Tempo di lettura stimato: 6'
Torniamo su un argomento che ci interessa un po’ tutti: la caduta del Privacy Shield e il caos sul trasferimento di dati personali all’estero. Ci sono delle novità. Ma prima di capire quali, facciamo un ripassino.
Con la sentenza Schrems II, emanata dalla Corte di Giustizia Europea nel luglio del 2020, alcuni dei servizi Made in USA più diffusi in Europa e usati da tutti - e con tutti intendo sia Peppino il panettiere, che manda le newsletter per parlare di pane e farine, sia la multinazionale - non si potevano più utilizzare senza andare ad aggiungere ulteriori misure di sicurezza e verifica o senza chiedere preventivamente il consenso per il trasferimento dei dati personali al di fuori della UE.
Panico.
L’unico appiglio erano le Standard Contractual Clauses (SCC) o Clausole Contrattuali Standard (CCS) adottate dalla Commissione Europea, che finalmente sono state aggiornate a giugno 2021.
Le “vecchie” clausole contrattuali standard? Difficili da applicare se hai una PMI
Le Standard Contractual Clauses, dice il GDPR, “possono costituire garanzie adeguate” senza che siano necessarie autorizzazioni specifiche da parte di un’autorità di controllo, perché sono standardizzate e perché sono state valutate dalla Commissione. Quindi possono essere inserite nei contratti tra le parti, quando c’è un trasferimento di dati personali al di fuori dell’UE. Sono state “approvate” anche dalla Corte di Giustizia Europea (quella che ha decapitato il Privacy Shield per intenderci).
Questo è il quadro post-Schrems II.
Quindi? Quindi se vuoi trasferire dati personali all’estero – USA compresi - puoi farlo ma, per poterlo fare, devi verificare che lo Stato in cui stai trasferendo i dati personali a te affidati sia uno Stato sicuro. Nel caso in cui lo Stato venga dichiarato inadeguato, come è successo per l’America con la sentenza Schrems II, una delle possibilità per poter continuare a lavorare con Aziende - in questo caso americane - è verificare se hanno sottoscritto le clausole contrattuali standard della Commissione. Servono delle garanzie. Altrimenti non puoi trasferire i dati.
Problema: le “vecchie SCC” hanno un limite, la scarsa flessibilità, che diventa un ostacolo non da poco, quando l’equilibrio tra le parti del contratto è tutto a favore dei grandi players internazionali.
Ce la vedi la Peppino srl - che ha la panetteria, 10 dipendenti e vende pane ai ristoranti in Emilia e Lombardia – che chiede a Google e Facebook come tutelano i dati personali?
Ma anche la grande azienda all’italiana con 2 o 3 sedi e qualche centinaio di dipendenti,
ce la vedi a contattare l’ufficio privacy di Zuckerberg? Io no. Ci vedo di più la grande multinazionale, quella con decine di migliaia di dipendenti.
C’è una sproporzione, uno squilibrio tutto a favore dei Big Tech. È per questo che la Commissione Europea è intervenuta e a giugno di quest’anno ha lanciato un salvagente, elaborando uno standard che permettesse anche alla Peppino srl di poter verificare se è possibile trasferire dati personali fuori dall’UE legittimamente, con più certezze e più facilità.
Anche perché, vuoi o non vuoi, i servizi Made in USA sono a tutti gli effetti strategici per il business di molte aziende (e non solo).
Quindi che cosa ha fatto la Commissione Europea?
Ha adottato le nuove Standard Contractual Clauses, SCC, adeguandole al GDPR, alla sentenza della Corte di Giustizia e agli accordi commerciali che vengono normalmente adottati fra aziende.
Nuove Clausole Contrattuali Standard della Commissione Europea: perché e percome
Il 4 giugno 2021, la Commissione Europea ha adottato 2 gruppi di clausole contrattuali standard da includere nel contratto di trasferimento di dati personali all’estero (cioè nei Paesi Terzi, quindi fuori dall’UE e in particolare negli USA).
Con queste clausole punta a fare sostanzialmente 2 cose:
1 – gestire il rapporto tra titolare e responsabile del trattamento;
2 - regolare i trasferimenti di dati personali verso i Paesi Terzi.
Grazie ai 2 insiemi di clausole, la Commissione Europea punta a dare maggiore flessibilità, perché (cito testualmente) “si sono verificati importanti sviluppi nell’economia digitale, con l’uso diffuso di nuovi e più complessi trattamenti che coinvolgono spesso numerosi importatori ed esportatori, lunghe e complesse catene di trattamento e relazioni commerciali in evoluzione. Ciò richiede una modernizzazione delle clausole contrattuali tipo per rispecchiare meglio tali realtà, contemplando ulteriori situazioni di trattamento e trasferimento, e consentire un approccio più flessibile, ad esempio per quanto riguarda il numero di parti che possono aderire al contratto.”
