L’internazionalizzazione delle imprese

E il trasferimento dei dati personali e non personali al di fuori dello Spazio Economico Europeo: il quadro aggiornato delle regole

Destinatari

Il corso è rivolto ai Data Protection Officer, ai Responsabili del Trattamento dei Dati, ai Privacy Officer, alle persone autorizzate al trattamento dei dati e ai referenti per la privacy comunque denominati, ai Security Officer, ai Responsabili dei Servizi di Compliance, Affari Legali, Affari Istituzionali e Regolamentari, nonchè a tutti i professionisti che si occupano di TMT, IP, ICT, Privacy e Data Protection.

Finalità

L’incontro mira a fornire ai partecipanti un’analisi dettagliata del tema del trasferimento di dati personali all’estero, tanto con riguardo al trasferimento verso gli USA, quanto in relazione a ordinamenti per i quali manchi una decisione di adeguatezza della Commissione UE.
Saranno inoltre trattate le recenti novità provenienti dall’EDPB sia sul fronte del trasferimento di dati personali extra UE nell’ambito dell’esecuzione di atti amministrativi e provvedimenti giurisdizionali stranieri, sia sul fronte del c.d. Sigillo UE per la protezione dei dati.
Verranno altresì suggerite ai partecipanti indicazioni operative capaci di costituire un valido ausilio in vista dell’assunzione di decisioni interne relative al trasferimento dei dati all’estero, completate dall'analisi di casi pratici.
 

Contenuti

QUADRO NORMATIVO DI RIFERIMENTO E ADEMPIMENTI DA ADOTTARE NEI CASI DI TRASFERIMENTO DI DATI PERSONALI ALL’ESTERO

L’esame dei principi e degli istituti del GDPR rilevanti per il trasferimento di dati personali all’estero
I principi generali del GDPR da applicare nei trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali.
Le decisioni di adeguatezza.
Gli strumenti giuridicamente vincolanti tra autorità pubbliche.
Le clausole contrattuali standard.
Le clausole contrattuali ad hoc.
Le Binding Corporate Rules.
I Codici di condotta e i meccanismi di certificazione.
Le deroghe in situazioni specifiche e le Linee Guida dell’EDPB 2/2018 sull’applicazione pratica dell’articolo 49 GDPR.
Il trasferimento di dati extra UE in esecuzione di provvedimenti amministrativi e sentenze straniere: le indicazioni delle Linee Guida EDPB 2/2024 sull’articolo 48 GDPR.

Il trasferimento dei dati extra UE quale presupposto di specifici adempimenti.
L’informativa all’interessato.
I rapporti con il responsabile del trattamento.
La tenuta del Registro delle attività di trattamento.
La valutazione di impatto preventiva.
L’adozione di misure di sicurezza.

ULTERIORI ASPETTI RILEVANTI NELL’AMBITO DEL TRASFERIMENTO DI DATI PERSONALI EXTRA UE

La decisione di adeguatezza della Commissione UE del 28 Giugno 2021 per il trasferimento dei dati personali nel Regno Unito.
Le Raccomandazioni 1/2020 e 2/2020 (aggiornamento 18 Giugno 2021) dell’EDPB sulle modalità pratiche del trasferimento dei dati personali extra UE.
La gestione dei servizi Cloud: sicurezza e trasferimento internazionale dei dati personali alla luce del GDPR.
La messa a punto di una metodologia per la valutazione dei trasferimenti di dati extra SEE.
Gli aspetti sanzionatori in caso di trasferimenti non conformi: le sanzioni amministrative del GDPR e il reato previsto all’art. 167 del Codice della privacy.
Il ruolo del DPO nel contesto del trasferimento internazionale dei dati personali.

IL CASO DEI TRASFERIMENTI DI DATI PERSONALI VERSO GLI USA

Il caso particolare del trasferimento dei dati personali verso gli Stati Uniti d’America: storia dei vari meccanismi di trasferimento, dal Safe Harbour al Privacy Shield.
Le sentenze della Corte di Giustizia dell’Unione Europea e l’invalidazione dei trasferimenti di dati verso gli USA.
La sentenza della CGUE c.d. Schrems II (CGUE, 16 luglio 2020, Causa C-311/18): le conseguenze pratiche. Cosa accade ai contratti di cloud service e ai social media.
La posizione del Comitato Europeo per la Protezione dei Dati personali dopo la sentenza Schrems II: le indicazioni pratiche nelle FAQ del 24 Luglio 2020 e nei documenti del sotto-comitato dell’EDPB appositamente costituito.
L’Executive Order USA del 7 Ottobre 2022, l’implementazione da parte dell’Office of the Director of National Intelligence degli Stati Uniti delle nuove salvaguardie previste dall’Executive Order e l’adozione della nuova decisione di adeguatezza da parte della Commissione UE.
I Regulation dell’Executive Order del Presidente USA.
Il contenuto delle salvaguardie adottate dall’Intelligence USA.
Le differenze e le possibili criticità rispetto ai contenuti dei precedenti accordi tra USA e UE per il trasferimento dei dati già annullati dalla Corte di Giustizia.
La decisione di adeguatezza della Commissione UE del 10 luglio 2023 e le FAQ rese disponibili in pari data.
Gli impatti per le imprese che trasferiscono i dati in USA: vantaggi e svantaggi.
La Sentenza della CGUE dell’8 gennaio 2025 (causa T-354/22 | Bindl/Commissione) di condanna della Commissione UE, relativa a un caso di trasferimento di dati personali verso gli USA avvenuto prima dell’Executive Order del 7 Ottobre 2022.
Le fonti normative sulla protezione dei dati in USA, tra leggi in vigore di singoli Stati e proposta di legge federale.
Il California Consumer Privacy ACT (CCPA).
Il Personal Information Protection Act dell’Illinois (PIPA).
Le proposte di normative federale sulla protezione dei dati personali.

IL SIGILLO UE PER LA PROTEZIONE DEI DATI PERSONALI

Natura giuridica e ambito di operatività del Sigillo UE.
La base giuridica del Sigillo UE.
Il sigillo quale meccanismo di certificazione.
I criteri di certificazione della conformità dei trattamenti quali presupposto per il riconoscimento del Sigillo.
Ulteriori indicazioni contenute nell’Opinion 27/2024 dell’EDPB.
 

Docenti

Alessandro Del Ninno
titolare della Cattedre di Intelligenza Artificiale, Machine Learning e Diritto LABGP4 e di Informatica Giuridica LABGP2 presso la LUISS Guido Carli di Roma. Avvocato esperto di ICT, AI, Data Protection, Partner di FIVERS Studio Legale e Tributa-rio. Presidente del Comitato Scientifico dell’Associazione Nazionale per la Protezione dei Dati Personali. Membro del Comitato Scientifico dell’Istituto Italiano Privacy. Appointed member del Pool of Experts europei di supporto e consulenza al Comitato Europeo per la Protezione dei Dati Personali. Relatore nell’ambito dei più importanti convegni nazionali e internazionali ove viene frequentemente invitato in qualità di esperto su tematiche legate all’Information& Communication Technology, all’IP e alla Data Protection. Nelle stesse materie è autore di oltre 150 tra libri, trattati, monografie, saggi e articoli. Per Key Editore è Direttore delle due collane editoriali “GDPR: casi pratici risolti” e “Le Leggi del Decennio Digitale 2020-2030 della