Trasferimento di dati personali all’estero e sentenza Schrems II: le nuove Standard Contractual Clauses della Commissione Europea

29 settembre 2021Ultimo aggiornamento 26 novembre 2021
  • Home
  • Blog
  • Normativa
  • Trasferimento di dati personali all’estero e sentenza Schrems II: le nuove Standard Contractual Clauses della Commissione Europea
Tempo di lettura stimato: 6'
Torniamo su un argomento che ci interessa un po’ tutti: la caduta del Privacy Shield e il caos sul trasferimento di dati personali all’estero. Ci sono delle novità. Ma prima di capire quali, facciamo un ripassino. 

Con la sentenza Schrems II, emanata dalla Corte di Giustizia Europea nel luglio del 2020, alcuni dei servizi Made in USA più diffusi in Europa e usati da tutti - e con tutti intendo sia Peppino il panettiere, che manda le newsletter per parlare di pane e farine, sia la multinazionale - non si potevano più utilizzare senza andare ad aggiungere ulteriori misure di sicurezza e verifica o senza chiedere preventivamente il consenso per il trasferimento dei dati personali al di fuori della UE. 


Panico.


L’unico appiglio erano le Standard Contractual Clauses (SCC) o Clausole Contrattuali Standard (CCS) adottate dalla Commissione Europea, che finalmente sono state aggiornate a giugno 2021.


Le “vecchie” clausole contrattuali standard? Difficili da applicare se hai una PMI 

Le Standard Contractual Clauses, dice il GDPR, “possono costituire garanzie adeguate” senza che siano necessarie autorizzazioni specifiche da parte di un’autorità di controllo, perché sono standardizzate e perché sono state valutate dalla Commissione. Quindi possono essere inserite nei contratti tra le parti, quando c’è un trasferimento di dati personali al di fuori dell’UE. Sono state “approvate” anche dalla Corte di Giustizia Europea (quella che ha decapitato il Privacy Shield per intenderci). 

Questo è il quadro post-Schrems II.


Quindi? Quindi se vuoi trasferire dati personali all’estero – USA compresi - puoi farlo ma, per poterlo fare, devi verificare che lo Stato in cui stai trasferendo i dati personali a te affidati sia uno Stato sicuro. Nel caso in cui lo Stato venga dichiarato inadeguato, come è successo per l’America con la sentenza Schrems II, una delle possibilità per poter continuare a lavorare con Aziende - in questo caso americane - è verificare se hanno sottoscritto le clausole contrattuali standard della Commissione. Servono delle garanzie. Altrimenti non puoi trasferire i dati.

Problema: le “vecchie SCC” hanno un limite, la scarsa flessibilità, che diventa un ostacolo non da poco, quando l’equilibrio tra le parti del contratto è tutto a favore dei grandi players internazionali.

Ce la vedi la Peppino srl - che ha la panetteria, 10 dipendenti e vende pane ai ristoranti in Emilia e Lombardia – che chiede a Google e Facebook come tutelano i dati personali? 
Ma anche la grande azienda all’italiana con 2 o 3 sedi e qualche centinaio di dipendenti, 
ce la vedi a contattare l’ufficio privacy di Zuckerberg? Io no. Ci vedo di più la grande multinazionale, quella con decine di migliaia di dipendenti. 

C’è una sproporzione, uno squilibrio tutto a favore dei Big Tech. È per questo che la Commissione Europea è intervenuta e a giugno di quest’anno ha lanciato un salvagente, elaborando uno standard che permettesse anche alla Peppino srl di poter verificare se è possibile trasferire dati personali fuori dall’UE legittimamente, con più certezze e più facilità. 
Anche perché, vuoi o non vuoi, i servizi Made in USA sono a tutti gli effetti strategici per il business di molte aziende (e non solo).

Quindi che cosa ha fatto la Commissione Europea? 
Ha adottato le nuove Standard Contractual Clauses, SCC, adeguandole al GDPR, alla sentenza della Corte di Giustizia e agli accordi commerciali che vengono normalmente adottati fra aziende. 


