è illustrata nel considerando 101 del GDPR che afferma in particolare che “i flussi di dati personali verso e da paesi al di fuori dell’Unione e organizzazioni internazionali sono necessari per l’espansione del commercio internazionale e della cooperazione internazionale. L’aumento di tali flussi ha posto nuove sfide e problemi riguardanti la protezione dei dati personali. È opportuno però che, quando i dati personali sono trasferiti dall’Unione a titolari del trattamento e responsabili del trattamento o altri destinatari in paesi terzi o a organizzazioni internazionali, il livello di tutela delle persone fisiche assicurato nell’Unione dal presente regolamento non sia compromesso, anche nei casi di trasferimenti successivi dei dati personali dal paese terzo o dall’organizzazione internazionale verso titolari del trattamento e responsabili del trattamento nello stesso o in un altro paese terzo o presso un’altra organizzazione internazionale. In ogni caso, i trasferimenti verso paesi terzi e organizzazioni internazionali potrebbero essere effettuati soltanto nel pieno rispetto del presente regolamento. Il trasferimento potrebbe aver luogo soltanto se, fatte salve le altre disposizioni del presente regolamento, il titolare del trattamento o il responsabile del trattamento rispetta le condizioni stabilite dalle disposizioni del presente regolamento in relazione al trasferimento di dati personali verso paesi terzi o organizzazioni internazionali”.
La preoccupazione del legislatore europeo, quindi, è quella di continuare a salvaguardare i diritti e le libertà fondamentali delle persone fisiche anche nel momento in cui i loro dati si spostano oltre i confini europei.
Lo spirito del legislatore comunitario è quello di costituire un baluardo sostanziale a tutela dei diritti e delle libertà fondamentali delle persone fisiche.
I presupposti di legittimità dei trasferimenti extra SEE
- Come sappiamo, secondo il GDPR i trasferimenti di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo (SEE, ossia UE + Norvegia, Liechtenstein, Islanda) o verso un’organizzazione internazionale sono consentiti se l’adeguatezza del Paese terzo o dell’organizzazione sia stata riconosciuta tramite decisione della Commissione europea (art. 45 del Regolamento UE 2016/679)[1].
- In assenza di tale decisione, il trasferimento è consentito solo qualora il titolare o il responsabile del trattamento forniscano garanzie adeguate che prevedano quindi diritti azionabili e mezzi di ricorso effettivi per gli interessati (art. 46 del Regolamento UE 2016/679).
Al riguardo, possono costituire garanzie adeguate, senza dovere chiedere l’autorizzazione al Garante:
– gli strumenti giuridici vincolanti ed esecutivi tra soggetti pubblici (art. 46, par. 2, lett. a)[2];
– le norme vincolanti d’impresa (art. 46, par. 2, lett. b)[3];
– le clausole tipo (art. 46, par. 2, lett. c[4] e lett. d)[5];
– i codici di condotta (art. 46, par. 2, lett. e)[6];
– i meccanismi di certificazione (art. 46, par. 2, lett. f)[7].
– le clausole contrattuali ad hoc (art. 46, par. 3, lett. a)[8];
– gli accordi amministrativi tra autorità o organismi pubblici (art. 46, par. 3, lett. b)[9]. - In assenza di ogni altro presupposto (rif. punti: 1, 2, 2.1 e 2.2), è possibile trasferire i dati personali in base ad alcune deroghe:
– consenso,
– contratto
– interesse pubblic
– difesa in giudizio
– interesse vitale
– registro pubblico
– cogente interesse legittimo del titolare
che secondo l’art. 49 del Regolamento UE 2016/679 si verificano in specifiche situazioni.
