Il parere 22/2024 dell’EDPB del 9 ottobre 2024 risponde alle domande dell’autorità di controllo danese sugli obblighi derivanti dall’articolo 28 e dal capitolo V del GDPR sui trasferimenti di dati verso paesi terzi.
In questa puntata conclusiva di analisi del documento esaminiamo gli aspetti relativi alle prescrizioni:
- che impattano sulla catena del trattamento in relazione ai trasferimenti di dati (capo V, GDPR)
- che impongono la stipula di apposito contratto o altro atto giuridico tra esportatore e importatore dei dati, come adeguata garanzia per i trasferimenti di dati verso paesi terzi (art. 44, GDPR).
I precedenti su questo stesso tema sono gli Editoriali del 28 novembre 2024 e del 12 dicembre 2024.
Trasferimenti esteri di dati nella catena del trattamento
Le regole GDPR sul trasferimento di dati verso paesi terzi si applicano a titolari e responsabili del trattamento. Le violazioni comportano la responsabilità individuale di entrambi.
Quando i dati personali vengono trasferiti al di fuori del SEE, in base al principio di accountability, il titolare del trattamento deve garantire che il livello di protezione non venga compromesso dai trasferimenti. Questo significa che il titolare deve assicurarsi che i (sub-)responsabili) – cioè, responsabili e sub-responsabili del trattamento – rispettino le condizioni per i trasferimenti internazionali di dati stabilite:
- dal GDPR
- dalle istruzioni impartite dal titolare.
A tal fine, i contratti tra il titolare del trattamento e il responsabile devono includere l’impegno del responsabile a trattare i dati personali solo su istruzioni documentate del titolare, a meno che non sia richiesto dalla legge dell’Unione o dello Stato membro a cui il responsabile è soggetto. Questo significa che il responsabile non può trasferire fuori dal SEE i dati personali per scopi propri o su istruzioni di terzi, a meno che non sia obbligato da una legge applicabile. Inoltre, il responsabile deve informare il titolare di qualsiasi obbligo legale che lo costringa a trattare i dati personali in modo diverso dalle istruzioni ricevute.
Il titolare, dal suo canto, deve valutare e documentare che i trasferimenti siano effettuati in conformità con le istruzioni documentate e che le garanzie offerte dai responsabili siano sufficienti a mantenere il livello di protezione richiesto dal GDPR.