La Commissione Europea ha pubblicato, nel giorno del quarto anniversario dal pieno avvento del GDPR, delle linee guida riguardanti le clausole contrattuali standard (SCC).
Le clausole contrattuali standard, ricordiamo, rappresentano uno degli strumenti previsti dal Regolamento UE che permettono il trasferimento di dati personali verso quei Paesi, non appartenenti allo Spazio Economico Europeo, che non sono stati riconosciuti quali Paesi adeguati da parte della Commissione stessa.
Le Standard Contractual Clauses sono dunque delle clausole contrattuali, il cui testo è stato definito dalla Commissione Europea, e che possono essere utilizzate dalle diverse organizzazioni “esportatrici” di dati verso Paesi Extra-UE. Rientrano tra le organizzazioni esportatrici le aziende che si affidano a fornitori extra-UE.
Buon anniversario GDPR: quattro anni portati bene, ma c’è ancora molto fa fare
Indice degli argomenti
Uno strumento collaudato
Le SCC sono uno strumento previgente al GDPR. Si tratta, infatti, di uno strumento già in uso con la precedente normativa comunitaria in materia di protezione dei dati personali. L’avvento del GDPR e i successivi sviluppi (si veda in particolare la sentenza della Corte Europea “Schrems 2”) hanno però avuto degli importati riverberi anche sul trasferimento di dati personali all’estero e, di conseguenza, si è reso necessario un sostanziale aggiornamento delle clausole contrattuali preesistenti, risalenti al 2010. Il 4 giugno dello scorso anno la Commissione ha dunque adottato due nuovi set di SCC, aderenti ai principi generali sanciti nel GDPR e che tengono conto degli orientamenti espressi dalla giurisprudenza comunitaria.
Sono state dunque adottate delle clausole utilizzabili nei trasferimenti tra:
- titolare UE e titolare stabilito presso un Paese terzo;
- titolare UE e responsabili stabiliti presso un Paese terzo;
- responsabili UE e sub-responsabili di un Paese terzo;
- responsabili UE e titolari presso un Paese terzo.
Queste clausole, nel corso del loro primo anno di vigenza, si sono rilevate sicuramente molto utili per regolamentare i rapporti in essere e quelli stretti nell’ultimo anno, rappresentando lo strumento di elezione per regolamentare i trasferimenti di dati all’estero.
Clausole contrattuali standard: domande e risposte
Per questo motivo, la Commissione ha deciso di fornire a tutti gli operatori delle linee guida, dal taglio molto pratico, sottoforma di domande e risposte (Q&A). Come rappresentato dalla Commissione stessa, le Q&A sono basate sui feedback ricevuti dai vari stakeholders sulla base della loro esperienza nell’utilizzo delle SCC nei primi mesi di adozione delle stesse.
Le linee guida sono un documento dichiaratamente dinamico, in continuo aggiornamento sulla base delle nuove domande che emergeranno in futuro, e con il fine ultimo di aiutare le parti interessate nei loro sforzi di conformità al Regolamento generale sulla protezione dei dati personali.
Le Q&A sono composte da 44 domande e risposte riguardanti caratteristiche generali delle clausole, il loro ambito di applicazione, il loro rapporto con le altre disposizioni contrattuali, il funzionamento della cosiddetta “docking clause” ed altri aspetti legati a salvaguardie e garanzie richieste ai data importer.
Le Q&A non hanno chiaramente contenuti innovativi ma offrono un supporto nell’interpretazione e nell’adozione delle clausole stesse. Le clausole standard si collocano in un framework normativo assai complesso, frutto di incisivi orientamenti giurisprudenziali e di ripetuti interventi normativi. Un panorama sempre più in fase di definizione, nel quale un intervento quale quello della Commissione è quanto mai opportuno.
Vediamo dunque alcune tra queste Q&A per analizzarne i contenuti ed approfondire alcuni aspetti dello strumento che, dati alla mano, è di gran lunga il più utilizzato per i trasferimenti di dati personali all’estero.
Analisi del Q&A
La Commissione, nelle prime risposte, descrive il processo di creazione delle SCC e quali vantaggi questo strumento possa apportare ai diversi operatori. La Commissione evidenzia come il poter disporre di clausole standard e “pronte all’uso” renda il processo di implementazione delle stesse assai agevole, soprattutto per le piccole e medie imprese che spesso si trovano in una posizione di svantaggio rispetto ai grandi operatori tecnologici stabiliti al di fuori dei confini comunitari.
Le SCC saranno oggetto di una review a cadenza quadriennale al fine, tra l’altro, di valutarne l’efficacia pratica e i feedback ricevuti dagli stakeholders.