Tali deroghe vanno, quindi, considerate residuali e occasionali, secondo quanto precisato nel considerando 111, laddove si afferma testualmente che “è opportuno prevedere la possibilità di trasferire dati in alcune circostanze se l’interessato ha esplicitamente acconsentito, se il trasferimento è occasionale e necessario in relazione a un contratto o un’azione legale, che sia in sede giudiziale, amministrativa o stragiudiziale, compresi i procedimenti dinanzi alle autorità di regolamentazione. È altresì opportuno prevedere la possibilità di trasferire dati se sussistono motivi di rilevante interesse pubblico previsti dal diritto dell’Unione o degli Stati membri o se i dati sono trasferiti da un registro stabilito per legge e destinato a essere consultato dal pubblico o dalle persone aventi un legittimo interesse. In quest’ultimo caso, il trasferimento non dovrebbe riguardare la totalità dei dati personali o delle categorie di dati contenuti nel registro; inoltre, quando il registro è destinato a essere consultato dalle persone aventi un legittimo interesse, i dati possono essere trasferiti soltanto se tali persone lo richiedono o ne sono destinatarie, tenendo pienamente conto degli interessi e dei diritti fondamentali dell’interessato”.
Pertanto, se la decisione di adeguatezza della Commissione consente all’esportatore di dati di muoversi nelle sue valutazioni come se si fosse all’interno dello Spazio economico Europeo, in assenza di tale decisione di adeguatezza occorre svolgere una serie di analisi supplementari, pur muovendosi nell’ambito delle garanzie ritenute adeguate dal GDPR.
Tale impostazione interpretativa trova pieno riscontro nella lettura del considerando 104 del GDPR laddove si precisa che “in linea con i valori fondamentali su cui è fondata l’Unione, in particolare la tutela dei diritti dell’uomo, è opportuno che la Commissione, nella sua valutazione del paese terzo, o di un territorio o di un settore specifico all’interno di un paese terzo, tenga conto del modo in cui tale paese rispetta lo stato di diritto, l’accesso alla giustizia e le norme e gli standard internazionali in materia di diritti dell’uomo, nonché la legislazione generale e settoriale riguardante segnatamente la sicurezza pubblica, la difesa e la sicurezza nazionale, come pure l’ordine pubblico e il diritto penale. L’adozione di una decisione di adeguatezza nei confronti di un territorio o di un settore specifico all’interno di un paese terzo dovrebbe prendere in considerazione criteri chiari e obiettivi come specifiche attività di trattamento e l’ambito di applicazione delle norme giuridiche e degli atti legislativi applicabili in vigore nel paese terzo. Il paese terzo dovrebbe offrire garanzie di un adeguato livello di protezione sostanzialmente equivalente a quello assicurato all’interno dell’Unione, segnatamente quando i dati personali sono trattati in uno o più settori specifici. In particolare, il paese terzo dovrebbe assicurare un effettivo controllo indipendente della protezione dei dati e dovrebbe prevedere meccanismi di cooperazione con autorità di protezione dei dati degli Stati membri e agli interessati dovrebbero essere riconosciuti diritti effettivi e azionabili e un mezzo di ricorso effettivo in sede amministrativa e giudiziale”.
In poche parole, laddove questa puntuale valutazione di adeguatezza non sia stata fatta dalla Commissione, devono essere i titolari e i responsabili del trattamento a provvedere direttamente a compensare tale carenza di protezione dei dati personali in un paese terzo attraverso l’utilizzo di adeguate garanzie a tutela dell’interessato.
Adempimenti a carico dell’Ufficio Privacy.
Il titolare per il tramite dell’Ufficio Privacy e del Privacy Manager deve compiere una serie di adempimenti per potere trasferire legalmente i dati al di fuori del SEE[10].
