Oppure le previsioni sulla autonoma responsabilità per violazione delle norme dell’ADP- PA, laddove l’articolo 302(c)(2) e (3) stabilisce un Titolare del trattamento che trasferisce i dati personali a un responsabile del trattamento in conformità ai requisiti della legge non è responsabile di una violazione da parte del responsabile del trattamento a cui tali dati sono stati trasferiti, a condizione che, al momento del trasferimento, il Titolare del tratta- mento non sapesse o avesse motivo di sapere che il responsabile del trattamento avrebbe probabilmente commesso una violazione. E ciò è vero anche al contrario: un responsabile del trattamento che riceve i dati personali dal Titolare in conformità ai requisiti della legge non è responsabile di una violazione da parte del Titolare del trattamento. Queste disposizioni (applicabili anche – mutatis mutandis - ai rapporti tra responsabile e sub responsabili del trattamento) sembrano riecheggiare il principio di autonoma responsabili- tà previsto dall’articolo 82 del GDPR, in base al quale i vari soggetti data protection sono re- sponsabili in proprio per le violazioni di norme del GDPR specificatamente indirizzate a loro. > I PROGRAMMI DI CONFORMITÀ TECNICA La section 303 dell’ADPPA prevede che entro un anno dalla data di entrata in vigore della legge la Federal Trade Commission (FTC) A adotti regolamenti ai sensi della sezione 553 del titolo 5 del Codice degli Stati Uniti per disciplinare un procedimento mediante il quale i Titolari del trattamento (o loro associazioni) presenteranno e richiederanno alla FTC una specifica approvazione dei cosiddetti Programmi di Conformità Tecnica (PCT) specifici per qualsiasi tecnologia, prodotto, servizio o metodo utilizzato per raccogliere, trattare o tra- sferire dati personali. I PCT: 1. devono stabilire le linee guida per la conformità all’ADPPA di qualsiasi tecnologia, pro- dotto, servizio o metodo utilizzato per raccogliere, trattare o trasferire dati; 2. devono soddisfare i requisiti dell’ADDPA, eventualmente fissandone anche di più strin- genti; e 3. vanno resi pubblici e disponibili a qualsiasi interessato i cui dati coperti siano raccolti, trattati o trasferiti utilizzando la tecnologia, prodotto, servizio o metodo oggetto del PCT. Siamo in sostanza di fronte ad una sorta di certificazione di conformità che sembra rie- cheggiare l’analoga previsione di cui all’articolo 42 del GDPR sui meccanismi di certifi- cazione, con l’intervento dell’Autorità di sorveglianza, che negli USA è appunto la Federal Trade commission . Quanto agli aspetti procedurali, ogni richiesta di approvazione, modifica o abrogazione di un PCT presentata viene pubblicata dalla FTC entro 90 giorni e messa in consultazione
69
Made with FlippingBook Online newsletter maker