Alla Q&A numero 7 viene specificato che il dettato delle SCC, così come redatto dalla Commissione, è da considerarsi immodificabile. Le uniche parti modificabili sono:
- la scelta del modulo e/o delle specifiche opzioni previste nel testo;
- le sezioni che richiedono di essere completate dalle parti e indicate espressamente nel testo;
- gli allegati, anche in questo caso solo limitatamente alle parti espressamente indicate;
- le ulteriori salvaguardie che innalzano il livello di protezione dei dati personali.
Una modifica delle SCC che non rientri nelle quattro casistiche di cui sopra potrebbe inficiare le garanzie offerte dalle SCC stesse. La Commissione non esclude tuttavia che si possano aggiungere delle clausole ulteriori rispetto a quelle originariamente previste, è tuttavia necessario che le stesse non contraddicano o limitino, direttamente o indirettamente, quanto previsto nelle SCC, in particolar modo in relazione ai diritti degli interessati. È chiaro che non possono essere previste esenzioni o limiti alle responsabilità delle Parti.
Clausole opzionali, ma nemmeno troppo
Tra le clausole opzionali vi è anche la “docking clause” (in italiano, letteralmente, ‘clausola d’attracco’). Questa clausola, non esistente nella precedente versione delle SCC, permette l’adesione successiva di parti diverse ed ulteriori rispetto a quelle originariamente legate dalle SCC. La docking clause semplifica l’accesso di una terza parte (presumibilmente anche essa stabilita fuori dall’UE) ad un rapporto già esistente, senza rendersi necessaria la sottoscrizione di nuove SCC. La parte che aderisce all’accordo assume i diritti e gli obblighi connessi al proprio ruolo al momento della sua adesione e specificati negli appositi allegati. È necessario che tutte le parti preesistenti acconsentano all’adesione della nuova parte.
La Commissione specifica, poi, il novero dei trasferimenti di dati per i quali possono essere utilizzate le SCC, sottolineando che non possono essere utilizzate per i trasferimenti di dati da titolari o responsabili del trattamento le cui operazioni di trattamento sono direttamente soggette al Regolamento generale sulla protezione dei dati (GDPR) in virtù dell’articolo 3 del Regolamento verso titolari/responsabili extra UE.
A questo proposito, le Q&A sottolineano che la Commissione sta elaborando un’ulteriore serie di SCC per questo scenario, che terrà conto dei requisiti che già si applicano direttamente a tali titolari e responsabili del trattamento ai sensi del GDPR.
Accesso ai dati personali da parte di Autorità estere
La Commissione dedica le ultime quattro domande al tema forse maggiormente spinoso: l’accesso ai dati personali da parte di Autorità estere. Ricordiamo che proprio questo aspetto ha portato a una serie di “bocciature” delle garanzie offerte dagli Stati Uniti e all’abrogazione degli esistenti accordi bilaterali tra Commissione e organizzazioni statunitensi (Safe Harbour e, più di recente, Privacy Shield).
La clausola 14 delle SCC prevede infatti che l’esportatore valuti accuratamente se le leggi e le prassi del Paese importatore offrano delle adeguate garanzie e salvaguardie rispetto all’accesso ai dati da parte delle autorità del paese importatore. È consigliata dunque l’esecuzione di una TIA (Transfer Impact Assessment) nel quale si prendano in considerazione le leggi vigenti, le modalità di applicazione nel Paese di importazione e l’esperienza pratica, confrontando tali elementi con quelli vigenti in una società democratica, al fine di valutare la proporzionalità e la non eccedenza delle attività condotte dalle autorità. Laddove da tale assessment risultino rischi elevati allora sarà necessario adottare ulteriori misure di sicurezza (safeguards), prendendo come riferimento le raccomandazioni emanate dall’EDPB (Reccommendations 01/2020).
Quale misura prevista dalle SCC c’è il dovere per il data importer di informare prontamente l’esportatore di tali richieste. Nel caso la legge non lo permetta l’importer dovrà fornire quante più informazioni possibili al data exporter.
Le Q&A emesse costituiscono sicuramente uno strumento interpretativo importante in mano ad organizzazioni e data protection manager. Una interpretazione autentica delle clausole previste nelle Standard contractual clauses possono infatti aiutare a dipanare i dubbi delle organizzazioni che, per necessità o per opportunità, interloquiscono con fornitori o organizzazioni che hanno sede fuori dall’Unione Europea e necessitano di trasferire i loro dati al di là dei confini comunitari.
