Linee Guida EDPB 5/2021 sulla relazione tra art. 3 e Capo V del GDPR
Coffee Privacy
Lo scorso 18 novembre l’EDPB (European Data Protection Board) ha pubblicato le nuove Linee Guida sull’interrelazione tra art 3 e Capo V del GDPR in una versione di consultazione, cercando di chiarire quando è possibile ritenere che vi sia un trasferimento dei dati personali al di fuori dell’Unione Europea.
Il documento (consultabile QUI) ha generato un forte dibattito, al quale si è unito anche il Team di Area Legale.
La questione ruota intorno a questi aspetti:
- l’art. 3 del Regolamento in questione prevede il suo ambito di applicazione territoriale, quando il Titolare o il Responsabile si trovano all’interno dell’Unione Europea
- il Capitolo V dello stesso Regolamento prevede determinate condizioni al fine di poter effettuare un trasferimento di dati personali transfrontaliero.
Qual è, dunque, il rapporto fra i due? Possono essere applicati cumulativamente?
Per rispondere a queste domande è necessario chiarire che l’EDPB fornisce tre criteri cumulativi:
- un Titolare o Responsabile (cosiddetto “Exporter”) è soggetto all’applicazione del GDPR in base all’art. 3 in discussione;
- l’Exporter trasmette o rende disponibili i dati personali ad altro Titolare (anche co-titolare) o Responsabile (cosiddetto “Importer”);
- l’Importer si trova in un paese terzo/organizzazione internazionale, indipendentemente dal fatto che questo importatore sia soggetto o meno al GDPR per quanto riguarda il trattamento dei dati in conformità all'articolo 3(2).
A far emergere il problema, oggetto del dibattito del Team, è il terzo criterio, che sembra andare verso un’applicazione cumulativa delle due disposizioni (art. 3 e Capo V del GDPR). Il suddetto criterio si traduce in problemi interpretativi alle società di paesi terzi, identificate come Importer, quando sono soggette al GDPR secondo l’art. 3(2).
L’esempio proposto nelle Linee Guida per spiegare il terzo criterio non aiuta a capirne il principio sotteso:
- La società A, un titolare del trattamento senza uno stabilimento nell'UE, offre beni e servizi al mercato dell'UE.
- La società francese B sta trattando i dati personali per conto della società A.
- B ritrasmette i dati ad A.
- Il trattamento effettuato dal responsabile del trattamento B è coperto dal GDPR per gli obblighi specifici del responsabile del trattamento ai sensi dell'articolo 3, paragrafo 1, poiché avviene nel contesto delle attività del suo stabilimento nell’UE.
- Anche il trattamento effettuato da A è coperto dal GDPR, poiché l'articolo 3(2) si applica ad A.
- Tuttavia, poiché A si trova in un paese terzo, la divulgazione dei dati da B ad A è considerata un trasferimento verso un paese terzo e quindi si applica il capo V.
Non risulta altrettanto chiaro il passaggio in cui l’EDPB spiega che:
"per un trasferimento di dati personali a un titolare del trattamento in un paese terzo sono necessarie meno protezioni/garanzie se tale titolare del trattamento è già soggetto al GDPR per il dato trattamento.
Pertanto, quando si sviluppano strumenti di trasferimento pertinenti (che attualmente sono disponibili solo in teoria), come clausole contrattuali standard o clausole contrattuali ad hoc, la previsione dell'articolo 3(2) dovrebbe essere presa in considerazione per non duplicare gli obblighi del GDPR, ma piuttosto per affrontare gli elementi e i principi che sono "mancanti" e quindi necessari per colmare le lacune relative alle leggi nazionali contrastanti e l'accesso del governo nel paese terzo, nonché la difficoltà di far rispettare e ottenere riparazione contro un ente al di fuori dell'UE."
Questo perché il considerando 7 della decisione della CE del 4 giugno 2021 ha inteso escludere l’utilizzo delle SCC a società di paesi terzi soggette all’applicazione del GDPR secondo l’art. 3(2), creando seri dubbi interpretativi e operativi, tanto da auspicare l’emissione di clausole contrattuali tipo specifiche.
La questione è di certo ancora aperta e occorre attendere uno sviluppo ulteriore a seguito del termine delle consultazioni previsto per il 31 gennaio 2022.
di Data Protection Team
Condividi su: