Un nuovo tassello del Gdpr può entrare pienamente in funzione a tutela del trasferimento dei dati personali dei cittadini dell’Ue verso paesi esterni allo Spazio economico europeo. Il Comitato Edpb ha adottato le linee guida sulla certificazione come strumento per i trasferimenti dei dati personali. Lo scopo principale è fornire ulteriori chiarimenti sull’uso pratico di questo strumento previsto dal regolamento europeo sulla privacy. L’Art. 46(2)(f) del Gdpr introduce, infatti, meccanismi di certificazione approvati come nuovo strumento per trasferire dati personali verso paesi terzi in assenza di un accordo di adeguatezza.
Il vicepresidente dell’Edpb Ventsislav Karadjov ha sottolineato che le linee guida “forniscono indicazioni su come questo strumento può essere utilizzato nella pratica e su come può aiutare a mantenere un elevato livello di protezione dei dati durante il trasferimento di dati personali dallo Spazio economico europeo a paesi terzi“.
Linee guida in quattro punti
Le linee guida sono composte da quattro parti, ciascuna incentrata su aspetti specifici relativi alla certificazione come strumento per i trasferimenti, come lo scopo, l’ambito e i diversi attori coinvolti; attuazione di linee guida sui requisiti di accreditamento per gli organismi di certificazione; criteri di certificazione specifici al fine di dimostrare l’esistenza di adeguate tutele per i trasferimenti; e gli impegni vincolanti ed esecutivi da attuare.
Le nuove linee guida integrano le linee guida 1/2018 sulla certificazione, che forniscono indicazioni più generali sulla certificazione. Saranno oggetto di consultazione pubblica fino alla fine di settembre.
La decisione sul caso Accor e la privacy degli ospiti degli hotel
Separatamente, l’Edpb ha adottato una decisione di risoluzione delle controversie sulla base dell’art. 65 del Gdpr. La decisione vincolante cerca di ovviare alla mancanza di consenso su alcuni aspetti di un progetto di decisione emesso dalla SA (supervisory authority) francese in qualità di autorità di vigilanza capofila (lead supervisory authority, Lsa) nei confronti di Accor, una società specializzata nel settore dell’ospitalità la cui sede principale si trova in Francia, e la successive obiezioni espresse da una delle autorità di vigilanza interessate (concerned supervisory authorities, Csa).
La Lsa ha emesso il progetto di decisione a seguito di un’indagine basata su un reclamo nei confronti di Accor, in merito alla mancata considerazione del diritto di opposizione alla ricezione di messaggi di marketing per posta e/o alle difficoltà incontrate nell’esercizio del diritto di accesso. Il 30 aprile 2021 la Lsa ha condiviso con le Csa il proprio progetto di decisione; una Csa ha sollevato obiezioni tra l’altro, sull’importo della sanzione; in mancanza di consenso il dossier è stato deferito all’Edpb per la risoluzione della controversia.
L’Edpb ha ora adottato la sua decisione vincolante. La decisione affronta nel merito la parte dell’eccezione ritenuta “rilevante e motivata”.
La decisione sarà ora tradotta d’urgenza. Successivamente le autorità di controllo interessate saranno formalmente informate e l’Lsa dovrà adottare la sua decisione finale, indirizzata al responsabile del trattamento.