Nuove Clausole Contrattuali Standard della Commissione Europea: perché e percome

Il 4 giugno 2021, la Commissione Europea ha adottato 2 gruppi di clausole contrattuali standard da includere nel contratto di trasferimento di dati personali all’estero (cioè nei Paesi Terzi, quindi fuori dall’UE e in particolare negli USA). 
Con queste clausole punta a fare sostanzialmente 2 cose:
1 – gestire il rapporto tra titolare e responsabile del trattamento;
2 - regolare i trasferimenti di dati personali verso i Paesi Terzi. 

Grazie ai 2 insiemi di clausole, la Commissione Europea punta a dare maggiore flessibilità, perché (cito testualmente) “si sono verificati importanti sviluppi nell’economia digitale, con l’uso diffuso di nuovi e più complessi trattamenti che coinvolgono spesso numerosi importatori ed esportatori, lunghe e complesse catene di trattamento e relazioni commerciali in evoluzione. Ciò richiede una modernizzazione delle clausole contrattuali tipo per rispecchiare meglio tali realtà, contemplando ulteriori situazioni di trattamento e trasferimento, e consentire un approccio più flessibile, ad esempio per quanto riguarda il numero di parti che possono aderire al contratto.”

Con le nuove SCC la Commissione fissa delle bandierine per aiutare le aziende, soprattutto quelle più piccole, a verificare il rispetto dei requisiti per il trasferimento dei dati all’estero. 


I 2 schemi non sono separati dal resto, ma considerano quello che è stato previsto dalla Schrems II, dallo European Data Protection Board (il Comitato europeo per la protezione dei dati o EDPB) e dal Garante europeo della protezione dei dati. E tiene anche conto del parere delle parti interessate, compresi i vari Stati membri dell’UE. 


Diciamo che la Commissione Europea si è assicurata di guardare tutti i punti di vista, di metterli insieme e di costruire un sistema che permettesse di garantire un livello di protezione dei dati elevato, quando le informazioni personali di cittadini europei vengono trattate al di fuori dell’UE. 


Cosa sono e cosa prevendono le nuove SCC della Commissione Europea

Cosa sono? Le nuove Standard Contractual Clauses sono dei documenti standard pre-approvati che contengono dei requisiti minimi da rispettare nel trasferimento dei dati all’estero e possono essere usati sia sulla base del GDPR, sia dalle istituzioni, gli organi e le agenzie dell’UE, sulla base del Regolamento 1725 del 2018. 

Rispetto alle SCC “classiche”, ci sono delle novità:
1 – Il loro contenuto è stato aggiornato nel rispetto del GDPR
2 – È previsto che vi sia un solo punto di ingresso – un entry-point, così lo definisce la Commissione Europea – per considerare diversi scenari legati al trasferimento dei dati. Quindi vengono definite delle clausole minime, ma le parti sono liberissime di mettercene di più, a patto che non vadano contro - direttamente o indirettamente – alle clausole contrattuali standard della Commissione e che non mettano a rischio i diritti o le libertà fondamentali degli interessati.
3 – C’è più flessibilità. Il trasferimento dei dati all’estero si sviluppa lungo una catena più o meno complessa che, con le nuove SCC, è più gestibile, perché le clausole sono modulari e prevedono che anche i soggetti terzi possano rientrarvi, all’interno del ciclo di vita del contratto.
4 - In più, la Commissione Europea ha stilato una lista delle misure da adottare per essere in linea con la sentenza Schrems II e ha raccolto diversi esempi di misure supplementari che si possono implementare.


E se un’azienda usa già le sue clausole contrattuali standard? 

Ha 18 mesi di tempo per adeguare i contratti alle nuove SCC della Commissione Europea, assicurandosi di fare anche queste cose: 
  • fissare la durata, l’oggetto, la natura e la finalità del trattamento;
  • definire il tipo di dati personali che vengono trattati e chi sono gli interessati;
  • chiarire gli obblighi e i diritti del titolare del trattamento;
  • comprendere norme sostanziali e procedure.


