Il Nostro Studio segue con attenzione gli sviluppi relativi alla legislazione russa e alla prassi applicativa in materia di dati personali.
Riteniamo utile fornire una sintetica panoramica su alcune recenti novità normative e aspetti correlati all’implementazione della disciplina in materia di dati personali.
Posizione del Garante della privacy (Roskomnadzor)
Il 1° marzo 2023, Roskomnadzor, il locale Garante della privacy, ha fornito una serie di chiarimenti tra cui, in particolare:
• Obbligo di notifica sul trattamento dei dati personali mediante compilazione di un nuovo modulo
Come noto, il trattamento dei dati personali da parte degli operatori dei dati personali è soggetto ad obbligo di previa notifica a Roskomnadzor.
Con Ordinanza n. 180 del 28.10.2022, entrata in vigore il 26.12.2022, Roskomnadzor ha introdotto un nuovo modulo per effettuare tale notifica.
Roskomnadzor ha precisato che l’operatore dei dati personali è in ogni caso tenuto ad effettuare una nuova notifica mediante utilizzo del nuovo modulo nonostante avesse già effettuato tali notifiche prima del 26 dicembre 2022.
Le tempistiche per il deposito della nuova notifica, così come le eventuali sanzioni in caso di mancato rispetto di tale obbligo non sono ad oggi regolamentate.
• Utilizzo dei programmi metrici
Il Garante ha precisato che l’utente di un sito deve essere informato della presenza di programmi metrici (ad es. Google Analytics), sottolineando che, laddove questi siano di matrice straniera, verrà a determinarsi necessariamente il trasferimento transfrontaliero dei dati personali, con tutte le relative implicazioni previste dalla normativa in materia di dati personali.
Regolamentazione del trasferimento transfrontaliero dei dati personali dal 1° marzo 2023
A partire dal 1° marzo 2023, l’invio dei dati personali all’estero è ammesso previa apposita notifica a Roskomnadzor.
Rimane in vigore la suddivisione dei Paesi esteri tra quelli che “garantiscono adeguata tutela ai dati personali” e quelli che invece “non garantiscono adeguata tutela in materia di dati personali”.
Nello specifico, sono state introdotte due diverse procedure per il trasferimento dei dati personali a seconda del Paese di destinazione: con riferimento ai Paesi “adeguati” è prevista la mera predisposizione di una notifica al Garante, mentre con riferimento ai Paesi “inadeguati” è invece richiesto il rilascio di una specifica autorizzazione da parte di quest’ultimo.
Il trasferimento dei dati personali a giurisdizioni definite “inadeguate” è consentito soltanto alla scadenza del termine per l’esame della notifica da Roskomnadzor (10 giorni lavorativi), mentre il trasferimento a giurisdizioni “adeguate” è ammesso subito dopo la presentazione della relativa notifica.
La notifica presuppone che l’operatore dei dati personali abbia raccolto adeguate informazioni sulle misure tecniche e organizzative per la protezione dei dati personali concretamente applicate dal titolare del trattamento nel Paese destinatario.
Roskomnadzor è in ogni caso munito di poteri di vietare o limitare il trasferimento transfrontaliero dei dati personali.
Raccomandazioni pratiche
Al fine di assicurare massima aderenza alla nuova regolamentazione e all’attuale prassi applicativa in materia di dati personali, suggeriamo quanto segue:
• tenendo conto della summenzionata posizione del Garante, presentare la notifica sul trasferimento dei dati personali mediante compilazione di un nuovo modulo;
• analizzare i processi aziendali, evidenziando i flussi di trasferimento transfrontaliero dei dati personali;
• valutare l'adeguatezza della protezione dei dati personali da parte dei titolari del trattamento nel Paese destinatario;
• predisporre la notifica sul trasferimento transfrontaliero dei dati personali in relazione a ogni finalità di tale trasferimento.
Con l’occasione confermiamo la disponibilità del nostro Studio a fornire tutta la più opportuna assistenza ai fini di assicurare piena compliance rispetto all’attuale legislazione russa e alla prassi applicativa sui dati personali.