I. Mappare i trasferimenti di dati personali in Paesi terzi.
Mappare e registrare tutti i trasferimenti (nel registro dei trattamenti), individuando anche la presenza di Contitolari/Responsabili. L’EDPB consiglia a chi esporta dati personali, di conoscere in dettaglio le modalità con le quali avvengono i trasferimenti. La mappatura di tutti i trasferimenti di dati personali verso paesi terzi può essere un esercizio difficile. Essere consapevoli della destinazione dei dati personali è tuttavia necessario per garantire un livello di protezione sostanzialmente equivalente in tutti i luoghi in cui vengono trattati. Occorre, inoltre, verificare che i dati trasferiti siano adeguati, pertinenti e limitati a quanto necessario in relazione alle finalità per le quali vengono trattati
II. Individuare gli strumenti di trasferimento su cui viene fatto affidamento
Qualora la Commissione europea abbia già dichiarato il paese, la regione o il settore verso cui vengono trasferiti i dati come adeguato, attraverso una decisione di adeguatezza ai sensi dell’articolo 45 del RGPD o della precedente direttiva 95/46 fintanto che la decisione è ancora in vigore, non occorre adottare ulteriori misure, se non controllare che la decisione di adeguatezza sia ancora valida. In assenza di una decisione di adeguatezza, va fatto affidamento su uno degli strumenti di trasferimento elencati all’articolo 46 del RGPD. Solo in alcuni casi sarà possibile basarsi su una delle deroghe previste dall’articolo 49 del RGPD, se le condizioni sono soddisfatte. Le deroghe non possono però diventare «la norma» nella pratica, ma devono essere limitate a situazioni specifiche.
III. Valutare se lo strumento di trasferimento di cui all’art. 46 GDPR su cui si fa affidamento è efficace alla luce di tutte le circostanze del trasferimento
Occorre valutare se vi sia qualcosa nella legislazione e/o nelle prassi vigenti del paese terzo che possa incidere sull’efficacia delle garanzie adeguate offerte dagli strumenti di trasferimento su cui è fatto affidamento, nel contesto dello specifico trasferimento. La valutazione deve concentrarsi innanzitutto sulla legislazione del paese terzo rilevante per il trasferimento e sullo strumento di trasferimento ai sensi dell’articolo 46 del RGPD su cui è fatto affidamento. Inoltre, l’esame delle prassi delle autorità pubbliche di paesi terzi permetterà al titolare del trattamento di verificare se le garanzie contenute nello strumento di trasferimento possano assicurare, nella pratica, la protezione efficace dei dati personali trasferiti. L’esame di queste prassi sarà particolarmente pertinente per la valutazione nel caso in cui:
(i.) sia evidente che la legislazione del paese terzo, formalmente conforme agli standard dell’UE, non è applicata/rispettata nella pratica;
(ii.) esistano prassi incompatibili con gli impegni previsti dallo strumento di trasferimento qualora la legislazione pertinente del paese terzo sia carente;
(iii.) i dati trasferiti e/o l’importatore rientrino o possano rientrare nell’ambito di applicazione di una legislazione problematica (cioè una legislazione che pregiudica la garanzia contrattuale, prevista dallo strumento di trasferimento, di un livello di protezione sostanzialmente equivalente e non osserva le norme dell’UE in materia di diritti fondamentali, necessità e proporzionalità).
Nelle prime due situazioni, bisogna sospendere il trasferimento oppure mettere in atto misure supplementari adeguate se desiderate procedere con il trasferimento. Nella terza situazione, considerando le incertezze relative alla potenziale applicazione al trasferimento di una legislazione problematica, va deciso di:
– sospendere il trasferimento; mettere in atto misure supplementari per procedere con il trasferimento; o,
– in alternativa, qualora si ritiene e si è in grado di dimostrare e documentare di non avere motivo di credere che la legislazione problematica in questione verrà interpretata e/o attuata nella pratica in modo da riguardare i dati trasferiti e l’importatore, si può scegliere di procedere con il trasferimento senza mettere in atto misure supplementari. Per definire gli elementi da prendere in considerazione nella valutazione della legislazione di un paese terzo che disciplina l’accesso ai dati da parte delle autorità pubbliche ai fini della sorveglianza, è opportuno fare riferimento alle raccomandazioni dell’EDPB relative alle garanzie essenziali europee. Questa valutazione va condotta con la dovuta diligenza e documentata accuratamente. Le autorità di controllo e/o giudiziarie competenti potrebbero richiederla e ritenere il titolare e/o il responsabile del trattamento responsabili di qualsiasi decisione presa su tale base.
IV. Adottare misure supplementari
Se la valutazione degli strumenti di trasferimento (art. 46 GDPR) non è efficace, si deve considerare l’eventuale esistenza di misure supplementari che, aggiunte alle garanzie contenute negli strumenti di trasferimento, potrebbero garantire che i dati trasferiti godano, nel paese terzo, di un livello di protezione sostanzialmente equivalente a quello garantito all’interno della UE
Questa misura è necessaria solo se la valutazione condotta rivela che la legislazione e/o le prassi del paese terzo incidono sull’efficacia dello strumento di trasferimento ai sensi dell’articolo 46 del RGPD su cui è fatto affidamento o su cui si intende fare affidamento nel contesto del trasferimento. Le raccomandazioni dell’EDPB contengono (nell’allegato 2) un elenco non esaustivo di esempi di misure supplementari con alcune delle condizioni eventualmente richieste per essere efficaci. Come nel caso delle garanzie adeguate contenute negli strumenti di trasferimento di cui all’articolo 46, alcune misure supplementari possono essere efficaci in alcuni paesi, ma non necessariamente in altri. Il titolare e/o il responsabile del trattamento saranno responsabili della valutazione della loro efficacia nel contesto del trasferimento e alla luce della legislazione e delle prassi del paese terzo e dello strumento di trasferimento su cui fanno affidamento, in quanto saranno ritenuti responsabili di qualsiasi decisione presa su tale base. Ciò potrebbe anche richiedere la combinazione di più misure supplementari. In ultima analisi, si può pervenire alla conclusione che nessuna misura supplementare è in grado di garantire un livello di protezione sostanzialmente equivalente per lo specifico trasferimento. Ove nessuna misura supplementare sia adeguata, bisogna evitare, sospendere o interrompere il trasferimento per evitare di pregiudicare il livello di 4 Adottato protezione dei dati personali. Anche questa valutazione delle misure supplementari va condotta con la dovuta diligenza e documentata.
V. Procedura da seguire a seconda delle misure supplementari individuate
I passaggi procedurali da adottare nel caso in cui siano state individuate misure supplementari efficaci da porre in essere variano a seconda dello strumento di trasferimento utilizzato, ai sensi dell’art. 46 GDPR.
VI. Rivalutare il tutto nel corso del tempo
Vanno costantemente monitorati gli sviluppi che, nel paese terzo ove sono stati trasferiti i dati personali, potrebbero influenzare la valutazione iniziale del livello di protezione e le decisioni che sono state prese.
VII. Eseguire una analisi dei rischi
In applicazione di quanto prescritto all’art. 24 GDPR “Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà
delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.”
VIII. Eseguire una valutazione di impatto
In applicazione di quanto prescritto all’art. 35 GDPR “Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.”
Conclusioni
In estrema sintesi, l’EDPB ha precisato che, in assenza di decisione di adeguatezza rispetto al paese terzo in cui si intende effettuare il trasferimento, il titolare del trattamento può adottare una delle misure di garanzia previste dall’art. 46 del GDPR, ma deve anche assicurarsi che il livello di protezione del paese terzo sia sostanzialmente equivalente a quello offerto dall’ordinamento europeo, anche favorendo l’implementazione le cd. misure supplementari riportate nella Raccomandazione 01/2020 dell’EDPB[11].
Si suggerisce al titolare di sviluppare il cd. transfer impact assesment, un modello organizzativo ben documentato che di fatto consenta una valutazione concreta e approfondita dello strumento scelto dal titolare per legittimare il trasferimento dei dati personali nel Paese Terzo.
Tale valutazione va fatta anche alla luce del quadro giuridico e dell’applicazione concreta della legge di riferimento del paese terzo di destinazione. Si tratta di un assessment che dovrà essere calzante al contesto di riferimento attraverso la realizzazione di una mappa dei flussi di dati e monitorando costantemente l’adeguatezza offerta dalle misure tecniche e organizzative individuate nell’analisi.
