L’autorità garante per la protezione dei dati personali del Regno Unito (ICO), ha pubblicato le nuove versioni delle clausole contrattuali che andranno a regolare gli accordi internazionali di trasferimento dei dati al di fuori del Regno Unito. A seguito della Brexit, infatti, si rendeva necessario per il Regno Unito adottare proprie clausole contrattuali standard, che potessero rappresentare un equivalente, in termini di adeguatezza e sicurezza, delle CCS adottate in Europa.
Ad oggi, fermo restando che i rapporti con l’UE sono regolati da due decisioni di adeguatezza, i dati che fuoriescono dal territorio inglese sono soggetti a regole che rispecchiano ampiamente quanto stabilito, in UE, dal GDPR (si tratta dell’“UK GDPR”). Al Regno Unito viene anche concessa la capacità di emettere, in via del tutto autonoma, le proprie decisioni di adeguatezza in relazione al trasferimento di dati personali verso paesi terzi e organizzazioni internazionali ulteriori rispetto a quelle precedentemente prese in considerazione dall’UE.
Data protection, Regno Unito promosso dalla Commissione UE: via libera al trasferimento dei dati
Indice degli argomenti
Perché al Regno Unito servono nuove CSS dopo la Brexit
In premessa, appare opportuno fornire una breve disamina delle intenzioni perseguite dalle autorità inglesi, in relazione alla necessità di implementare gli strumenti di legittimazione dei trasferimenti di dati personali all’estero. Joe Jones, Deputy Director of International Data Transfers at the U.K. Department for Digital, Culture, Media and Sport, ha affermato al riguardo, in un’intervista rilasciata a IAPP, che: “Nell’ambito della nostra ambiziosa strategia nazionale per i dati in favore della crescita, il Regno Unito lavorerà a livello globale per rimuovere le inutili barriere ai flussi di dati transfrontalieri […]. Questo è così importante perché i trasferimenti di dati hanno rivoluzionato il nostro stile di vita e le economie globali. I trasferimenti di dati sono alla base di interessanti opportunità di innovazione, collaborazione e commercio, in particolare nella ricerca scientifica, nei servizi finanziari e nell’intelligenza artificiale. Il flusso illimitato di dati sarà, quindi, parte integrante della ripresa globale e della crescita e prosperità future.”
Jones ha aggiunto anche: “L’adeguatezza del Regno Unito è il modo più semplice per le organizzazioni del Regno Unito di trasferire liberamente e in modo sicuro i dati personali. L’adeguatezza può aumentare la fiducia fornendo alle imprese e ai consumatori maggiore fiducia nelle leggi della giurisdizione in cui i dati vengono trasferiti. L’adeguatezza rimuove anche l’onere e il costo di conformità per le organizzazioni del Regno Unito per utilizzare meccanismi di trasferimento alternativi”. In particolar modo a seguito della nota sentenza Schrems II, che ha fatto venir meno il c.d. Privacy Shield, le autorità hanno avvertito “quanto sia difficile per le organizzazioni fare valutazioni caso per caso dei paesi a cui stanno inviando dati”, e hanno cercato, da allora, di fornire degli utili strumenti per poter consentire la prosecuzione, in sicurezza, delle attività di trasferimento dati.
Cosa dice l’autorità ICO
In tale contesto si pongono le nuove clausole contrattuali standard pubblicate da ICO a seguito della consultazione svolta nel 2021, e che costituiscono una specifica e un’integrazione della Decisione 2021/914 della Commissione relativa alle clausole contrattuali tipo per il trasferimento di dati personali verso paesi terzi. Gli esportatori di dati siti in UK, quindi, potranno, dal 21 marzo 2022, utilizzare l’International Data Transfer Agreement (o IDTA) come strumento utile per il corretto trasferimento di dati verso paesi terzi, in conformità con quanto previsto dall’art. 46 dello UK GDPR.
Parallelamente, potranno essere utilizzate come schema anche le clausole contrattuali standard elaborate dalla Commissione Europea, mediante l’Addendum, che va a modificare e incorporare alcune delle clausole contenute nelle CCS europee, garantendo anche in questo caso la piena conformità del trasferimento di dati personali ai principi contenuti nella normativa e nella sentenza Schrems II.
Il contenuto dell’International Data Transfer Agreement
Si può affermare che, anche in virtù della sovrapposizione delle normative sul trattamento dei dati personali, l’International Data Transfer Agreement richiama, nella struttura, la citata decisione 2021/914 della Commissione Europea.
La parte iniziale dell’accordo, che costituisce anche la parte modificabile dello stesso, è strutturata secondo tabelle che contribuiscono a sintetizzare e riassumere gli aspetti principali del trattamento, ossia:
- Le parti coinvolte nell’accordo e i ruoli ricoperti dalle stesse, con indicazione dei dati di contatto degli stessi;
- I dettagli del trasferimento, ossia quali leggi sono applicate, gli stati dell’importatore e dell’esportatore, la sussistenza di contratti e accordi connessi al trasferimento, e il periodo di tempo nel quale avverrà il trasferimento dati;
- Le categorie di dati coinvolte nel trasferimento, e le finalità del trattamento connesso al trasferimento stesso;
- I requisiti di sicurezza richiesti dalle parti per il trasferimento dei dati personali;
- Le ulteriori misure di sicurezza tecniche, organizzative, ed extracontrattuali applicate al trasferimento dei dati;
- Le clausole commerciali dell’accordo tra importatore ed esportatore.
All’interno dell’IDTA, poi, sono contenute tutte le clausole obbligatorie che disciplinano il corretto trasferimento dei dati personali, e ne facilitano la comprensione, specificando anche le leggi e i principi da applicarsi al trattamento.
