GDPR e trasferimento dati estero: ecco come adeguarsi alle nuove linee guida

GDPR e trasferimento dati estero: ecco come adeguarsi alle nuove linee guida

Regolamento GDPR: che cosa prevedono le Linee Guida 05/2021?

L’European Data Protection Board (EDPB), nel corso della sessione plenaria del 19 novembre 2021, ha adottato le Linee Guida 05/2021 sull’interazione tra l’applicazione dell’articolo 3 e le disposizioni sui trasferimenti internazionali contenute al Capo V del GDPR.

Che cosa significa GDPR? È l’acronimo di General Data Protection Regulation, il Regolamento UE 2016/679 che mira a rafforzare la protezione dei dati personali dei cittadini dell’Unione europea e dei residenti nell’UE, sia all’interno che all’esterno dei confini dell’UE, e a semplificare il contesto normativo che riguarda gli affari internazionali, unificando i regolamenti dentro l’UE.

Le Linee Guida 05/2021 chiariscono il rapporto tra l’ambito territoriale del GDPR (art.3) e le disposizioni sui trasferimenti internazionali del Capo V per aiutare i titolari e i responsabili del trattamento nell’UE a identificare se un’operazione di trattamento costituisce un trasferimento internazionale. 

In particolare, il paragrafo 2 delle Linee Guida specifica i tre criteri cumulativi che qualificano un trattamento come trasferimento:

  1. Chi esporta i dati (titolare o un responsabile del trattamento) è sempre soggetto alle regole del General Data Protection Regulation per lo specifico trattamento. L’esportatore di dati, anche se non stabiliti all’interno dell’UE, devon obbligatoriamente rispettare le disposizioni al Capo V nel momento in cui trasferiscono i dati personali verso un paese terzo o un’organizzazione;
  2. L’esportatore deve rendere disponibili, trasmettendoli, i dati personali ad un altro titolare, contitolare o responsabile, che si trova all’estero. L’EDPB specifica che il trasferimento non sussiste quando i dati sono comunicati direttamente dall’interessato al destinatario come avviene, ad esempio, quando si compila un modulo online;
  3. L’importatore di dati si trova in un paese terzo o è un’organizzazione internazionale.

Se tutti e tre i criteri vengono soddisfatti allora si attua il trasferimento e il titolare o responsabile del trattamento dovrà rispettare le prescrizioni del Capo V per garantire un adeguato livello di protezione dei dati.

GDPR privacy: quando i dati non possono essere trasferiti?

Il trasferimento dei dati personali all’estero non è ammesso nei seguenti casi:

  1. In mancanza di una decisione di Adeguatezza della Commissione Europea (art. 45) la quale garantisce che un Paese terzo (ma anche un territorio o un settore specifico al suo interno) o l’organizzazione internazionale assicurano un livello di protezione adeguato e che pertanto è possibile trasferirvi dati personali;
  2. L’importatore non aderisce a codici di condotta o ai meccanismi di certificazione;
  3. Non sono previste norme vincolanti d’impresa (Binding Corporate Rules-BCR);
  4. Non sono previste clausole contrattuali (Standard Contractual Clauses-SCC) specifiche tra il titolare o responsabile del trattamento e il titolare o responsabile dei dati personali nel Paese terzo o organizzazione internazionale;
  5. Vengono meno gli accordi internazionali e i meccanismi previsti dalle autorità pubbliche per elencare i diritti esigibili e renderli attivabili dagli interessati.

Namirial GDPR XLS e Namirial GDPR DOX: le soluzioni per adeguarsi al GDPR

Namirial, Trust Service Provider che opera nel mercato del Digital Transaction Management (DTM), offre due diverse soluzioni per conformarsi al regolamento GDPRNamirial GDPR XLS e Namirial GDPR DOX.

Namirial GDPR XLS è la nuova frontiera della privacy per le piccole e medie imprese e verifica il livello di preparazione e conformità al GDPR.