Cosa devono fare l’importatore e l’esportatore dei dati? 

Ovviamente mettere in pratica quello che firmano, in ottica di accountability. Lo dico, lo ripeto e lo ribadisco ancora una volta: non basta avere il bollino per essere in regola.


In più è chiaro che i soggetti che importano e quelli che esportano i dati hanno dei doveri:
  • Gli importatori di dati hanno la responsabilità di conservare la documentazione relativa alle attività di trattamento e devono informare tempestivamente l’esportatore di dati se non sono in grado di rispettare le nuove clausole contrattuali standard. In questo secondo caso, se l’esportatore di dati riceve la notifica – ma anche solo se ne viene a conoscenza – deve prendere delle contromisure, tecniche o organizzative, per garantire la sicurezza e la riservatezza dei dati (anche sentendo l’autorità di vigilanza competente, nel caso). 
  • Se l’importatore di dati viola le clausole o non è in grado di rispettarle, l’esportatore di dati deve sospendere il trasferimento e può anche recedere dal contratto relativo al trattamento di dati personali e le SCC. 


Cosa fare se le leggi dello Stato in cui vengono esportati i dati confliggono con le SCC?

Posto che leggi e prassi dello Stato di destinazione non possono entrare in conflitto con i principi del GDPR, se queste leggi locali non permettono di rispettare le Standard Contractual Clauses, vanno applicate norme specifiche. 


E una volta che il contratto viene sciolto?

I dati personali trasferiti prima della risoluzione del contratto - e se ci sono, anche le loro copie - vanno restituite all’esportatore di dati o distrutti

Sceglie chi esporta.  

Se vuoi approfondire questo e altri aspetti, trovi la formazione completa e aggiornata su GDPR, privacy e cybersecurity su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.

RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

Andrea Chiozzi è nato a Reggio Emilia il 4 Agosto del 1969, reggiano “testaquadra” DOC come il lambrusco, ed è sposato con Luisa che lo sopporta da più di vent’anni.
Imprenditore e consulente, da più di 12 anni è l’Evangelist del GDPR.

Attività professionali:
Andrea Chiozzi è socio fondatore e CEO di PRIVACYLAB SRL, azienda che si occupa della produzione di PRIVACYLAB GDPR per la gestione avanzata delle attività legate alla compliance per il Regolamento Europeo 679/2016.
Esperto di GDPR e protezione dei dati personali (soprattutto nelle aree più problematiche quali il marketing digitale e i social network, il digital advertising, l’Internet of Things, i Big Data, il cloud computing),
Andrea presta consulenza per la media e la grande industria italiana e si occupa di organizzare e condurre i consulenti aziendali ad un approccio ottimizzato alla gestione della Compliance GDPR.
È ideatore del sistema Privacylab e della metodologia applicata ai consulenti certificati GDPR. 
Nel 2003 dà vita alla figura di “Privacy Evangelist” e comincia a girare l’Italia come relatore in vari convegni e corsi in tema di protezione dei dati personali arrivando a evangelizzare più di 10.000 persone.

È commissario d’esame per:

UNICERT per lo schema DSC_12/30 per Consulenti Certificati GDPR
TÜV dello schema CDP_ 201 Privacy Officer, Bureau Veritas
CEPAS Bureau Veritas DATA PROTECTION OFFICER per lo schema SCH73 norma Uni 11697:2017 (Accredia) 
ACS ITALIA DATA PROTECTION OFFICER per lo schema SCH01 norma Uni 11697:2017 (Accredia)
UNIVERSAL Gmbh DAKKS per lo schema ISO/IEC 17024:2012 "DATA PROTECTION OFFICER"

E' certificato con:
Unicert come "Consulente Certificato GDPR" n. 18203RE22
TÜV come “Privacy Officer e Consulente Privacy” n. CDP_196.
Cepas Bureau Veritas "Data protection Officer" n. DPO0206
UNICERT DAKKS " Data Protection Officer" n. DPO 0818 010012

Fa parte del Comitato Scientifico Privacy di Torino Wireless, GDPR Academy e di Agile DPO .

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy