Trasferimenti di dati verso paesi extra UE: le nuove Clausole Contrattuali Standard
Lo scorso 4 giugno la Commissione Europea ha adottato una nuova Decisione relativa alle c.d. Standard Contractual Clauses ("SCC"), in materia, tra l'altro, di trasferimento di dati personali verso paesi terzi. Si ricorda che le SCC costituiscono uno degli strumenti posti a garanzia del trasferimento di dati fuori dall'Unione Europea ai sensi di quanto previsto dall'art. 46 c. 2 lett. c) GDPR, e quindi una delle ipotesi che rendono legittimo tale trasferimento.
L'urgenza di nuove SCC (quelle precedenti risalivano al 2010) derivava, in particolare, da un lato, da un contesto economico ormai fortemente caratterizzato dalla globalizzazione dei mercati, ove il trasferimento internazionale dei dati costituisce un'attività fondamentale oltre che comune, e, dall'altro, dalla necessità di colmare il vuoto creatosi a causa della nota sentenza Schrems II del 16 luglio 2020, con la quale la Corte di Giustizia UE ha invalidato il c.d. Privacy Schield, lasciando "scoperti" i trasferimenti dei dati dall'UE agli USA.
L'iniziativa della Commissione Europa è di tutto rilievo nel mondo privacy, in quanto le nuove clausole contrattuali standard sono conformi alla disciplina di cui al GDPR (oltre che alla giurisprudenza e alla prassi formatesi alla luce del GDPR): in tal modo, gli enti e le aziende possono disporre di documenti standardizzati e approvati, mediante i quali è possibile garantire la compliance dei trattamenti dei dati personali ai principi e alla normativa privacy, in particolar modo per quanto concerne il trasferimento dei dati extra UE.
Il contenuto della Decisione in commento è piuttosto vario e ricco di spunti; tra gli aspetti più interessanti si segnalano:
-la previsione di un unico "entry-point", concernente diverse ipotesi di trasferimento, fatta salva la possibilità di prevedere clausole ulteriori e "ad hoc", oltre a quelle minime previste negli schemi della Commissione;-la previsione della possibilità che l'adesione alle clausole sia plurima (e quindi non solo da parte di soli due soggetti);
-la previsione di una panoramica delle diverse misure che le imprese devono adottare al fine di essere conformi ai requisiti previsti dalla sentenza Schrems II, oltre a numerosi esempi di possibili "misure supplementari", che le società possono adottare, ove necessario.Inoltre, pare opportuno specificare il fatto che la Decisione prende in considerazione altresì l'ipotesi in cui - i titolari e/o i responsabili del trattamento stiano già applicando delle clausole standard differenti da quelle fornite dalla Commissione Europea: ebbene, in tal caso, viene previsto un periodo di transizione, di 18 mesi, per adeguare i contratti già conclusi ai nuovi standard.
L'intervento della Commissione Europea rappresenta uno strumento importante per tutti gli enti che, a prescindere dalle dimensioni, ricorrono al trasferimento dei dati personali fuori dall'ambito dell'UE e dello SEE, in quanto consente di effettuare tali trattamenti in piena conformità con il GDPR, senza "accontentarsi" di strumenti, quali ad esempio il consenso dell'interessato, troppo spesso sopravvalutato ma non idoneo, al contrario di quanto molti possano pensare.
Fonte: Il Sole 24 Ore del 25 giugno 2021 - di Lucia Rapallo