L’abolizione del Privacy Shield è stato certamente un evento di cui si è parlato molto. Nella bagarre generata dalla decisione della Corte di Giustizia Europea sul Caso Schrems II, pochi però sono stati gli esperti che si sono esposti e hanno cercato di individuare delle soluzioni pratiche alle problematiche emerse a seguito di detta sentenza. Tra di essi, fortunatamente, anche l’Avv. Manuela Soccol, che in questo webinar enucleava alcuni dei consigli e delle buone pratiche individuati, poi, lo scorso 10 novembre, dall’EDPB nelle “Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data”.
I consigli dell’EDPB
Il Comitato Europeo per la Protezione dei Dati Personali ha finalmente sciolto le riserve, pubblicando una serie composita di raccomandazioni relative al trasferimento dei dati personali in territorio extra-UE, organizzandole in quattro diversi step.
1^ Step: mappare i flussi di dati.
Come prima cosa, è necessario mappare tutti i trasferimenti di dati posti in essere verso paesi terzi. Perché? Essere consapevoli della destinazione dei dati personali è essenziale per garantire che al trattamento siano applicati livelli di sicurezza equivalenti a quelli europei.
2^ Step: individuare lo strumento normativo su cui si basa il trasferimento
Il secondo passo da seguire è quello di identificare lo strumento normativo su cui si basa il trasferimento. Gli artt. 45, 46 e 49 del GDPR, sono chiari sul punto: decisioni di adeguatezza, clausole standard, binding corporate rules, o le eccezioni di cui all’art.49 (es. consenso dell’interessato, esecuzione di un contratto, etc.) possono essere le basi che legittimano tale trasferimento. Non preoccupatevi: il vostro legale o il vostro DPO dovrebbero aver individuato a monte, prima che il trattamento fosse posto in essere, lo strumento normativo in questione.