Vediamo insieme quali sono le caratteristiche dell’applicativo Namirial GDPR XLS:

  • 100% Accountabilitity
    • Conformità GDPR: il software fornisce la conformità agli adempimenti formali richiesti dalla normativa europea (informative, lettere di nomina, policy interne, valutazione dei rischi, registro del trattamento);
    • Aggiornamento Software: il software web si aggiorna automaticamente rendendo le procedure in linea alle nuove ed eventuali disposizioni legislative nazionali per l’allineamento alla normativa europea;
    • Monitoraggio costante degli interventi necessari: il software propone all’utente una fase di controlli cadenzati in relazione allo status di conformità rilevato, in osservanza al dovere di monitoraggio in capo al Titolare del trattamento prescritto dal regolamento europeo.
  • Gestione dati
    • Generazione lettere di nomina per responsabile: il software produce le lettere di nomina per i responsabili del trattamento in conformità allo schema contrattuale stabilito dal regolamento europeo. Tali nomine possono essere utilizzate tanto per la nomina di professionisti che svolgono consulenze per le aziende quanto per le aziende che svolgono attività collegata al trattamento dei dati per altre aziende;
    • Creazione lettere di incarico: il software fornisce le lettere che incaricano i dipendenti e/o collaboratori alle attività professionali che includono il trattamento dei dati personali;
    • Gestione dei diritti dell’interessato: il software fornisce il modulo attraverso il quale l’azienda o lo studio professionale deve gestire e archiviare le richieste di esercizio di diritti da parte degli interessati sui propri dati personali;
    • Modelli di informativa: il software genera modelli di informativa differenziati per le diverse tipologie di destinatari, disciplinando le richieste di consenso in corrispondenza alla tipologia di rapporto con i destinatari;
    • Richiesta consensi espliciti e granulari: la predisposizione dei consensi è effettuata in modo granulare e quindi differenziata secondo le diverse finalità per l’acquisizione del consenso e in modo esplicito consentendo tanto l’assenso quanto il diniego;
    • Import/Export: il software consente l’importazione dei dati da gestionali e l’export delle informazioni inserite per finalità anche diverse dal censimento privacy.
  • Formazione da remoto e assistenza on site
    • Sistema di archiviazione: il sistema consente di archiviare i documenti di conformità per ottenere una catalogazione facilmente fruibile dall’utente;
    • Alert: il software invia una comunicazione via email all’utente per ricordargli la cadenza di aggiornamento delle misure di sicurezza definite in fase di valutazione dei rischi;
    • Aggiornamenti modulari: l’aggiornamento delle raccomandazioni e delle misure di sicurezza crea uno storico modulare di versioni che attestano l’evoluzione dello stato di conformità.
  • Analisi e assistenza
    • FAQ: l’utente puà consultare il forum Namirial con le domande frequenti che aiutano alla comprensione dei processi poco chiari della normativa europea;
    • Form di quesiti: è aperto un canale di quesiti utilizzabile per domande inerenti le modalità dei processi di conformità;
    • Linee guida: sono scaricabili le linee guida sula trattamento dei dati personali per approfondire la materia e capirne la cogenza e la diffusione;
    • Analisi dei rischi e report: il sistema fornisce un’analisi dei rischi attualmente presenti in azienda/studio e un report con le raccomandazioni che mirano a evidenziare i deficit di conformità, suggerendo le attività da intraprendere per sanarle;
    • Formazione E-Learning: è fruibile una piattaforma per effettuare la formazione in materia di trattamento dei dati personali obbligatoriamente prevista dal regolamento europeo per tutti i soggetti (responsabili /incaricati) che trattano dati personali. È previsto un accesso alla piattaforma e learning, fruibile in qualunque momento, con rilascio di attestato di partecipazione qualificato.

Namirial GDPR DOX, la soluzione dinamica per gestire la privacy, è invece dedicata ai consulenti privacy, DPO e Titolari del trattamento. GDPR DOX è l’applicativo che accompagna l’utente nella realizzazione del modello organizzativo privacy e gli permette di conseguire la conformita’ legale al GDPR: il suo scopo, infatti, è quello di rendere più efficace la gestione di tutti gli adempimenti connessi e correlati.

