Il prossimo 23 novembre l’Avv. Enrico Pelino, insieme all’Avv. Giuseppe Vitrani, proporranno una giornata interamente dedicata ai dati e alla loro circolazione, per la nuova edizione del Mastercourse ANORC. L’Avv. Pelino propone un’anticipazione dei temi della giornata.

Importante: non perdere l’occasione di usufruire della PROMO EARLY BIRD valida fino al 22 ottobre per i nuovi iscritti alla XXIV edizione del Mastercourse.

La circolazione dei dati infragruppo, i trasferimenti di dati personali all’estero e l’utilizzo di servizi cloud

Il contesto

La circolazione dei dati personali costituisce uno snodo essenziale nella disciplina sul trattamento dei dati personali, essendo connessa con il potere di controllo dell’interessato rispetto al perimetro di conoscibilità dei suoi dati permesso ai terzi. L’esatta comprensione per l’interessato, e a monte la corretta definizione da parte del titolare del trattamento, di tale perimetro è insieme presupposto essenziale per consentire al primo l’esercizio effettivo dei suoi diritti e al secondo una reale governance dei trattamenti. Questi due poli concettuali accompagneranno lo sviluppo della nostra analisi.

La ratio del rischio nei trasferimenti extra-UE

Il tema assume connotazioni particolarmente delicate nei trasferimenti verso Paesi extra UE/SEE ove manchi il supporto di una decisione di adeguatezza, ciò in quanto l’ecosistema giuridico in cui i dati personali si troveranno a circolare espone a iniziative, specie in chiave di confidentiality breach, che sfuggono al controllo del titolare e di conseguenza dell’interessato e sottraggono alle parti gli strumenti basici di tutela forniti dalla normativa eurounitaria o assimilata. Si evidenzierà qui il rapporto tra equivalenza di tutela e adeguatezza.

Gruppi societari e casistica più comune

Se i trasferimenti extra UE sono tendenzialmente strutturali in assetti societari di gruppo di dimensione multinazionale, sarebbe erroneo crederli esclusivi di tale casistica. In effetti, il trasferimento extra UE può essere innescato semplicemente da rapporti che rientrano nella più comune operatività e dunque riguardare anche imprese medio-piccole e professionisti, quali la scelta di servirsi di un’archiviazione di informazioni in cloud non collocato nella UE e non interamente controllato da soggetti UE. Possono altresì dipendere da elementi ancor meno intuitivi nell’esperienza comune, quali la filiera dei propri fornitori.

Lo sviluppo del tema

La lezione ricostruirà il quadro normativo aggiornato, con particolare attenzione da un lato all’evoluzione giurisprudenziale eurounitaria, sentenza della Corte di Giustizia UE cd. “Schrems II”, C-311/18, dall’altro alle misure di accountability individuate dall’EDPB. La rassegna dei punti principali delle raccomandazioni 01/2020, vers. 2.0 e 2/2020 sarà condotta sulla base dei due poli concettuali anticipati all’inizio, ossia dell’esercizio effettivo dei diritti dell’interessato e della governance del titolare del trattamento. Sarà altresì valorizzato il concetto di equivalenza di tutele. È in questa prospettiva che sarà rapidamente considerato l’uso delle standard contractual clause e degli altri strumenti per i trasferimenti extra UE, ivi incluse, sia pure di sfuggita, BCR e codici di condotta (cfr. Linee guida 4/2021). Si farà inoltre cenno alla TIA, Transfer Impact Assessment. Saranno altresì toccate, le possibilità e sui limiti applicativi delle deroghe in specifiche situazioni previste dall’art. 49 GDPR.

L’approccio della lezione

I partecipanti avranno l’occasione di partecipare attivamente al confronto, con discussione di ipotesi concrete a casi applicativi.