Richiedi un preventivo
Home Risorse Blog Gennaio 2021

PERIODO DI TRANSIZIONE GDPR

21 gennaio 2021
Il Comitato Europeo Per la Protezione dei Dati (EDPB) ha recentemente pubblicato raccomandazioni su misure che integrano gli strumenti di transfer per garantire la conformità a livello di protezione dei dati personali dell'UE.

in un altro post ho descritto le implicazioni della decisione della Corte di Giustizia dell'Unione Europea (CGUE) di invalidare il meccanismo di trasferimento dei dati, per la questione privacy. La sentenza ha convalidato l'uso dei requisiti contrattuali standard (SCC) per i trasferimenti di dati, ma ha sottolineato che i responsabili del trattamento devono effettuare revisioni delle loro SCC. Successivamente il Comitato Europeo per la protezione dei dati (EDPB) ha emesso in fretta una bozza di linee guida, che riassumo qui facilmente, dicendo ai controllori di crittografare i trasferimenti di dati per prevenire lo spionaggio statale *.

Nello stesso momento in cui la CGUE stava deliberando, i negoziati sulla Brexit continuavano. Molti professionisti della privacy stavano valutando le implicazioni sui trasferimenti di dati quando il Regno Unito è uscito dall'UE. Al Regno Unito sarebbe concessa una decisione di adeguatezza che consentirebbe il trasferimento dei dati senza interruzioni? O l'adeguatezza sarebbe usata come merce di scambio dall'UE, in particolare per quanto riguarda la City di Londra e come sostegno al libero scambio?

Non si può presumere che l'UE consideri il Regno Unito adeguato solo perché il Regno Unito era nell'UE e quindi in precedenza adeguato. In ogni caso il processo verrà seguito e comprende quattro passaggi:

  1. La Commissione Europea deve presentare una proposta affinché il Regno Unito sia adeguato

  2. L'EDPB deve offrire un parere

  3. Gli Stati membri dell'UE devono dare l'approvazione

  4. I Commissari devono decidere

E questo può richiedere dai 18 ai 60 mesi.

Tuttavia, ci sono alcuni ostacoli: l'Investigatory Powers Act 2016 è stato precedentemente messo in discussione dalla Corte di Giustizia Europea in quanto contravveniva alla Carta dei Diritti Fondamentali (CFR), così come il DPA 2018 per il controllo dell'immigrazione; e il Regno Unito è stato accusato di violare il sistema d'informazione Schengen. Poi ci sono i trasferimenti di dati in avanti verso paesi non adeguati.

La sentenza dell'Alta Corte della scorsa settimana sulla sezione 5 dell'Intelligence Services Act 1994 potrebbe aver aiutato la situazione. La Corte ha stabilito che i mandati devono essere indirizzati a un individuo, non su base generale per sorvegliare la popolazione in larga misura, come rivelato da Snowden.

Allora si pone la questione se sia giusto che in precedenza uno Stato membro possa essere adeguato semplicemente essendo uno Stato membro. Ed è stato osservato che paesi terzi adeguati introducono successivamente una legislazione che non rispetta il CFR.

Nel frattempo il Regno Unito e l'UE hanno concordato un periodo di transizione di sei mesi dal 1 ° gennaio 2021, durante il quale si spera di raggiungere una decisione. In caso contrario, le organizzazioni dovranno ricorrere a SCC o Binding Corporate Rules, che richiederanno ai controllori, sotto la guida dell'EDPB, di condurre le proprie valutazioni di adeguatezza dei paesi di destinazione. Questi sono complicati e costosi da implementare, probabilmente fuori dalla portata di molte PMI, e in un momento in cui le economie del Regno Unito e dell'UE hanno bisogno di tutto l'aiuto che possono ottenere.

Se il Regno Unito, che in precedenza era adeguato e ha implementato il GDPR e la direttiva sull'applicazione della legge nella legislazione nazionale, non può soddisfare lo standard, allora come potrebbero altri paesi. Sarebbe anche mettere in discussione gli accordi di adeguatezza esistenti se fossero a uno standard inferiore a quello del Regno Unito.

È stato anche suggerito che una decisione di adeguatezza potrebbe essere impugnata e giudicata dalla CGUE.

L'unico caposaldo in tutta questa incertezza è l'accordo di commercio e cooperazione (TCA) UE-Regno Unito, che è stato concordato nel dicembre dello scorso anno, e contiene il periodo di transizione di sei mesi. È stato istituito un Consiglio di partenariato per supervisionare il TCA che può formulare raccomandazioni sui trasferimenti di dati personali in tutte le aree coperte dall'accordo. I professionisti e le organizzazioni della privacy terranno d'occhio questa evoluzione.

* Diverse persone mi hanno chiesto informazioni sul governo federale che richiede semplicemente le chiavi di crittografia del controller per leggere i dati. Ciò richiederebbe l'approvazione giudiziaria, la cui mancanza è stata una delle critiche della CGUE alle leggi sulla sorveglianza degli Stati Uniti.


Authored by: Tim Pinnell, NQA Information Security Assurance Manager