Le nuove clausole contrattuali standard della Commissione UE: ecco la privacy post Schrems II - Cyber Security 360

L'analisi

Le nuove clausole contrattuali standard della Commissione UE: ecco la privacy post Schrems II

Le nuove clausole contrattuali standard adottate a giugno 2021 dalla Commissione europea avranno il compito di regolare il trasferimento dei dati verso Paesi Terzi, in linea con il GDPR: regole necessarie dopo la sentenza Schrems II che ha dichiarato non valido il Privacy Shield

07 Giu 2021
C
Marina Rita Carbone

Consulente privacy

La Commissione Europea, il 4 giugno 2021 ha adottato due set di clausole contrattuali standard (Standard Contractual Clauses, SCC) che andranno a regolare il trasferimento di dati presso Paesi Terzi a seguito della sentenza Schrems II, che ha decretato la fine del Privacy Shield.

Le clausole contrattuali elaborate, le quali sono perfettamente in linea con i principi generali espressi nel GDPR, hanno l’obiettivo di fornire “maggiore flessibilità per catene di elaborazione complesse” e “un unico punto di ingresso che copre un’ampia gamma di scenari di trasferimento”, in un contesto storico che vede le grandi società tecnologiche statunitensi al centro della maggior parte dei trattamenti.

Cosa dicono le nuove clausole contrattuali standard della Commissione ue (SCC)

Gli schemi elaborati dalla Commissione Europea sono due:

  • Il primo, finalizzato a gestire il rapporto tra titolare e responsabile del trattamento;
  • Il secondo, finalizzato a regolare i trasferimenti di dati personali, a vario titolo, verso Paesi Terzi.

Come anticipato in premessa, i due schemi tengono conto dei principi contenuti nella sentenza Schrems II emessa dalla Corte di Giustizia oltre che del parere congiunto del Comitato europeo per la protezione dei dati (EDPB) e del Garante europeo della protezione dei dati (EDPS), del feedback delle parti interessate nel corso di un’ampia consultazione pubblica e del parere dei rappresentanti degli Stati membri, e, pertanto, consentono di garantire un elevato livello di protezione dei dati in tutti i casi in cui i dati degli interessati europei siano trattati al di là dei confini dell’Unione.

Digital event, 15 giugno
CyberSecurity360Summit: cyber risk, normative e strategie per vincere le sfide della sicurezza
Legal
Sicurezza

Trasferimenti dati extra UE dopo Schrems II: tutti gli elementi normativi da conoscere

Nel comunicato pubblicato dalla Commissione Europea, si afferma che tali nuovi strumenti “offriranno una maggiore prevedibilità giuridica alle imprese europee e aiuteranno, in particolare, le PMI a garantire il rispetto dei requisiti per trasferimenti sicuri di dati, consentendo allo stesso tempo ai dati di circolare liberamente attraverso le frontiere, senza barriere giuridiche”.

La situazione venutasi a creare in seguito alla sentenza Schrems II, infatti, aveva creato non poche problematiche per tutte le aziende (ma non solo) che facevano affidamento ai servizi offerti a vario titolo dalle Big Tech, la cui convenienza, anche in termini economici, è comunque nota. Grazie all’intervento della Commissione Europea, sarà dunque possibile calibrare il trasferimento dei dati in funzione delle garanzie richieste dal GDPR, preservando allo stesso tempo la continuità dei servizi e dei sistemi aziendali.

Nuove clausole contrattuali standard e GDPR

La Commissione Europea si è premurata di adeguare le Clausole Contrattuali Standard ai nuovi requisiti forniti sia dal GDPR che dalla giurisprudenza della Corte di Giustizia e dalle prassi commerciali nelle quali si trovano ad operare la maggior parte delle imprese. Grazie alla definizione di documenti standardizzati e pre-approvati, all’interno dei quali sono contenuti i requisiti minimi, gli allegati contenuti nelle singole decisioni forniscono alle aziende un modello sicuro e semplice da implementare, grazie al quale è possibile garantire la compliance dei singoli trattamenti ai principi fondamentali del trattamento dei dati.

