In data 8 Gennaio 2024, il Garante francese per la protezione dei dati personali (CNIL) ha pubblicato una bozza di “Guida Pratica” per la redazione del documento di assessment di impatto durante i trasferimenti in Paesi terzi (c.d. “TIA”), invitando ad effettuare commenti pubblici sulla stessa bozza, entro il 12 Febbraio 2024.
Il CNIL avrebbe redatto la Guida Pratica seguendo le Raccomandazioni 01/2020 dell’European Data Protection Board (EDPB) relative “alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE”, adottate il 18 Giugno 2021, con lo scopo di supportare l’attività redazionale della TIA per gli esportatori di dati personali.
La Guida Pratica include una prima parte di metodologia per la redazione del documento, e una seconda parte di compilazione che prende in considerazione gli elementi essenziali per la redazione di una TIA, seguendo il sistema a “sei passi” come definito nelle Raccomandazioni 01/2020 dell’EDPB. L’uso di questa Guida Pratica non è obbligatorio, in quanto è possibile affidarsi a differenti metodologie che considerando ulteriori elementi, tuttavia è da considerarsi di buon supporto per identificare gli elementi più importanti per effettuare la valutazione di impatto sul trasferimento di dati personali e assicurarsi che il livello di protezione nel Paese Terzo destinatario sia sufficiente.
La Guida Pratica è organizzata secondo i seguenti punti:
- Descrizione delle caratteristiche del trasferimento
- Descrizione degli strumenti utilizzati per il trasferimento
- Valutazione della normativa e delle consuetudini del Paese terzo di destinazione, con la valutazione dell’efficacia degli strumenti utilizzati
- Identificazione e adozione delle misure di sicurezza supplementari
- Implementazione delle misure di sicurezza supplementari e delle necessarie procedure adottate
- Rivalutazione a intervalli appropriati e vigilanza sui potenziali sviluppi che potrebbero impattare sulla natura del trasferimento verso il Paese Terzo destinatario
Si rilevano alcune differenze rispetto alla metodologia di TIA predisposta dal Garante inglese per la protezione dei dati personali (ICO), disponibile sul proprio sito dalla fine del 2022.
La metodologia del CNIL sembra essere applicabile più agevolmente, a prescindere da qualsiasi realtà (grande o piccola), tenendo in maggiore considerazione il livello di trasparenza della legislazione del Paese terzo destinatario, l’applicabilità delle regole democratiche a tutela degli interessati e le misure di sicurezza, tecniche, contrattuali ed organizzative, applicate o comunque da applicare. Inoltre, sono state predisposte delle sezioni apposite per responsabilizzare le persone incaricate di verificare l’applicabilità delle misure di sicurezza e programmare future rivalutazioni.
La metodologia dell’ICO, invece, sembra essere maggiormente strutturata verso un’analisi tecnica di valutazione del rischio, assegnando alle varie categorie di dati personali un valore di rischio (basso, medio oppure alto), rilevando quai diritti fondamentali possano essere a rischio di violazione durante il trasferimento/trattamento e verificando che l’importatore possa essere soggetto a decisioni della corte giurisdizionale (o di arbitrato) provenienti dal Regno Unito.
Fonti