Open in app

Sign in

Write

Sign in

Proposta ICO per flussi dati internazionali basata sul rischio

Raffaella Aghemo
2 min readNov 30, 2022

--

a cura di Raffaella Aghemo

L’Autority in materia di privacy del Regno Unito, ovvero l’Information Commissioner’s Office (“ICO”), il 17 novembre ha emanato un suo nuovo percorso che possa agevolare le imprese per districarsi nel trasferimento dati verso Paesi terzi. L’ICO ha tenuto a sottolineare che queste linee guida non vogliono sostituire quanto dichiarato dall’EDPB, quanto costituire una valida alternativa o addirittura una integrazione.

Cosa si stabilisce? Un modello basato sul rischio, tanto da essere definito TRA, ovvero Transfer Risk Assessment (“TRA”) guidance.

Il GDPR del Regno Unito contiene regole sui trasferimenti di dati personali a destinatari situati al di fuori del Regno Unito, definiti trasferimenti limitati.

La domanda chiave è se, a seguito del trasferimento, vi sia un aumento del rischio per la privacy delle persone e altri diritti umani, rispetto al rischio se le informazioni rimanessero nel Regno Unito.

In altre parole, una volta che le loro informazioni sono nelle mani del destinatario, le persone si trovano in una posizione sufficientemente simile riguardo ai rischi per la privacy dei loro dati e per i diritti umani? Se non vi è alcun rischio aggiuntivo significativo, il trasferimento può procedere.

L’EDPB invece fa una valutazione che parte dal confronto delle normative del paese di origine con quello di destinazione.

Il modello proposto dall’ICO si estrinseca attraverso sei domande chiave:

Le domande sono:

Domanda 1: Quali sono le circostanze specifiche del trasferimento limitato?

Domanda 2: Qual è il livello di rischio per le persone nelle informazioni personali che si stanno trasferendo?

Domanda 3: Qual è un livello di indagine ragionevole e proporzionato, dato il livello di rischio complessivo delle informazioni personali e la natura della organizzazione che volesse effettuare il TRA?

Domanda 4: Il trasferimento aumenta in modo significativo il rischio per le persone di violazione dei diritti umani nel paese di destinazione?

Domanda 5:

(a) Si è sicuri che sia l’organzzazione che le persone a cui si riferiscono le informazioni saranno in grado di far rispettare il meccanismo di trasferimento dell’articolo 46 contro l’importatore nel Regno Unito?

(b) Se dovesse essere necessaria un’azione esecutiva al di fuori del Regno Unito: si è sicuri di essere in grado di far rispettare il meccanismo di trasferimento dell’articolo 46 nel paese di destinazione (o altrove)?

Domanda 6: Una qualsiasi delle eccezioni alle regole di trasferimento limitato si applica ai “dati di rischio significativi”?

I “dati di rischio significativi” sono i dati identificati nelle domande 4 e 5 come dati per i quali il tuo meccanismo di trasferimento ai sensi dell’articolo 46 non fornisce tutte le tutele appropriate.

Riproduzione Riservata

Avv. Raffaella Aghemo

Data Protection
Privacy Protection
Privacy
ICO
Risk

--

--

Raffaella Aghemo

Written by Raffaella Aghemo

300 Followers

Innovative Lawyer and consultant for AI and blockchain, IP, copyright, communication, likes movies and books, writes legal features and books reviews

Help

Status

About

Careers

Blog

Privacy

Terms

Text to speech

Teams