Il medesimo set di clausole contrattuali standard, come indicato nelle decisioni, potrà essere utilizzato sia nel caso in cui il trattamento sia posto in essere ai sensi del Reg. UE 679/2016, sia nel caso in cui, invece, sia posto in essere ai sensi del Regolamento 1725/2018. Ciò in ragione del fatto che, al fine di avere un approccio coerente alla protezione dei dati personali in tutta l’Unione e alla libera circolazione dei dati personali nell’Unione, le norme sulla protezione dei dati di cui al regolamento (UE) 2016/679, applicabile al settore pubblico negli Stati membri, e le norme sulla protezione dei dati di cui al regolamento (UE) 2018/1725, applicabili alle istituzioni, agli organi e alle agenzie dell’Unione, devono essere, per quanto possibile, allineate tra loro.

Cosa cambia con le SCC

Come riportato nel comunicato della Commissione UE, le principali innovazioni contenuti nelle clausole contrattuali standard sono:

  1. L’aggiornamento del contenuto delle stesse con quanto contenuto nel Regolamento Generale sulla Protezione dei Dati (GDPR);
  2. La previsione di un unico “entry-point” che copre un’ampia gamma di scenari di trasferimento, in luogo di insiemi separati di clausole, fatta salva la possibilità di prevedere clausole ulteriori oltre a quelle minime previste negli schemi della Commissione (l’importatore e l’esportatore dei dati “sono liberi di includere tali clausole contrattuali standard in un contratto più ampio e di aggiungere altre clausole o garanzie aggiuntive, a condizione che non contraddicano, direttamente o indirettamente, le clausole contrattuali standard o pregiudichi i diritti o le libertà fondamentali degli interessati”);
  3. Maggiore flessibilità per le catene di lavorazione complesse, attraverso un “approccio modulare” nonché offrendo la possibilità a più di due parti di aderire e utilizzare le clausole, lungo l’intero arco di vita del contratto (“I terzi dovrebbero poter diventare parte delle clausole contrattuali standard durante tutto il ciclo di vita del contratto”);
  4. Previsione di un “toolbox” che permetta di conformarsi alla sentenza Schrems II, ovvero una panoramica delle diverse misure che le imprese devono adottare per rispecchiare i requisiti previsti dalla sentenza Schrems II, oltre a numerosi esempi di possibili “misure supplementari”, come la cifratura dei dati, che le società possono adottare, ove necessario.

Il periodo di transizione

Nel caso in cui i titolari e i responsabili del trattamento abbiano già in essere un set di clausole standard differenti da quelle fornite dalla Commissione, viene previsto un periodo di transizione pari a mesi 18 per adeguare i contratti ai nuovi standard, fermo restando che le clausole contrattuali standard devono comprendere norme sostanziali e procedurali, oltre che stabilire, ai sensi dell’art. 28 GDPR, l’oggetto e la durata del trattamento, la sua natura e finalità, il tipo di dati personali trattati, le categorie di soggetti interessati e gli obblighi e i diritti del titolare del trattamento.

Sentenza Schrems II, gli impatti per Governi e imprese: ecco cosa è cambiato

Da ultimo, la Commissione pone in risalto come le CCS in esame siano state pubblicate in un momento successivo all’emanazione, da parte di diverse organizzazioni regionali e paesi terzi, di clausole contrattuali proprie, sulla base di principi convergenti. All’interno di tale contesto, la Commissione ha fatto comunque presente che si renderà necessario intensificare la cooperazione con tali partner internazionali, al fine di coordinare la documentazione e semplificare ulteriormente il trasferimento dei dati personali al di fuori dei confini dell’Unione Europea.

