L’EDPB (European Data Protection Board) ha pubblicato un aggiornamento delle linee guida n. 4/2021 sui codici di condotta, che rappresentano uno degli strumenti utili, ai sensi dell’art. 46 lett. e) GDPR, a garantire la conformità del trasferimento dei dati personali presso Paesi terzi, ove approvati secondo la procedura descritta all’art. 40 GDPR.
In tale contesto, le linee guida, a complemento delle linee guida 1/2019 rese sempre dall’EDPB, hanno lo scopo di chiarire i ruoli dei soggetti coinvolti nella definizione del codice di condotta e nel processo di adozione indicato proprio all’art. 40 par. 3.
Gli orientamenti espressi nelle linee guida in esame integrano quanto già espresso dal Comitato Europeo per la protezione dei dati nelle linee guida 1/2019, che stabiliscono il quadro generale per l’adozione di codici di condotta, in particolare per quanto riguarda l’ammissibilità, la presentazione e i criteri di approvazione degli stessi.
In termini di contenuti, partendo dal contenuto normativo dell’art. 46, il codice di condotta deve essere composto di almeno due elementi: i principi essenziali (diritti e obblighi derivanti dal GDPR per i titolari/responsabili del trattamento) e le garanzie specifiche per il contesto in cui avvengono i trasferimenti di dati.
L’EDPB rileva come un codice di condotta possa essere originariamente redatto solo allo scopo di specificare l’applicazione del GDPR in conformità con l’articolo 40 par. 2 (una sorta di “codice GDPR”) o anche allo scopo di regolare i trasferimenti ai sensi dell’articolo 40 par. 3.
Tutti gli elementi relativi alle adeguate garanzie dovranno essere definiti nel codice in modo tale da facilitarne l’effettiva applicazione, specificando anche in che modo le regole del codice di condotta possono applicarsi, nella pratica, all’attività o al settore specifico del trattamento.
A determinate condizioni i codici di condotta possono quindi diventare degli strumenti per legittimare un trasferimento dati verso Paesi terzi. La legittimazione può derivare:
- da una decisione di adeguatezza (che ad oggi è stata emanata per Andorra, Argentina, Canada, Isole Faroe, Baliato di Guernsey, Israele, Isola di Man, Giappone, Jersey, Nuova Zelanda, Corea del Sud, Svizzera, Regno Unito ed Uruguay);
- dall’adozione di clausole contrattuali standard (soluzione che però impone di adottare “garanzie ulteriori” nel caso in cui contrattualmente non si riesca a raggiungere un livello di protezione dei dati equivalente a quello presente in UE);
- dal possesso di idonee certificazioni da parte del soggetto verso cui si trasferiscono i dati ai sensi dell’art. 42 GDPR;
- dalla presenza di norme vincolanti di impresa approvate ai sensi dell’art. 47 GDPR che si applichino al soggetto che trasferisce ed a quello a cui vengono trasferiti i dati;
- in ulteriori situazioni residuali disciplinate dall’art. 49 GDPR (es. nel caso di trasferimento dati necessario per difendere un diritto o per eseguire un contratto).
Nel caso degli Stati Uniti (Paese che registra il più intenso flusso di dati in uscita dall’UE), essendo venuta meno la decisione di adeguatezza dopo la sentenza Schrems II, ed essendo nella stessa sentenza state denunciate potenziali ingerenze governative sui dati di cittadini europei ben difficili da superare con delle semplici clausole contrattuali standard, le imprese interessate a trasmettere dati in USA e quelle interessate a riceverli stanno cercando di definire vie d’uscita sicure per proseguire nel trasporto di dati.
La difficoltà più significativa per i promotori dei codici di condotta sarà quella di modulare gli stessi con riferimento al contesto (specie geografico) del trasferimento, rendendo necessario quantomeno prevedere differenti fasce di impegni a seconda della situazione giuridica e politica del Paese di appartenenza dell’importatore del dato nonché disciplinare nel dettaglio la suddivisione delle responsabilità fra codice di condotta, organismo di controllo e soggetto che chiede l’adesione nel garantire una tutela dei dati comparabile a quella presente in UE.
Pare poi difficile immaginare l’adesione a codici di condotta quali strumenti soft law a legittimare il trasferimento in paesi terzi in settori più critici come quelli dei social network o più frammentati in cui la dimensione dei player non è di rilievo assoluto come ad esempio nel settore cloud.