L’applicativo Namirial garantisce:

  • Il controllo completo degli adempimenti e delle notifiche che facilitano il dialogo tra tutte i soggetti coinvolti;
  • Il miglioramento continuo, attraverso monitoraggio, modulo formazione web integrato, modulo gestione nomine con sottoscrizione firma digitale da remoto, template di sistema personalizzabili e procedure di sistema precaricate.

Inoltre, Namirial GDPR DOX offre un servizio di assistenza clienti live e immediato.

Vediamo insieme quali sono le caratteristiche dell’applicativo Namirial GDPR DOX:

  • 100% Accountability

All’interno dell’applicazione è possibile gestire e tenere traccia precisa di tutte le attività con precisi riferimenti temporali forniti dal sistema. L’applicazione permette di esercitare un controllo di gestione diretto delle violazioni, delle scadenze, degli elaborati, delle news e delle notifiche, della gestione dell’esercizio dei diritti, di piani di lavoro e assegnazione diretta di task e dello stato di avanzamento degli elaborati, della formazione. Inoltre, è possibile individuare le attività da eseguire e gestire le scadenze nel tempo, preparare alert di avviso circa lo stato della specifica scadenza ed evitare eventuali dimenticanze;

  • Gestione documentale personalizzata

L’applicazione offre una serie di template nativi. È infatti possibile personalizzare secondo le specifiche esigenze attraverso un semplice sistema drag n’ drop, da utilizzare per redazioni di documenti necessari alla raccolta di informazioni, audit, analisi di rischio e personalizzazione di formulari, il tutto già integrato per l’utilizzo di firme digitali. Inoltre, è possibile creare le proprie informative sulla privacyattraverso template altamente personalizzati.

  • Servizi in cloud

Possibilità di accesso del servizio in Cloud, che non necessita di installazione, utilizzabile su pc e smartphone. La piattaforma permette allo stesso tempo di monitorare continuamente le proprie attività e gestirne i cambiamenti, creando delle aree di collaborazione per la segnalazione da parte dei clienti dei cambiamenti da eseguire.

  • Gestione integrata della valutazione del rischio ex art 32,35

Analisi dei rischi calibrata per ogni trattamento di matrice dei rischi 100% ritagliata a misura di utente.

  • Gestione nomine

Il software consente un agevole inserimento dei soggetti preposti al trattamento dei dati personali (Titolari, Contitolari, DPO, Responsabili dei trattamenti, Persone autorizzate) e rende immediata la composizione delle lettere di incarico per ciascuno dei ruoli designati.

  • Sicurezza e affidabilità

GDPR DOX utilizza un sistema di crittografia a 256 bit. con una chiave di cifratura.

  • Registro violazione dati personali e mappatura delle minacce

Registrazione delle violazioni dei dati con conseguente controllo delle fasi di gestione, attraverso la gestione di task e controllo di ogni fase di gestione delle criticità.

  • Gestione piano di lavoro, notifiche e tasks

Con GDPR DOX puoi gestire il piano di lavoro per ciascun titolare, gestire in tempo reale le notifiche da inviare al titolare, gestire e conservare i pareri e le comunicazioni attraverso il modulo Tasks.

  • Formazione e assistenza on site

Ciò che distingue Namirial dai concorrenti è una spiccata sensibilità per la formazione e l’accompagnamento passo dopo passo dell’utente sia nell’utilizzo della piattaforma sia in materia GDPR. Namirial, infatti, ha pensato a vari interventi formativi declinati in una formula di Avviamento, formazione remota standard (2 ore) o strong (16 ore) per l’utilizzo della piattaforma. Inoltre è possibile accedere a webinar periodici e possibilità di accedere on demand ad interventi formativi on site dei soggetti coinvolti.

Come adeguarsi al regolamento GDPR? Scopri le soluzioni Namirial GDPR XLS e Namirial GDPR DOX

Articolo precedenteCyber security aziendale: come difendersi dai rischi interni
Articolo successivoI 3 strumenti digitali di cui hai bisogno per prepararti ai concorsi pubblici

ARTICOLI CORRELATIALTRO DALL'AUTORE