Con le nuove SCC la Commissione fissa delle bandierine per aiutare le aziende, soprattutto quelle più piccole, a verificare il rispetto dei requisiti per il trasferimento dei dati all’estero.
I 2 schemi non sono separati dal resto, ma considerano quello che è stato previsto dalla Schrems II, dallo European Data Protection Board (il Comitato europeo per la protezione dei dati o EDPB) e dal Garante europeo della protezione dei dati. E tiene anche conto del parere delle parti interessate, compresi i vari Stati membri dell’UE.
Diciamo che la Commissione Europea si è assicurata di guardare tutti i punti di vista, di metterli insieme e di costruire un sistema che permettesse di garantire un livello di protezione dei dati elevato, quando le informazioni personali di cittadini europei vengono trattate al di fuori dell’UE.
Cosa sono e cosa prevendono le nuove SCC della Commissione Europea
Cosa sono? Le nuove Standard Contractual Clauses sono dei documenti standard pre-approvati che contengono dei requisiti minimi da rispettare nel trasferimento dei dati all’estero e possono essere usati sia sulla base del GDPR, sia dalle istituzioni, gli organi e le agenzie dell’UE, sulla base del Regolamento 1725 del 2018.
Rispetto alle SCC “classiche”, ci sono delle novità:
1 – Il loro contenuto è stato aggiornato nel rispetto del GDPR.
2 – È previsto che vi sia un solo punto di ingresso – un entry-point, così lo definisce la Commissione Europea – per considerare diversi scenari legati al trasferimento dei dati. Quindi vengono definite delle clausole minime, ma le parti sono liberissime di mettercene di più, a patto che non vadano contro - direttamente o indirettamente – alle clausole contrattuali standard della Commissione e che non mettano a rischio i diritti o le libertà fondamentali degli interessati.
3 – C’è più flessibilità. Il trasferimento dei dati all’estero si sviluppa lungo una catena più o meno complessa che, con le nuove SCC, è più gestibile, perché le clausole sono modulari e prevedono che anche i soggetti terzi possano rientrarvi, all’interno del ciclo di vita del contratto.
4 - In più, la Commissione Europea ha stilato una lista delle misure da adottare per essere in linea con la sentenza Schrems II e ha raccolto diversi esempi di misure supplementari che si possono implementare.
E se un’azienda usa già le sue clausole contrattuali standard?
Ha 18 mesi di tempo per adeguare i contratti alle nuove SCC della Commissione Europea, assicurandosi di fare anche queste cose:
- fissare la durata, l’oggetto, la natura e la finalità del trattamento;
- definire il tipo di dati personali che vengono trattati e chi sono gli interessati;
- chiarire gli obblighi e i diritti del titolare del trattamento;
- comprendere norme sostanziali e procedure.
Cosa devono fare l’importatore e l’esportatore dei dati?
Ovviamente mettere in pratica quello che firmano, in ottica di accountability. Lo dico, lo ripeto e lo ribadisco ancora una volta: non basta avere il bollino per essere in regola.
In più è chiaro che i soggetti che importano e quelli che esportano i dati hanno dei doveri:
- Gli importatori di dati hanno la responsabilità di conservare la documentazione relativa alle attività di trattamento e devono informare tempestivamente l’esportatore di dati se non sono in grado di rispettare le nuove clausole contrattuali standard. In questo secondo caso, se l’esportatore di dati riceve la notifica – ma anche solo se ne viene a conoscenza – deve prendere delle contromisure, tecniche o organizzative, per garantire la sicurezza e la riservatezza dei dati (anche sentendo l’autorità di vigilanza competente, nel caso).
- Se l’importatore di dati viola le clausole o non è in grado di rispettarle, l’esportatore di dati deve sospendere il trasferimento e può anche recedere dal contratto relativo al trattamento di dati personali e le SCC.
Cosa fare se le leggi dello Stato in cui vengono esportati i dati confliggono con le SCC?
Posto che leggi e prassi dello Stato di destinazione non possono entrare in conflitto con i principi del GDPR, se queste leggi locali non permettono di rispettare le Standard Contractual Clauses, vanno applicate norme specifiche.
E una volta che il contratto viene sciolto?
I dati personali trasferiti prima della risoluzione del contratto - e se ci sono, anche le loro copie - vanno restituite all’esportatore di dati o distrutti.
Sceglie chi esporta.
Se vuoi approfondire questo e altri aspetti, trovi la formazione completa e aggiornata su GDPR, privacy e cybersecurity su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
