Standard Contractual Clauses: i punti salienti della nuova bozza pubblicata dalla Commissione Europea
di Sara Bonomi
Il 12 novembre 2020, la Commissione Europea ha pubblicato la bozza delle nuove clausole tipo di protezione dei dati (successivamente “SCC”, dalla loro denominazione inglese “Standard Contractual Clauses”), da utilizzare in caso di trasferimento di dati personali al di fuori dell’Unione Europea.
Al momento della redazione del presente articolo, la versione definitiva delle nuove SCC non è ancora stata pubblicata, ma ciò dovrebbe presumibilmente avvenire entro la prima metà del 2021. Ad essere stato pubblicato è, invece, il parere congiunto [1] dell’European Data Protection Supervisor (di seguito, “EDPS”) e dell’European Data Protection Board (di seguito, “EDPB”), con il quale vengono sottolineate diverse criticità emerse dall’esame della bozza delle SCC e suggerite altrettante soluzioni interpretative. Alcune di queste considerazioni saranno riportate nel presente articolo.
- Breve excursus storico e normativo
Come stabilito dall’art. 46 del Regolamento (EU) 2016/679 (di seguito, “GDPR”), ogni trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale deve rispettare le disposizioni del Capitolo V del GDPR. In relazione a ciò, è bene ricordare che le SCC in discussione figurano nella lista delle garanzie adeguate indicate dall’art. 46.
In precedenza, la Commissione Europea aveva adottato due tipologie principali di SCC:
- la prima dedicata al trasferimento di dati personali da parte di un titolare del trattamento situato in UE verso un altro titolare, ubicato indifferentemente dentro o fuori UE. Di questa tipologia è stata pubblicata la prima versione nel 2001, cui ha fatto seguito un aggiornamento nel 2004;
- la seconda, destinata a regolamentare i trasferimenti di dati tra un titolare che si trova in UE verso un responsabile del trattamento, situato tanto all’interno che all’esterno dell’UE. In tal caso, il suddetto modello è stato presentato dalla Commissione Europea nel 2010.
La nuova bozza di SCC risponde, dunque, all’esigenza di aggiornare i modelli esistenti ai principi ed ai requisiti stabiliti dal GDPR, entrato in vigore dopo la pubblicazione delle precedenti versioni, e ai nuovi sviluppi in ambito tecnologico. In particolare, ad oggi è possibile riscontrare una maggiore complessità riguardo al trasferimento di dati personali tra più titolari e/o responsabili; complessità che, in molti casi, si traduce nell’esistenza di vere e proprie catene di trasferimenti, susseguenti al trasferimento principale. In tal senso, i modelli precedenti di SCC non permettevano di regolamentare tali ipotesi lasciando, quindi, un vuoto contrattuale. A tali considerazioni, si aggiungano anche le conseguenze della sentenza del 16 luglio 2020 della Corte di Giustizia dell’Unione Europea, nel celebre caso “Schrems II”, che ha posto l’accento, in particolare, sulla necessità di effettuare una valutazione della conformità dell’ordinamento del paese terzo, verso cui i dati sono trasferiti, alle regole e principi imposti dalla regolamentazione europea sulla protezione dei dati personali.
- Le nuove SCC
2.1. La struttura delle SCC
Inoltrandoci nell’analisi delle nuove SCC, il primo elemento di novità contenuto nella bozza della Commissione riguarda la struttura stessa delle SCC.
L’impianto, infatti, è costituito da un complesso di clausole generali, da integrare con uno dei quattro moduli specifici individuati dalla Commissione, al fine di consentire alle parti di adeguare le SCC a ciascuna situazione specifica.
Tali moduli sono i seguenti:
- Trasferimento da un titolare del trattamento verso un altro titolare;
- Trasferimento da un titolare verso un responsabile del trattamento;
- Trasferimento da un responsabile del trattamento verso un altro responsabile;
- Trasferimento da un responsabile verso un titolare.
In merito al primo modulo, con il parere congiunto dell’EDPB e di EDPS si sottolinea la necessità, da parte della Commissione, di specificare se le clausole di cui sopra siano applicabili anche nel caso di contitolari del trattamento o se la loro portata sia limitata ad un’operazione posta in essere tra due titolari separati.
Il quarto modulo è stato salutato con particolare entusiasmo, in quanto prende in considerazione l’ipotesi in cui una società situata in UE tratti dati personali per conto di un titolare del trattamento situato al di fuori del Continente. Tale aspetto determinerebbe, dunque, l’utilizzo delle SCC come linee guida nelle suddette ipotesi e consentirebbe di offrire un quadro contrattuale adatto alla loro regolamentazione.
Da ultimo, si prende atto dei dubbi sollevati dall’opinione congiunta di EDPB e EDPS in merito alla possibilità di combinare diversi moduli all’interno di un unico modello di SCC. A tale proposito, le suddette autorità formulano un espresso invito alla Commissione Europea, volto a chiarificare tale ipotesi[2].
