Standard Security Clauses (SSC): cosa sono

16 ottobre 2020
Tempo di lettura stimato: 3'
Quando parliamo di Standard Security Clauses (SSC) o clausole standard di sicurezza, siamo nel contesto del trasferimento di dati personali all’estero, che è consentito solo se i dati vengono spostati effettivamente in condizioni di sicurezza, altrimenti non si può fare. 
Ma all’estero dove e rispetto a cosa: all’Italia o all’Unione Europea?
Il quadro è quello del GDPR, quindi per estero intendiamo il trasferimento di dati personali verso i Paesi che non appartengono allo Spazio Economico Europeo, cioè quelli che non rientrano nell’area che comprende i Paesi dell’UE + Norvegia, Liechtenstein e Islanda, o verso un’organizzazione internazionale.
Prima di capire cosa sono le clausole standard di sicurezza e perché è importante conoscerle - soprattutto quando si sceglie un responsabile esterno - dobbiamo chiarire una differenza importante: il trasferimento dei dati all’estero non è un trasferimento transfrontaliero dei dati


Trasferimento dei dati all’estero VS trasferimento transfrontaliero dei dati: c’è differenza

Il trasferimento transfrontaliero dei dati è un trasferimento all’interno dell’Unione europea
Quindi, passare un dato personale dal Piemonte a Parigi è come passare il dato dal Piemonte alla Lombardia, non cambia nulla. Infatti, essendo tutti parte dell’Unione Europea, gli Stati sono reputati adeguati, perché il GDPR vale in tutti i Paesi membri dell’UE, anche se non è detto che venga applicato con la stessa solerzia e con lo stesso rigore ovunque. Diciamo però che puoi trasferire dati in un altro Paese dell’Unione senza metterti troppi pensieri.
Invece, se il dato viene trasferito al di fuori dell’Unione Europea, le cose si complicano. 

Trasferimento dei dati all’estero: la White List dei Paesi adeguati

L’articolo 45 del GDPR ci dice che i trasferimenti di dati personali verso Paesi che non appartengono allo Spazio Economico Europeo o verso un’organizzazione internazionale sono consentiti, a condizione che l’adeguatezza del Paese terzo o dell’organizzazione sia riconosciuta, tramite decisione della Commissione europea.
Quindi la Commissione decide quali Stati garantiscono un livello di protezione adeguato e poi monitora periodicamente – almeno ogni 4 anni – se è ancora così. 
Sulla base di quali criteri l’Unione Europea decide se un Paese estero è adeguato o meno? Sulla base delle norme in materia di privacy che ha adottato, agli impegni internazionali che ha sottoscritto, a come vengono applicate e rispettate queste norme. Se risulta adeguato, la Commissione lo inserisce nella sua White List, che in questo momento comprende solo 15 Paesi e territori.

WhiteList - SSC

La White List però non è scolpita nella pietra. 
Per esempio, adesso – nell’istante esatto in cui scriviamo - in lista c’è l’Argentina. Ma se domani l’Argentina si sveglia con un golpe e fa in modo che la tutela dei diritti umani e gli impegni internazionali assunti decadano, cosa succede? Succede che la Commissione europea può tranquillamente e immediatamente sospendere la decisione di adeguatezza o addirittura arrivare a revocarla.


E per i Paesi che non rientrano nella White List? 
Il trasferimento è consentito se il titolare o il responsabile del trattamento forniscono garanzie adeguate, perché, se trasferiamo i dati personali a Timbuctù e Peppino, l’interessato di cui stiamo trasferendo i dati, ci chiama e ci dice: “Oh, vorrei sapere se state trasferendo i miei dati all’estero e dove”, non basta dirgli “Stanno a Timbuctù”, dobbiamo anche spiegargli perché li abbiamo trasferiti lì e su quale base.
Dobbiamo tutelare Peppino e dargli la possibilità di far valere i suoi diritti
È un obbligo, non è una possibilità. 
Oltretutto, se c’è un Data Breach e i dati personali vengono rubati e venduti, non è mica detto che le Autorità del Paese estero in cui abbiamo fatto il trasferimento siano disposte a collaborare.  
Per cui bisogna fare molta attenzione. 


Paesi fuori dalla White List e Standard Security Clauses

Se un Paese è fuori dallo Spazio Economico Europeo e fuori dalla White List, il trasferimento di dati è consentito, ma a condizione che il titolare o il responsabile del trattamento dia delle garanzie adeguate. Garanzie che possono essere di diverso tipo. 
Una delle possibilità sono le Standard Security Clauses, cioè delle clausole contrattuali, incluse nel contratto relativo al trasferimento dei dati, in cui le parti si impegnano a garantire che le informazioni personali saranno trattate secondo i princìpi del GDPR, anche nel Paese estero in cui vengono trasferite. 
Articolo tratto dall’intervento del Dottor Gianrico Gambino su RAISE Academy.


Questo era solo un assaggio!
La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.


RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

Andrea Chiozzi è nato a Reggio Emilia il 4 Agosto del 1969, reggiano “testaquadra” DOC come il lambrusco, ed è sposato con Luisa che lo sopporta da più di vent’anni.
Imprenditore e consulente, da più di 12 anni è l’Evangelist del GDPR.

Attività professionali:
Andrea Chiozzi è socio fondatore e CEO di PRIVACYLAB SRL, azienda che si occupa della produzione di PRIVACYLAB GDPR per la gestione avanzata delle attività legate alla compliance per il Regolamento Europeo 679/2016.
Esperto di GDPR e protezione dei dati personali (soprattutto nelle aree più problematiche quali il marketing digitale e i social network, il digital advertising, l’Internet of Things, i Big Data, il cloud computing),
Andrea presta consulenza per la media e la grande industria italiana e si occupa di organizzare e condurre i consulenti aziendali ad un approccio ottimizzato alla gestione della Compliance GDPR.
È ideatore del sistema Privacylab e della metodologia applicata ai consulenti certificati GDPR. 
Nel 2003 dà vita alla figura di “Privacy Evangelist” e comincia a girare l’Italia come relatore in vari convegni e corsi in tema di protezione dei dati personali arrivando a evangelizzare più di 10.000 persone.

È commissario d’esame per:

UNICERT per lo schema DSC_12/30 per Consulenti Certificati GDPR
TÜV dello schema CDP_ 201 Privacy Officer, Bureau Veritas
CEPAS Bureau Veritas DATA PROTECTION OFFICER per lo schema SCH73 norma Uni 11697:2017 (Accredia) 
ACS ITALIA DATA PROTECTION OFFICER per lo schema SCH01 norma Uni 11697:2017 (Accredia)
UNIVERSAL Gmbh DAKKS per lo schema ISO/IEC 17024:2012 "DATA PROTECTION OFFICER"

E' certificato con:
Unicert come "Consulente Certificato GDPR" n. 18203RE22
TÜV come “Privacy Officer e Consulente Privacy” n. CDP_196.
Cepas Bureau Veritas "Data protection Officer" n. DPO0206
UNICERT DAKKS " Data Protection Officer" n. DPO 0818 010012

Fa parte del Comitato Scientifico Privacy di Torino Wireless, GDPR Academy e di Agile DPO .

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy