Nella Gazzetta Ufficiale dell’Unione Europea del 7 giugno sono stati pubblicati due Decisioni della Commissione europea che diventeranno strumenti di lavoro per aziende e uffici privacy.
La prima la DECISIONE DI ESECUZIONE (UE) 2021/914 DELLA COMMISSIONE del 4 giugno 2021 che contiene le nuove clausole contrattuali per il trasferimento dati verso paesi terzi (di seguito SCC).
Come noto l’aggiornamento delle SCC era necessario per aggiornare i modelli esistenti ai principi ed ai requisiti stabiliti dal GDPR, ma anche a seguito della sentenza del 16 luglio 2020 del celebre caso “Schrems II”.
Le nuove SCC avranno un impatto positivo anche con riferimento al trasferimento dei dati in paesi terzi diversi dagli Stati Uniti, ma la natura negoziale di questo strumento non consente di fornire una reale soluzione alle possibili ingerenze statali nell’accesso ai dati dei cittadini europei al di fuori dell’Unione (come precisato nella sentenza Schrems II), ingerenze che sarebbe possibile contenere solamente con un accordo fra stati sovrani.
Esaminiamo i principali elementi delle nuove SCC.
Per prima cosa interessante è l’elemento di modularità delle nuove clausole. L’impianto, infatti, è costituito da un complesso di clausole generali, da integrare con uno dei quattro moduli specifici individuati dalla Commissione, al fine di consentire alle parti di adeguare le SCC a ciascuna situazione specifica.
Tali moduli sono:
• Trasferimento da un titolare del trattamento verso un altro titolare;
• Trasferimento da un titolare verso un responsabile del trattamento;
• Trasferimento da un responsabile del trattamento verso un altro responsabile;
• Trasferimento da un responsabile verso un titolare.
In merito al primo modulo, con il parere congiunto dell’EDPB e di EDPS si sottolinea la necessità, da parte della Commissione, di specificare se le clausole di cui sopra siano applicabili anche nel caso di contitolari del trattamento o se la loro portata sia limitata ad un’operazione posta in essere tra due titolari separati.
Il quarto modulo prende in considerazione l’ipotesi in cui una società situata in UE tratti dati personali per conto di un titolare del trattamento situato al di fuori dell’UE.
Le nuove SCC includono, poi, la possibilità di consentire l’accesso al contratto (titolare o responsabile) per tutta la durata dello stesso accordo di trasferimento. La nuova entità avrà i diritti e le obbligazioni relative al proprio ruolo come identificato nell’accordo e negli allegati.
In linea con la pronuncia Schrems II, tali clausole impongono alla parte che effettua il trasferimento di dati, l’obbligo di compiere una valutazione riguardante la legislazione in materia di dati personali vigente nel paese di importazione dei dati.
La Commissione Europea richiede obbligatoriamente che le parti, al termine della loro valutazione, confermino di non aver alcuna ragione di ritenere che la legislazione locale del paese terzo possa impedire all’importazione dei dati personali in un paese fuori dell’Unione Europea di rispettare le obbligazioni stabilite dalle SCC. Per la Commissione, tale valutazione può essere basata sull’esperienza pratica delle parti in termini di esistenza o assenza di precedenti richieste di accesso a dati personali da parte delle autorità pubbliche del paese del data importer.
Le Clausole (art. 14) stabiliscono anche che le parti devono realizzare una sorta di “data transfer impact assessment”. La verifica deve comprendere l’accertamento che le leggi e le prassi del paese terzo rispettino “l’essenza dei diritti e delle libertà fondamentali” e non eccedano quanto è necessario e proporzionato in una società democratica per salvaguardare gli obiettivi ammessi dal GDPR (sicurezza nazionale, difesa, indagini penali, etc.).
La verifica deve essere effettuata per tutta la durata del rapporto, con onere di notifica da parte dell’importatore del dato se questo si rende conto di essere soggetto di una nuova normativa che potrebbe alterare la valutazione già effettuata in senso negativo.
Qualora la valutazione non dia esito positivo, l’importatore del dato deve individuare misure appropriate per far fronte alla situazione. Non è facile immaginare una soluzione che possa aggirare una simile problematica, ancor più difficile da superare negli USA dove una sentenza ha già dichiarato che il livello di tutela non è “sostanzialmente equivalente” a quello europeo.
Pertanto, in tal caso, all’esportatore di dati non resta che il diritto di recedere dal contratto.
Questa evoluzione rende quindi le SCC uno strumento molto più complesso da utilizzare rispetto a quanto accadeva in precedenza, imponendo una valutazione iniziale e lungo tutta la vigenza delle clausole della sostanziale equivalenza di tutela fornita nel paese terzo.
TEMPI.
27 settembre 2021. Le “vecchie” clausole sono abrogate. Sino ad allora le aziende possono inserire sia le vecchie che le nuove SCC.
27 dicembre 2022. Tutti i contratti fatti con le vecchie clausole devono essere sostituiti con le nuove.
Sicuramente un impatto meno travolgente la seconda decisione della Commissione sempre nella Gazzetta del 7 giugno 2021/915 che contiene un “Model Law” ai sensi dell’articolo 28 del GDPR per la regolamentazione dei rapporti tra titolare e responsabile del trattamento.
Naturalmente il Model Law non è obbligatorio, le parti potranno scegliere di negoziare i propri rapporti in un contratto individuale, come del resto è stato fatto in questi anni di vigenza del GDPR, oppure utilizzare il Model Law suggerito dalla Commissione.
Si segnalano due allegato suggeriti dalla Commissione, che si ritengono interessanti:
– Allegato II – Descrizione del trattamento, stante a sottolineare la necessità di circoscrivere il trattamento coinvolto dal contratto ai sensi dell’articolo 28;
– Allegato II – Misure tecniche e organizzative, comprese misure tecniche e organizzative per garantire la sicurezza dei dati, anche su questo aspetto spesso le attuali nomine sono prive di elementi specifici, ma solo indicazioni generiche sulle misure ai sensi dell’art. 32.