2.2. L’introduzione della docking clause
L’art. 6 della parte generale delle nuove SCC include una docking clause che razionalizza e semplifica l’accesso a tale contratto ad un’entità, terza rispetto all’accordo, ma in ogni caso coinvolta nel trasferimento di dati. Tale clausola permette, dunque, ad un soggetto terzo di accedere ad un contratto già stipulato tra le parti, senza necessità di concludere, tra le stesse, ulteriori SCC.
Tale inclusione è consentita solo previo completamento degli allegati I.A, I.B e II. In seguito all’aggiornamento ed alla firma di tali allegati, la nuova entità avrà i diritti e le obbligazioni relative al proprio ruolo (come identificato nei suddetti allegati). Preme ricordare che tali diritti ed obbligazioni, esistenti in forza delle SCC, non sono applicabili nei confronti della nuova entità nel periodo antecedente alla sua inclusione al contratto.
2.3. Impatto della sentenza Schrems II sulle nuove SCC
Come anticipato nella sezione 2.1. del presente articolo, l’impatto del caso Schrems II si manifesta, in modo particolarmente esplicito, nelle clausole 2 e 3 delle nuove SCC.
In linea con la pronuncia della Corte di Giustizia dell’Unione Europea, tali clausole impongono alla parte effettuante il trasferimento internazionale di dati (di seguito, il “data exporter”), l’obbligo di compiere una valutazione riguardante la legislazione in materia di dati personali vigente nel paese di importazione dei dati. In merito a tale disposizione, risulta interessante sottolineare una discrepanza tra l’approccio adottato dalla Commissione Europea e le raccomandazioni[3]precedentemente formulate dall’EDPB.
Da un lato, la Commissione Europea richiede obbligatoriamente che le parti, al termine della loro valutazione, confermino di non aver alcuna ragione di ritenere che la legislazione locale del paese terzo possa impedire al “data importer” (ossia, alla parte responsabile dell’importazione dei dati personali in un paese situato al di fuori dell’Unione Europea) di rispettare le obbligazioni stabilite dalle SCC. Per la Commissione, tale valutazione può essere basata sull’esperienza pratica delle parti in termini di esistenza o assenza di precedenti richieste di accesso a dati personali da parte delle autorità pubbliche del paese del data importer. Dall’altro lato, l’EDPB non si accontenta di una semplice valutazione in merito alla probabilità di tali richieste e accessi, bensì sottolinea la necessità che tali considerazioni siano basate su una serie di elementi, elencati nelle raccomandazioni[4] pubblicate nel mese di novembre 2020, ed auspica un chiarimento da parte della Commissione Europea sul punto.
Le suddette clausole stabiliscono, altresì, che le parti realizzino un data transfer impact assessment, che dovrà essere messo a disposizione su richiesta della competente Autorità in materia di protezione dei dati personali. In aggiunta a tale obbligo, il data exporter dovrà essere immediatamente informato dalla controparte qualora questa dovesse ricevere, da parte di un’autorità pubblica, una richiesta di accesso ai dati personali costituenti l’oggetto del trasferimento.
2.4. Le misure di sicurezza da applicare al trasferimento dei dati
L’allegato II descrive l’insieme delle misure tecniche ed organizzative applicabili al trasferimento in oggetto, al fine di assicurare il rispetto degli standard di sicurezza richiesti della normativa europea in materia di protezione dei dati personali. In tal senso, le SCC non contengono un’indicazione in merito alle misure più appropriate a soddisfare talefunzione. Di conseguenza, sotto questo punto di vista, è essenziale completare la lettura delle SCC con le raccomandazioni fornite dell’EDPB[5].
- Conclusione
Come menzionato nell’introduzione del presente articolo, la versione finale delle SCC dovrebbe essere pubblicata nei prossimi mesi. Le nuove SCC abrogheranno pertanto le versioni pubblicate in precedenza e tuttora in vigore.
La Commissione Europea prevede un periodo di transizione della durata di 12 mesi, che prenderà avvio dalla data di pubblicazione delle nuove SCC. A questo lasso di tempo faranno riferimento solamente i contratti conclusi prima dell’entrata in vigore delle nuove SCC; di conseguenza, tutti i nuovi contratti conclusi in seguito alla pubblicazione delle nuove SCC, dovranno obbligatoriamente osservarle.
[1] European Data Protection Supervisor – European Data Protection Board, Joint Opinion 2/2021 on the European Commission’s Implementing Decision on standard contractual clauses for the transfer of personal data to third countries for the matters referred to in Article 46 (2)(c) of Regulation (EU) 2016/679, 14 gennaio 2021.
[2] Ibidem.
[3] EDPB, “Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data”, 11 novembre 2020.
[4] Ibidem.
[5] Ibidem.
Autore