Il flusso di dati personali verso paesi terzi (cioè non appartenenti all’UE/SEE) è stato disciplinato dalla direttiva 95/46/CE al fine di evitare che il trasferimento possa vanificare le garanzie ed i diritti che la normativa comunitaria pone a tutela dei soggetti interessati. Il GDPR, in aggiunta a questa ipotesi, solleva il diverso profilo del trattamento che coinvolge più Stati membri, pur rimanendo all’interno dei territori dell’Unione.
Sui trattamenti transfrontalieri si era già pronunciato il WPArt29 ed ora l’EDPB interviene con la linea guida 08/2022, integrativa dei suoi precedenti.
Sintesi
Trasferimenti di dati verso paesi terzi e trattamenti transfrontalieri
Durante la vigenza della direttiva 95/46/CE il tema dei flussi transfrontalieri di dati personali ha riguardato essenzialmente il caso di quei trasferimenti che hanno come importatore un paese non appartenente alla UE o al SEE. La circostanza solleva l’esigenza di verificare se nel paese di destinazione vigano strumenti di protezione e garanzie equivalenti a quelli in atto nell’Unione a tutela di dati personali e di soggetti interessati; cosicché la trasposizione delle informazioni sotto l’egida di altra giurisdizione, non verrebbe a vanificare le tutele comunitarie sul data protection. In assenza dell’attestazione di adeguatezza della Commissione UE ovvero in mancanza di altri strumenti riconosciuti dal legislatore equivalenti oppure in assenza di circostanze derogatorie ritenute prioritarie, la trasmissione dei dati personali extra UE è vietata.
Il GDPR ha introdotto una nuova dimensione al fenomeno dei flussi di dati, quella infra-UE, cioè quando il trattamento travalica i confini dello Stato membro ma rimane pur sempre all’interno dell’UE/SEE. In questo caso, il flusso di dati è libero ed il GDPR offre all’azienda titolare o responsabile del trattamento l’opportunità di interagire con una sola autorità di controllo per i relativi adempimenti, indipendentemente da quali e quanti siano gli Stati membri coinvolti dal trattamento in questione (cd. meccanismo dello “sportello unico” o “one stop shop”). Di conseguenza, in questi contesti, risulta importante per l’azienda titolare o responsabile determinare con precisione quale sia l’autorità di controllo capofila.
Linee guida del WPArt29
Il WPArt29 aveva inizialmente emesso proprie linee guida per l’individuazione dell’autorità di controllo capofila nel caso di flussi transfrontalieri di dati personali all’interno dell’Unione (wp244) successivamente emendate e adottate nell’aprile 2017 (wp244 rev.01) e, successivamente, fatte proprie dall’EDPB nella sua prima riunione plenaria del maggio 2018.
Continua…