Come funzionano le CCS (clausole contrattuali standard)

Come ovvio, le parti dovranno essere in grado di dimostrare la piena conformità del dato sostanziale alle previsioni contrattuali. In particolare, l’importatore dei dati dovrebbe conservare la documentazione relativa alle attività di trattamento sotto la sua responsabilità ed informare tempestivamente l’esportatore di dati nel caso in cui, in base al proprio assetto tecnico-organizzativo o per qualsiasi altro motivo, non sia in grado di rispettare le clausole. Se l’esportatore di dati riceve tale notifica o viene comunque a conoscenza del fatto che l’importatore di dati non è più in grado di rispettare le clausole contrattuali standard, dovrebbe individuare le misure appropriate per affrontare la situazione, se necessario in consultazione con l’autorità di vigilanza competente. Tali misure possono comprendere misure supplementari adottate dall’esportatore di dati e/o dall’importatore di dati, come misure tecniche o organizzative per garantire la sicurezza e la riservatezza.

A sua volta, l’esportatore di dati dovrebbe sospendere il trasferimento e, in casi particolarmente gravi, avere il diritto di recedere dal contratto, nella misura in cui esso riguarda il trattamento dei dati personali in base a clausole contrattuali standard, nel caso in cui l’importatore dei dati violi le clausole o non sia in grado di rispettarle. Dovrebbero essere applicate norme specifiche, da ultimo, nel caso in cui le leggi locali incidano sul rispetto delle clausole (le leggi e le prassi normative dello stato di destinazione non possono, infatti, confliggere con il rispetto dei principi fondamentali della legge europea sul trattamento dei dati personali). I dati personali trasferiti prima della risoluzione del contratto, e le loro eventuali copie, dovrebbero, a scelta dell’esportatore di dati, essere restituiti allo stesso o distrutti nella loro interezza.

Il contesto normativo

Le clausole contrattuali standard (CCS) rappresentano uno degli strumenti posti a garanzia del trasferimento di darti presso i paesi terzi, ai sensi di quanto previsto dall’art. 46 c. 2 lett. c) GDPR, nel quale si afferma che “Possono costituire garanzie adeguate di cui al paragrafo 1 senza necessitare di autorizzazioni specifiche da parte di un’autorità di controllo: […] c) le clausole tipo di protezione dei dati adottate dalla Commissione secondo la procedura d’esame di cui all’articolo 93, paragrafo 2”. In quanto standardizzate e soggette a valutazione preventiva da parte della Commissione Europea, tali clausole possono essere direttamente incorporate negli accordi contrattuali su base volontaria, a dimostrazione della conformità del trasferimento a livello internazionale.

Le CCS e la sentenza Schrems II

Il 16 luglio 2020, la Corte di giustizia ha confermato la validità delle clausole contrattuali standard dell’UE per il trasferimento di dati personali a responsabili del trattamento al di fuori dell’UE/SEE, invalidando nel contempo lo scudo UE-USA per la privacy (c.d. Privacy Shield).  Pertanto, la Corte ha stabilito che i flussi internazionali di dati, nell’ambito della generale strategia di protezione dei dati dell’Unione europea (rappresentata dal GDPR), possano continuare a basarsi su clausole contrattuali standard dell’UE, stabilendo, tuttavia, le condizioni nelle quali tali clausole contrattuali standard possano essere utilizzate.

Le decisioni in esame, dunque, rappresentano la conclusione di tale procedimento di adeguatezza e sostegno ai titolari del trattamento europei, i quali, specie se appartenenti alla categoria delle PMI, si erano trovati a dover riorganizzare i propri processi senza avere il potere contrattuale sufficiente ad imporre le proprie condizioni nei confronti dei grandi fornitori di servizi. Elaborato uno standard comune di clausole contrattuali standard, l’auspicio è che i trasferimenti di dati personali siano resi pienamente legittimi con maggiore certezza e semplicità, grazie all’applicazione dei principi contenuti nelle stesse, oltre che delle eventuali ulteriori misure di sicurezza che si renderanno necessario nel caso concreto, anche sulla base degli esempi forniti dalla stessa Commissione.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5