Come sappiamo bene, la Raccomandazione dell’EDPB 01/2020 è stata motivata dalla sentenza C-311/18 (cd. «Schrems II») con la quale la Corte di giustizia dell’Unione europea ha dichiarato l’invalidità della decisione 2016/1250 della Commissione europea sull’adeguatezza della protezione offerta dal regime del cd. “Privacy Shield”. Ma gli autorevoli contenuti della sentenza della Corte e della Raccomandazione dell’EDPB hanno una portata generale e devono essere accolti con favore nell’analisi interpretativa di qualsiasi trasferimento dei dati extra SEE.
Tutti i titolari di dati personali che intendono trasferire dati verso Paesi che non sono stati oggetto di positiva valutazione di adeguatezza da parte della Commissione (o verso organizzazioni che non rientrano nella “Data Privacy Framework List”)[12] devono, quindi, in via preliminare valutare le circostanze concrete dei trasferimenti dei dati e le misure supplementari eventualmente azionabili. Devono cioè preoccuparsi di garantire un livello adeguato di protezione delle persone fisiche in relazione ai loro diritti e libertà fondamentali. In ossequio al principio di accountability, l’adeguatezza del livello di protezione deve essere verificata e assicurata in modo attivo e continuo, attuando misure legali, tecniche e organizzative che ne garantiscano l’effettività e comprovando il rispetto dei principi di protezione dei dati personali.
[1] Articolo 45 Trasferimento sulla base di una decisione di adeguatezza (C103, C107, C167-C169)
1. Il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale è ammesso se la Commissione ha deciso che il paese terzo, un territorio o uno o più settori specifici all’interno del paese terzo, o l’organizzazione internazionale in questione garantiscono un livello di protezione adeguato. In tal caso il trasferimento non necessita di autorizzazioni specifiche.
2. Nel valutare l’adeguatezza del livello di protezione, la Commissione prende in considerazione in particolare i seguenti elementi:
a) lo stato di diritto, il rispetto dei diritti umani e delle libertà fondamentali, la pertinente legislazione generale e settoriale (anche in materia di sicurezza pubblica, difesa, sicurezza nazionale, diritto penale e accesso delle autorità pubbliche ai dati personali), così come l’attuazione di tale legislazione, le norme in materia di protezione dei dati, le norme professionali e le misure di sicurezza, comprese le norme per il trasferimento successivo dei
dati personali verso un altro paese terzo o un’altra organizzazione internazionale osservate nel paese o dall’organizzazione internazionale in questione, la giurisprudenza nonché i diritti effettivi e azionabili degli interessati e un ricorso effettivo in sede amministrativa e giudiziaria per gli interessati i cui dati personali sono oggetto di trasferimento;
b) l’esistenza e l’effettivo funzionamento di una o più autorità di controllo indipendenti nel paese terzo o cui è soggetta un’organizzazione internazionale, con competenza per garantire e controllare il rispetto delle norme in materia di protezione dei dati, comprensiva di adeguati poteri di esecuzione, per assistere e fornire consulenza agli interessati in merito all’esercizio dei loro diritti e cooperare con le autorità di controllo degli Stati membri; e
c) gli impegni internazionali assunti dal paese terzo o dall’organizzazione internazionale in questione o altri obblighi derivanti da convenzioni o strumenti giuridicamente vincolanti come pure dalla loro partecipazione a sistemi multilaterali o regionali, in particolare in relazione alla protezione dei dati personali.
3. La Commissione, previa valutazione dell’adeguatezza del livello di protezione, può decidere, mediante atti di esecuzione, che un paese terzo, un territorio o uno o più settori specifici all’interno di un paese terzo, o un’organizzazione internazionale garantiscono un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo. L’atto di esecuzione prevede un meccanismo di riesame periodico, almeno ogni quattro anni, che tenga conto di tutti gli sviluppi pertinenti nel paese terzo o nell’organizzazione internazionale.
L’atto di esecuzione specifica il proprio ambito di applicazione geografico e settoriale e, ove applicabile, identifica la o le autorità di controllo di cui al paragrafo 2, lettera b), del presente articolo. L’atto di esecuzione è adottato secondo la procedura d’esame di cui all’articolo 93, paragrafo 2.
