Nel corso della sua 18esima riunione plenaria, il Comitato europeo per la protezione dei dati (EDPB) ha avviato la consultazione pubblica delle Linee Guida 2/2020 sull’art.46 par.2 lett. (a) e art. 46 par. 3 lett. (b) del Regolamento 2016/679 in relazione al trasferimento dei dati personali tra autorità e organismi pubblici appartenenti al SEE e non appartenenti al SEE.

Le Linee Guida resteranno in consultazione pubblica dal 24 febbraio al 6 aprile 2020.
In questo periodo le autorità e i soggetti interessati potranno inviare le proprie osservazioni, che verranno preliminarmente controllate dal personale di Segreteria dell’EDPB (al solo fine di bloccare gli invii non autorizzati, come lo spam) e successivamente pubblicate sul sito del Comitato.

Come il GDPR affronta il trasferimento dei dati all’estero…

Sul tema, il GDPR, all’art.45, prevede che i trasferimenti di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo o verso un’organizzazione internazionale possano avvenire a condizione che l’adeguatezza del livello di protezione assicurato dal Paese terzo o dall’organizzazione sia riconosciuta tramite decisione della Commissione europea.

In assenza di una decisione di adeguatezza, il trasferimento è consentito qualora il titolare o il responsabile del trattamento forniscano garanzie adeguate, che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati.

Tali garanzie, in base ai casi, possono necessitare o meno dell’autorizzazione da parte dell’autorità di controllo. Di seguito elenchiamo i casi previsti dalla normativa:

Senza autorizzazione da parte del Garante:

• gli strumenti giuridici vincolanti ed esecutivi tra soggetti pubblici (art. 46, par. 2, lett. a);
• le norme vincolanti d’impresa (art. 46, par. 2, lett. b)
• le clausole tipo (art. 46, par. 2, lett. c e lett. d)
• i codici di condotta (art. 46, par. 2, lett. e)
• i meccanismi di certificazione (art. 46, par. 2, lett. f)

 Previa autorizzazione del Garante:

• le clausole contrattuali ad hoc (art. 46, par. 3, lett. a)
• gli accordi amministrativi tra autorità o organismi pubblici (art. 46, par. 3, lett. b).

 

… e le relative sanzioni

Nello svolgimento delle attività di trattamento, è fondamentale che i Titolari e i Responsabili osservino quanto previsto dal GDPR ai fini di una corretta gestione dei dati personali nell’ambito dei trasferimenti transfrontalieri.

Secondo quanto prescritto dall’art. 83 par.5 lett. c), la violazione delle disposizioni degli articoli da 44 a 49, in materia di trasferimento di dati personali a un destinatario in un Paese terzo o un’organizzazione internazionale, è soggetta a sanzioni amministrative pecuniarie fino a 20 milioni di euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.