Politica sui trasferimenti internazionali di dati personali

La Politica sui trasferimenti internazionali di dati personali stabilisce i requisiti per identificare, approvare, registrare, riesaminare, limitare e sospendere i trasferimenti internazionali di dati personali. Si applica alle attività svolte in qualità di titolare del trattamento, contitolare del trattamento, responsabile del trattamento e sub-responsabile quando i dati personali sono resi disponibili, consultati da, archiviati in, ospitati in, comunicati a o altrimenti trasferiti al di fuori del perimetro di trattamento approvato registrato in REG02 o REG09. L’ambito di applicazione include affiliate interne, destinatari esterni, responsabili del trattamento, sub-responsabili, fornitori di servizi, accesso per il supporto, sedi di hosting, amministrazione remota, trasferimenti successivi, richieste di comunicazione da parte di un’autorità pubblica e modifiche del servizio connesse ai trasferimenti. Un elemento centrale della politica è l’approccio basato sulle evidenze. La politica stabilisce che i trasferimenti internazionali devono essere identificati prima dell’avvio o della modifica del trattamento e che in REG09 devono essere mantenute registrazioni dei trasferimenti approvate. REG09 è il principale elemento di evidenza dei trasferimenti, mentre REG02, REG08 e REG12 forniscono evidenze di supporto per attività di trattamento, rapporti con fornitori e responsabili del trattamento, eccezioni, non conformità, azioni correttive e riesame della direzione. I campi REG09 richiesti includono destinazione del trasferimento, destinatario, ruolo PIMS, strumento di trasferimento, evidenze di supporto, data di riesame e proprietario. Questa struttura aiuta l’organizzazione a dimostrare una governance responsabile dei trasferimenti senza creare registri duplicati per valutazioni d’impatto sul trasferimento o SCC. La politica definisce controlli per la selezione, l’approvazione e il riesame del rischio degli strumenti di trasferimento. Per i trasferimenti del titolare del trattamento, il Responsabile privacy / Responsabile PIMS registra in REG09 lo strumento di trasferimento approvato e le evidenze di supporto prima dell’avvio del trasferimento. Il Responsabile della protezione dei dati / Consulente privacy riesamina le evidenze dello strumento di trasferimento prima dell’approvazione di trasferimenti internazionali di dati personali nuovi, modificati in modo sostanziale o a rischio più elevato e completa il riesame del rischio di trasferimento quando attivato. Quando si fa affidamento su misure di sicurezza tecniche, il Responsabile della sicurezza delle informazioni registra lo stato delle dipendenze dalle misure tecniche in REG09 o REG12. Se il rischio residuo del trasferimento è elevato, l’alta direzione deve approvare la prosecuzione del trasferimento in REG12 prima che tale rischio sia accettato. La politica disciplina anche la governance di responsabili del trattamento, sub-responsabili e trasferimenti successivi. Il Responsabile Vendor / Approvvigionamento deve ottenere in REG08 e REG09 l’autorizzazione o l’istruzione documentata del cliente prima di avviare trasferimenti internazionali di dati personali effettuati da responsabili del trattamento, registrare l’autorizzazione dei sub-responsabili e le condizioni di trasferimento a cascata, e impedire trasferimenti successivi da parte di responsabili del trattamento o sub-responsabili finché l’autorizzazione del cliente non è registrata. La politica richiede inoltre che i percorsi dei trasferimenti successivi, le categorie di destinatari, le restrizioni e gli obblighi siano registrati prima dell’approvazione. Le richieste di comunicazione da parte di autorità pubbliche estere devono essere registrate in REG09 o REG12 prima della comunicazione, ove praticabile, oppure entro un giorno lavorativo quando la registrazione preventiva non è praticabile; le richieste rilevanti sotto il profilo della privacy devono ricevere, ove praticabile, il riesame del consulente privacy. La governance continuativa è gestita tramite requisiti definiti di riesame, misurazione, eccezione e applicazione della politica. Le registrazioni attive dei trasferimenti sono riesaminate almeno annualmente ed entro 30 giorni da una modifica sostanziale del trasferimento, mentre il Responsabile privacy / Responsabile PIMS riesamina almeno trimestralmente i riesami dei trasferimenti scaduti, le registrazioni incomplete, i trasferimenti sospesi e le eccezioni aperte relative ai trasferimenti. Le metriche includono la percentuale di registrazioni REG09 attive con evidenze complete dello strumento di trasferimento, i riesami dei trasferimenti scaduti, i trasferimenti sospesi o rinviati, le evidenze scadute relative a responsabili del trattamento o terze parti e le attività di trattamento REG02 non abbinate con potenziali indicatori di trasferimento internazionale. Le eccezioni devono essere registrate in REG12 prima di diventare attive, con assegnazione di proprietario, data di scadenza, controllo compensativo e frequenza di riesame, e devono essere riesaminate almeno mensilmente fino alla chiusura. Le non conformità devono essere registrate quando sono identificati trasferimenti non registrati, strumenti non supportati, autorizzazioni mancanti, riesami scaduti, evidenze mancanti dei trasferimenti successivi o prosecuzione non autorizzata.