With Decision no. 2021/914 of  June 4 2021, the European Commission approved a new set of Standard Contractual Clauses aimed at regulating the transfer of personal data outside the European Union pursuant to Article 46 of Regulation (EU) 2016/679 and ensuring a level of protection of data subjects essentially equivalent to that ensured by Union law, in full compliance with the principles set out by the Court of Justice of the European Union in its well-known “Schrems II” judgment of  July 16, 2020 (we discussed it here).

IL FATTO:

Le clausole tipo sono uno dei meccanismi previsti dal GDPR per consentire di procedere al trasferimento di dati personali verso paesi la cui legislazione non consenta di garantire un livello di protezione adeguato. Si tratta di uno strumento di natura contrattuale, elaborato direttamente dalla Commissione, a disposizione delle parti del trasferimento, denominate per l’appunto “esportatore” ed “importatore”.

Sino alla decisione in esame, gli operatori potevano contare su due diversi set di clausole tipo, predisposte durante la vigenza della normativa anteriore al GDPR ed approvate con due distinte decisioni del 2001 e del 2010. Tali clausole, nello specifico, disciplinano rispettivamente i trasferimenti di dati tra due titolari e tra un titolare e un responsabile.

Le nuove CCS, utilizzabili a decorrere dal 27 giugno p.v., vanno a sostituire integralmente le precedenti clausole standard, che saranno abrogate a partire dal 27 settembre 2021. Sino a tale data (e dunque per un periodo complessivo di 3 mesi) sarà comunque possibile per gli operatori scegliere di utilizzare i vecchi set di clausole, che tuttavia dovranno obbligatoriamente essere sostituite dal nuovo modello al più tardi entro il 27 dicembre 2022.

Le CCS appaiono più complesse rispetto alle versioni precedenti, e richiederanno senz’altro un maggiore sforzi analitico e di rielaborazione da parte delle entità che intendano valersene. Piuttosto onerosi e dettagliati sono gli obblighi posti a capo di esportatori ed importatori.

Riassumiamo qui di seguito alcune delle novità salienti:

1. Modularità: grazie ad una struttura modulare, le CCS vanno a disciplinare i trasferimenti di dati tra operatori aventi ruoli diversi sotto il profilo privacy, ed in particolare tra (i) titolare e titolare, (ii) titolare e responsabile, (iii) responsabile e sub-responsabile e (iv) responsabile e titolare. Se da un lato l’ambito di applicazione si amplia in maniera notevole, dall’altro ogni applicazione delle clausole dovrà essere preceduta da un’attenta opera di revisione e aggiustamento del testo;
2. Possibilità di adesione: le CCS includono una “clausola di adesione successiva” che consente a nuovi soggetti di aderire alle clausole “in qualsiasi momento”, seppur senza effetto retroattivo;
3. Nomina a responsabile del trattamento: nei casi in cui le CCS siano concluse tra titolare e responsabile e responsabile e sub-responsabile, esse fungono anche da accordo tra le parti sul trattamento dei dati ai sensi dell’art. 28 del GDPR, andando a sostituire eventuali atti di nomina precedentemente sottoscritti. Gli operatori che intendano adottare il nuovo set dovranno dunque valutare attentamente come tale novità vada ad incidere sui testi contrattuali in vigore tra le parti, soprattutto in considerazione di quanto previsto al punto successivo;
4. Gerarchia: le CCS prevalgono su qualsiasi altra obbligazione assunta tra le parti a livello contrattuale, si precedentemente che successivamente;
5. Garanzia dell’esportatore: l’esportatore dei dati è tenuto a garantire l’idoneità dell’importatore a soddisfare gli obblighi definiti dalle CCS mediante l’applicazione di idonee misure tecniche e organizzative;
6. Schrems II: le CCS non si limitano a confermare la necessità di procedere ad una valutazione del trasferimento extra UE secondo i principi dettati dalla CGUE (e ripresi dalle Raccomandazioni 1/2020 dell’EDPB), ma richiedono espressamente di documentare tale assessment. Le società dovranno dunque attrezzarsi per sottoporre a “transfer impact assessment” tutti i trasferimenti di dati verso paesi collocati al di fuori dello Spazio Economico Europeo nei confronti dei quali la Commissione non abbia adottato una decisione di adeguatezza.

PERCHÉ È IMPORTANTE:

La predisposizione di un nuovo set di CCS è da anni invocata a gran voce da tutti gli stakeholders, principalmente a causa dei seguenti fattori, che hanno reso le precedenti clausole antiquate e inadatte rispetto alla realtà attuale:

• dell’introduzione del GDPR nel maggio del 2018
• degli sviluppi tecnologici intercorsi negli ultimi 25 anni e della crescente complessità delle filiere di fornitori, soprattutto nell’ambito dei servizi digitali
• dei principi in materia di trasferimento dei dati extra UE stabiliti dalla recente sentenza “Schrems II”.

L’approvazione di questo nuovo modello contrattuale potrà senz’altro essere di aiuto per gli operatori, ancora disorientati dalla sentenza della CGUE. Bisogna però riconoscere che l’utilizzo di questo nuovo set di CCS non semplificherà il processo di compliance dei trasferimenti extra UE, prevedendo molteplici oneri a carico delle parti coinvolte e cristallizzando l’obbligo di procedere a un’approfondita valutazione del grado di protezione per i dati personali offerto dal paese di destinazione.