TIA: perché è importante la valutazione d’impatto del trasferimento dei dati personali

di Sabrina Salmeri -

Dopo la nota sentenza della Corte di giustizia Schrems II della Commissione europea è stata tenuta a rivedere le Clausole Contrattuali Standard (SCC) al fine di indurre il titolare del trattamento a prestare maggiore attenzione nel trasferimento al di fuori dell’Unione Europea.

Tranfer Impact Assessment

La valutazione dell’impatto sul trasferimento dei dati personali (TIA) è, rispetto alla DPIA ex art. 35 GDPR, un’ulteriore valutazione del rischio, un’analisi indipendente del livello di sicurezza del rispettivo paese terzo verso il quale i dati devono essere trasferiti. Questa analisi distingue tra due ruoli: l’esportatore e l’importatore di dati. L’esportatore di dati è il titolare o il responsabile del trattamento, ai sensi dell’art. 4 (7) del GDPR, che trasferisce dati personali al paese terzo (es. servizi in cloud ospitati fuori dall’UE); l’importatore di dati è il titolare o responsabile che fornisce servizi ai titolari o responsabili nell’UE.

Il modello

Il GDPR e la sentenza Schrems II non identificano i fattori specifici che un’organizzazione deve considerare per predisporre una valutazione d’impatto sui trasferimenti. Tuttavia, possiamo ritrovare nelle nuove SCC, alla Clausola 14, delle precise indicazioni da tenere in debito conto per creare un modello di TIA:

  • le circostanze del trasferimento (lunghezza della catena di fornitura, numero di attori coinvolti, canali di trasmissione usati; trasferimenti successivi previsti; finalità del trattamento; categorie e formato di dati personali trasferiti; luogo di conservazione dei dati);
  • l’esistenza di leggi e prassi del paese terzo (comprese quelle che impongono la comunicazione di dati alle autorità pubbliche o che le autorizzano ad accedere ai dati) pertinenti alla luce delle circostanze specifiche del trasferimento, e le limitazioni e le garanzie applicabili;
  • qualunque garanzia contrattuale, tecnica o organizzativa pertinente predisposta per integrare le garanzie delle SCC, comprese le misure applicate durante la trasmissione e il trattamento dei dati personali nel paese di destinazione.

Inoltre, ai sensi della clausola 14 lett. d), le parti sono soggette all’obbligo di documentare il processo di valutazione d’impatto del trasferimento e di metterla a disposizione dell’autorità di controllo competente su richiesta.

Conclusioni

Senza orientamenti e modelli ufficiali, non è possibile avere una procedura standard per la preparazione di una TIA. L’unica cosa certa finora è che, unitamente alle Clausole Contrattuali Standard, sarebbe opportuno effettuare anche tale tipo di valutazione. Il tema del trasferimento dei dati continuerà ad essere determinante per l’Unione Europea: lo scorso 19 novembre, infatti, l’EDPB ha adottato una bozza di Linee Guida (5/2021) sull’interazione tra l’applicazione dell’articolo 3 e le disposizioni sui trasferimenti internazionali delineate nel Capo V del GDPR, arrivando a definire “trasferimento” anche la divulgazione mediante trasmissione o la semplice messa a disposizione di dati personali, dall’esportatore all’importatore.