Nella scorsa puntata dell’Editoriale del 28 novembre 2024 è stato esaminato il parere 22/2024 dell’EDPB del 9 ottobre 2024 con cui il Comitato ha risposto alle domande poste dall’autorità di controllo danese sugli obblighi derivanti dall’articolo 28, in combinazione con il capitolo V del GDPR sui trasferimenti di dati verso paesi terzi.
Di seguito, i punti principali della prima puntata:
- Innovatività del parere EDPB: Il parere non introduce novità, ma raccoglie aspetti già noti in un documento autorevole.
- Responsabilità primaria del titolare: Il titolare è principalmente responsabile per il trattamento dei dati personali e deve dimostrare la propria conformità, anche quando le operazioni sono compiute da responsabili o sub-responsabili, per suo conto.
- Obblighi del titolare: Il titolare deve mantenere informazioni aggiornate sull’identità di tutti i (sub-)responsabili – cioè responsabili e sub-responsabili di qualsiasi livello della filiera – e garantire la protezione dei dati durante i trasferimenti, specialmente se avvengono al di fuori dell’UE.
- Identificazione degli attori della catena del trattamento: È fondamentale mantenere aggiornato il registro delle attività di trattamento e identificare le terze parti che agiscono per conto del titolare.
- Controllo del titolare sulla catena del trattamento: Il titolare, in aggiunta all’identificazione, deve controllare l’operato degli attori della catena del trattamento, inclusi gli agenti non autorizzati.
- Adeguatezza della sicurezza dei dati: La sicurezza informatica dipende dall’anello più debole della catena. I (sub-)responsabili devono fornire sufficienti garanzie di conformità al GDPR.
- Difficoltà operative: Le aziende medio-grandi affrontano difficoltà nel rispettare questi requisiti del GDPR, ma queste difficoltà operative non esonerano il titolare dalle sue responsabilità.
- Difficoltà non giustificabili: Le difficoltà operative non possono giustificare l’arretramento della linea di conformità tracciata dal legislatore.
- Conclusioni: Il titolare, per impostazione predefinita, deve mappare gli attori della catena del trattamento, valutare il livello di rischio e determinare le misure di sicurezza adeguate.
In questa tornata esaminiamo in maggior dettaglio i contenuti del citato parere 22/2024 in relazione all’obbligo del titolare del trattamento di verifica delle garanzie fornite dai (sub-)responsabili; mentre si rinvia a una puntata conclusiva per l’analisi delle prescrizioni:
- che impattano sulla catena del trattamento in relazione ai trasferimenti di dati (capo V, GDPR)
- che impongono la stipula di apposito contratto o altro atto giuridico tra gli attori della filiera (art. 28, GDPR) e tra esportatore e importatore dei dati, come adeguata garanzia per i trasferimenti di dati verso paesi terzi (art. 44, GDPR).
Obblighi dei titolari
Continua…