Ispezioni privacy dei committenti sui fornitori esterni (responsabili del trattamento), ma con un ragionevole preavviso: è una delle previsioni delle clausole standard dei contratti di outsourcing di trattamenti, approvate il 4 giugno 2021 dalla Commissione Ue, in attuazione dell'articolo 28, paragrafo 7, del regolamento Ue sulla protezione dei dati n. 2016/679 (Gdpr). Il testo delle clausole contrattuali tipo (in gran parte una dettagliata parafrasi dell'articolo 28 Gdpr) prevede anche una serie di allegati, in cui bisogna descrivere analiticamente finalità e modalità dei trattamenti.
Il 4 giugno 2021, dopo oltre 11 anni dall’ultima decisione sul punto, la Commissione Europea ha adottato una nuova Decisione riguardante le Standard Contractual Clauses (d’ora in avanti SCC), per la quale si attende oramai, giusti alcuni accorgimenti, solamente la pubblicazione sulla Gazzetta Ufficiale dell’Unione Europea. La decisione comprende due set di SCC, uno per i rapporti tra titolari del trattamento e responsabili del trattamento e l’altro, oggetto del presente articolo, riguardante il trasferimento di dati verso paesi terzi. La necessità di una nuova Decisione sulla questione dei trasferimenti di dati personali al di fuori dallo spazio UE-SEE verso Paesi non coperti da una decisione di adeguatezza ex art. 45 del GDPR era, oramai, di vitale importanza.
L’Autorità olandese per la protezione dei dati (Autoriteit Persoonsgegevens) ha inflitto a Uber una maxi sanzione di 290 milioni di euro, dopo aver rilevato che la società ha “trasferito i dati personali degli autisti europei negli Stati Uniti, senza salvaguardarne la privacy”. Tale comportamento, secondo il garante olandese, costituisce una grave violazione del Gdpr.
Contratto privacy coatto. Quando si esternalizzano servizi, se il committente, fornitore e subfornitore non firmano contratti che fissino le clausole privacy, tutta la filiera paga le sanzioni amministrative, previste dal regolamento Ue n. 2016/679 (Gdpr). Come è capitato a un importante comune, alla società di gestione dei parcheggi e alla società che ha fornito parcometri di ultima generazione. Tutti e tre sono stati sanzionati dal Garante della privacy, in relazione a una vicenda che aveva al centro la memorizzazione di milioni di dati, in parte trasmessi su canali digitali non sicuri.
Lo scorso 4 giugno la Commissione Europea ha adottato una nuova Decisione relativa alle c.d. Standard Contractual Clauses ("SCC"), in materia, tra l'altro, di trasferimento di dati personali verso paesi terzi. Si ricorda che le SCC costituiscono uno degli strumenti posti a garanzia del trasferimento di dati fuori dall'Unione Europea ai sensi di quanto previsto dall'art. 46 c. 2 lett. c) GDPR, e quindi una delle ipotesi che rendono legittimo tale trasferimento.
Un contratto tipo per l'outsourcing: lo ha confezionato la Commissione europea in applicazione del regolamento Ue sulla privacy o Gdpr (n. 2016/679). Lo schema di atto interessa tutti i casi in cui un'impresa o una pubblica amministrazione si serve di un fornitore esterno per servizi che comportano un trattamento di dati per conto del committente.
È in programma per mercoledì 4 maggio 2022, il corso "I trasferimenti di dati all'estero", che ha l’obiettivo di fornire ai partecipanti un quadro generale aggiornato sulla disciplina del trasferimento dei dati personali all'estero per evitare le sanzioni previste dal Regolamento UE 2016/679 (Gdpr). L’incontro formativo tratta tutte le principali casistiche in cui è implicato il trasferimento dei dati personali verso Paesi terzi o organizzazioni internazionali, a analizza una disciplina che è particolarmente soggetta a principi e criteri interpretativi che presentano molte criticità che si incrociano con numerosi adempimenti e istituti previsti dal Regolamento europeo.