Lo scopo dell’accordo, come dichiarato all’interno dello stesso testo, è quello di garantire che i trasferimenti di dati siano sottoposti a garanzie adeguate, nel periodo in cui l’importatore opera sugli stessi operazioni di conservazione, elaborazione, o altri tipi di trattamento.
Cosa deve fare l’esportatore
Per tale motivo, si richiede nell’accordo che le parti prevedano non solo il rispetto delle garanzie minime, ma anche di quelle ulteriori misure che forniscono un livello di sicurezza adeguato al rischio che si verifichi una violazione dei dati personali e all’impatto sui Soggetti interessati di tale violazione dei dati personali, inclusa la considerazione di eventuali dati sensibili all’interno dei dati trasferiti.
Più nel dettaglio, l’esportatore deve:
- Effettuare dei controlli sulle capacità dell’importatore di conformarsi all’accordo;
- Collaborare con l’esportatore per consentire allo stesso di adempiere ai propri obblighi, specialmente nei confronti degli interessati;
- garantire e dimostrare che l’IDTA concluso (inclusi eventuali requisiti di sicurezza e clausole di protezione aggiuntiva) fornisce garanzie appropriate; e
- se l’Importatore ragionevolmente lo richiede, fornire allo stesso una copia della Valutazione di Rischio del Trasferimento svolta (Transfer Risk Assessment o TRA).
I compiti dell’importatore
Invece, all’importatore si richiede di:
- prima di ricevere qualsiasi dato trasferito, fornire all’esportatore tutte le informazioni in merito alle leggi, alle prassi locali, alle protezioni e ai rischi che si applicano ai dati trasferiti quando vengono elaborati dall’importatore, comprese tutte le informazioni che potrebbero essere ragionevolmente richieste all’esportatore per il trasporto qualsiasi TRA (le “Informazioni sull’Importatore”);
- collaborare con l’esportatore per garantire il rispetto degli obblighi previsti dalle leggi sulla protezione dei dati del Regno Unito;
- adempiere agli obblighi previsti nell’accordo di trasferimento dei dati;
- fornire all’esportatore tutte le informazioni necessarie per condurre un audit;
- verificare se eventuali leggi locali impediscono il rispetto dei suoi obblighi, adottando misure ragionevoli per verificare ciò, su base regolare. Le revisioni normative devono avere almeno la stessa frequenza delle revisioni dell’accordo;
- informare l’Esportatore non appena viene a conoscenza di qualsiasi modifica delle Informazioni sull’Importatore e/o di qualsiasi Legge Locale che possa impedire o limitare l’adempimento da parte dell’Importatore degli obblighi previsti dall’accordo;
- collaborare con l’esportatore, fornendo la necessaria assistenza sul trattamento, e informarlo nel caso in cui si verifichino delle violazioni di dati personali
Le revisioni dell’accordo
All’interno delle clausole, si prevede in capo alle parti dell’accordo l’obbligo di rivedere periodicamente, come anticipato nel paragrafo precedente, di sottoporre l’IDTA a periodica revisione, anche per quanto riguarda i requisiti di sicurezza. È necessario, infatti, che l’accordo sia sempre coerente con il trattamento e con il contesto normativo in cui il trattamento viene svolto. Nel caso in cui le informazioni contenute nell’accordo non siano più coerenti, ciascuna parte ha l’obbligo di informare l’altra parte per iscritto, al fine di provvedere all’aggiornamento dell’accordo. Se, poi, in qualsiasi momento, l’accordo non fornisse più al trattamento le garanzie adeguate, le parti dovrebbero, senza indebito ritardo:
- sospendere i trasferimenti e l’Elaborazione dei Dati Trasferiti, nel periodo in cui viene concordata una modifica al contenuto dell’accordo. Inoltre, “L’Importatore può conservare una copia dei Dati Trasferiti durante questa pausa, nel qual caso l’Importatore deve effettuare qualsiasi Trattamento necessario per mantenere, per quanto possibile, le misure che stava adottando per ottenere le Garanzie appropriate”, ossia per rispettare le garanzie minime previste dall’accordo previgente, senza porre in essere alcun trattamento ulteriore;
- concordare una modifica dell’accordo, nelle parti lasciate alla libertà contrattuale dell’esportatore e dell’importatore.
Ove non sia possibile concordare una modifica che consenta il rispetto delle norme sul trattamento dei dati, e il mantenimento di garanzie appropriate sul trasferimento, l’Esportatore deve porre fine all’accordo mediante avviso scritto all’Importatore.
Il trasferimento di dati a terzi
Gli obblighi previsti dall’accordo si applicano anche nel caso in cui l’importatore, a sua volta, trasferisca i dati personali a terzi soggetti. Infatti, detto trasferimento è consentito solo se non viola il contenuto dell’accorso, e se:
- il terzo ha stipulato un contratto scritto con l’importatore contenente lo stesso livello di protezione per gli interessati contenuto nell’IDTA (basato sul ruolo del destinatario come responsabile del trattamento o responsabile del trattamento) e l’importatore ha condotto una valutazione del rischio volta a garantire che siano applicate al trattamento garanzie appropriate; o
- il terzo è aggiunto all’accordo come Parte; o
- se l’Importatore si trova nel Regno Unito, il trasferimento dei Dati è conforme all’Articolo 46 UK GDPR ; o
- se l’Importatore si trova nel Regno Unito, il trasferimento dei Dati costituisce una delle eccezioni di cui all’Articolo 49 UK GDPR.