4. La Commissione controlla su base continuativa gli sviluppi nei paesi terzi e nelle organizzazioni internazionali che potrebbero incidere sul funzionamento delle decisioni adottate a norma del paragrafo 3 del presente articolo e delle decisioni adottate sulla base dell’articolo 25, paragrafo 6, della direttiva 95/46/CE.
5. Se risulta dalle informazioni disponibili, in particolare in seguito al riesame di cui al paragrafo 3 del presente articolo, che un paese terzo, un territorio o uno o più settori specifici all’interno di un paese terzo, o un’organizzazione internazionale non garantiscono più un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo, la Commissione revoca, modifica o sospende nella misura necessaria la decisione di cui al paragrafo 3 del presente articolo mediante atti di esecuzione senza effetto retroattivo. Tali atti di esecuzione
sono adottati secondo la procedura d’esame di cui all’articolo 93, paragrafo 2, o, in casi di estrema urgenza, secondo la procedura di cui all’articolo 93, paragrafo 3. Per imperativi motivi di urgenza debitamente giustificati, la Commissione adotta atti di esecuzione immediatamente applicabili secondo la procedura di cui all’articolo 93, paragrafo 3.
6. La Commissione avvia consultazioni con il paese terzo o l’organizzazione internazionale per porre rimedio alla situazione che ha motivato la decisione di cui al paragrafo 5.
7. Una decisione ai sensi del paragrafo 5 del presente articolo lascia impregiudicato il trasferimento di dati personali verso il paese terzo, il territorio o uno o più settori specifici all’interno del paese terzo, o verso l’organizzazione internazionale in questione, a norma degli articoli da 46 a 49.
8. La Commissione pubblica nella Gazzetta ufficiale dell’Unione europea e sul suo sito web l’elenco dei paesi terzi, dei territori e settori specifici all’interno di un paese terzo, e delle organizzazioni internazionali per i quali ha deciso che è o non è più garantito un livello di protezione adeguato.
9. Le decisioni adottate dalla Commissione in base all’articolo 25, paragrafo 6, della direttiva 95/46/CE restano in vigore fino a quando non sono modificate, sostituite o abrogate da una decisione della Commissione adottata conformemente al paragrafo 3 o 5 del presente articolo.
[2] “a) uno strumento giuridicamente vincolante e avente efficacia esecutiva tra autorità pubbliche o organismi pubblici;”
[3] “b) le norme vincolanti d’impresa in conformità dell’articolo 47;”
[4] “c) le clausole tipo di protezione dei dati adottate dalla Commissione secondo la procedura d’esame di cui all’articolo 93, paragrafo 2;”
[5] “d) le clausole tipo di protezione dei dati adottate da un’autorità di controllo e approvate dalla Commissione secondo la procedura d’esame di cui all’articolo 93, paragrafo 2”;
[6] “e) un codice di condotta approvato a norma dell’articolo 40, unitamente all’impegno vincolante ed esecutivo da parte del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati”;
[7] “f) un meccanismo di certificazione approvato a norma dell’articolo 42, unitamente all’impegno vincolante ed esigibile da parte del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati”.
[8] “a) uno strumento giuridicamente vincolante e avente efficacia esecutiva tra autorità pubbliche o organismi pubblici”.
[9] “b) le disposizioni da inserire in accordi amministrativi tra autorità pubbliche o organismi pubblici che comprendono diritti effettivi e azionabili per gli interessati”.
[10] Per una analisi in dettaglio di quanto prescritto nel presente paragrafo si rinvia alla Raccomandazione n. 01/2020 dell’EDPB.
[11] Raccomandazioni 01/2020 relative alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE. Ver. 2.0, adottate il 18.6.2021. Link: https://www.edpb.europa.eu/system/files/2022-04/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_it_0.pdf
[12] Ci si riferisce all’EU-US Data Privacy Framework (DPF) del 10 luglio 2023, cioè al nuovo accordo USA-UE sul trasferimento dei dati.
