Il Comitato europeo per la protezione dei dati ("CEPD") si è riunito per la prima volta in seduta plenaria il 25 maggio 2018, lo stesso giorno dell'entrata in vigore del Regolamento generale sulla protezione dei dati ("RGPD").

Il CEPD sostituisce il Gruppo di lavoro ex articolo 29, un organismo di consulenza costituito dalle autorità nazionali di protezione dei dati ai sensi della precedente normativa privacy dell'Unione Europea ("UE"). Il CEPD è un organismo indipendente europeo composto da rappresentanti delle autorità di controllo nazionali di ogni Stato membro e dal Garante europeo della protezione dei dati ("GEPD"). La sua missione è assicurare l'applicazione coerente delle leggi sulla riservatezza UE e fornire istruzioni nell'intepretazione dei concetti fondamentali del RGPD.

Durante la sua la prima riunione, il CEPD ha adottato linee guida su due diverse disposizioni del RGPD: (1) la versione finale delle Linee guida 2/2018, aventi ad oggetto le deroghe per il trasferimento di dati personali verso Paesi terzi ai sensi dell'Art. 49 del RGPD ("Linee guida sulle deroghe ai sensi dell'Art. 49") e (2) la bozza delle Linee guida 1/2018, in materia di meccanismi di certificazione, sigilli e marchi di protezione dei dati usati per dimostrare l'adempimento al RGPD in conformità agli Artt. 42 e 43 del RGPD ("Linee guida sui meccanismi di certificazione").

Linee guida sulle deroghe ai sensi dell'Art. 49.

Allo scopo di trasferire dati personali verso Paesi terzi, le aziende devono basarsi su uno dei meccanismi di trasferimento previsti dal RGPD. Questi meccanismi comprendono: (i) il trasferimento verso un Paese che l'UE ritenga avere leggi di protezione dei dati adeguate ai sensi dell'Art. 45 del RGPD, (ii) l'uso di una delle specifiche garanzie previste dall'Art. 46 del RGPD (come le clausole contrattuali tipo, le norme vincolanti d'impresa, ecc.), e (iii) l'uso di deroghe di cui all'Art. 49 del RGPD. Le deroghe di cui all' Art. 49 comprendono, inter alia, il consenso esplicito dagli interessati, l'adempimento di obblighi contrattuali e l'interesse pubblico.

Le Linee guida sulle deroghe ai sensi dell'Art. 49 forsiniscono diverse indicazioni sull'interpretazione di tale disposizione:

  1. confermano, per le aziende che trasferiscono dati personali verso Paesi terzi, la necessità di valutare in primo luogo qualora il trasferimento possa avvenire sulla base di uno dei meccanismi di cui negli Artt. 45 e 46 del RGPD. Solo nel caso in cui ciò non sia possibile, l'esportatore di dati ha la possibilità di ricorrere alle deroghe di cui all'Art. 49 del RGPD;
  2. il CEPD riafferma la validità dei requisiti formulati dal Gruppo di lavoro ex articolo 29 in riferimento alla valutazione dei casi in cui il consenso possa definirsi "esplicito". Tali criteri sono dunque applicabili anche nel caso del consenso esplicito come deroga ai sensi dell'Art. 49. A tal riguardo, il CEDP sottolinea come il consenso degli interessati non debba costituire una soluzione a lungo termine per i trasferimenti dei dati pesonali verso Paesi terzi;
  3. nel caso in cui le disposizioni del RGPD non prevedano che le deroghe siano limitate a trasferimenti "occasionali" o "non ripetitivi" (ad esempio per quanto riguarda il consenso esplicito e l'interesse pubblico), queste devono comunque essere oggetto di un'intepretazione restrittiva;
  4. il CEPD fornisce altresì indicazioni sulla valutazione dei criteri di "occasionalità" e di "necessità". In relazione al primo criterio, il CEPD afferma, ad esempio, come i trasferimenti di dati che hanno luogo all'interno di una relazione commerciale stabile non possano essere considerati "occasionali". Riguardo alla "necessità" del trasferimento, il CEPD conferma che la verifica di tale criterio richiede una valutazione da parte dell'esportatore dei dati riguardo all'esistenza di una connessione stretta e sostanziale tra il trasferimento dei dati e la finalità perseguita.

Le Linee guida sulle deroghe ai sensi dell' Art. 49 offrono inoltre esempi pratici riguardo ai casi in cui le aziende possano avvalersi di tali deroghe (anche in un contesto intra-gruppo, ad esempio in relazione ai dati relativi alle risorse umane).

Linee guida sui meccanismi di certificazione.

L'Art. 42 del RGPD incoraggia le società ad utilizzare meccanismi di certificazione, sigilli e marchi di protezione dei dati al fine di: (i) permettere agli interessati di valutare il livello di protezione dei dati fornito da una società; e (ii) dimostrare l'utilizzo di garanzie adeguate di protezione dei dati.

La bozza delle Linee guida sui meccanismi di certificazione non rappresenta un manuale procedurale per la certificazione ma identifica criteri generali da applicare in referimento ai diversi tipi di meccanismi. Le linee guida contengono anche interessanti tabelle riassuntive che assegnano ruoli e poteri alle autorità di controllo in relazione al processo di certificazione.

Nella bozza delle Linee guida sui meccanismi di certificazione, il CEPD:

  1. definisce il significato di certificazione (facendo riferimento alla norma ISO);
  2. esplora la logica dietro l'uso della certificazione come strumento di responsabilità;
  3. valuta il ruolo delle autorità di controllo nello sviluppo di meccanismi di certificazione e fornisce esempi di cosa possa essere oggetto di certificazione (prodotti, servizi, software, ecc.). Le linee guida confermano come la certificazione possa rappresentare uno strumento per dimostrare l'esistenza di misure tecniche e organizzative adeguate (come previsto negli Artt. 24 e 32 del RGPD);
  4. contempla l'idea di un sigillo di protezione dei dati europeo volto a limitare la diffusione di loghi e pratiche nazionali.

Le Linee guida sui meccanismi di certificazione sono aperte a pubblica consultazione per sei settimane. I commenti possono essere inviati a entro il 12 luglio 2018.

Per saperne di più sul RGPD EU General Data Protection Regulation.

Visit us at mayerbrown.com

Mayer Brown is a global legal services provider comprising legal practices that are separate entities (the "Mayer Brown Practices"). The Mayer Brown Practices are: Mayer Brown LLP and Mayer Brown Europe – Brussels LLP, both limited liability partnerships established in Illinois USA; Mayer Brown International LLP, a limited liability partnership incorporated in England and Wales (authorized and regulated by the Solicitors Regulation Authority and registered in England and Wales number OC 303359); Mayer Brown, a SELAS established in France; Mayer Brown JSM, a Hong Kong partnership and its associated entities in Asia; and Tauil & Chequer Advogados, a Brazilian law partnership with which Mayer Brown is associated. "Mayer Brown" and the Mayer Brown logo are the trademarks of the Mayer Brown Practices in their respective jurisdictions.

© Copyright 2018. The Mayer Brown Practices. All rights reserved.

This Mayer Brown article provides information and comments on legal issues and developments of interest. The foregoing is not a comprehensive treatment of the subject matter covered and is not intended to provide legal advice. Readers should seek specific legal advice before taking any action with respect to the matters discussed herein.