Come noto, lo scorso 12 novembre 2020, la Commissione Europea ha pubblicato la bozza delle nuove clausole tipo di protezione dei dati (in inglese, standard contractual clauses) (di seguito, le “SCC”), le quali possono costituire, ai sensi dell’art. 46, par. 2, del GDPR garanzie adeguate in caso di trasferimento di dati personali al di fuori dell’Unione Europea[1]. La bozza delle nuove SCC è stata, come da prassi, sottoposta a consultazione pubblica sino al 10 dicembre 2020, ragion per cui la Commissione Europea auspicabilmente ne adotterà la versione definitiva nei prossimi mesi[2].
Le nuove SCC hanno lo scopo di sostituire le clausole adottate dalla stessa Commissione in applicazione della Direttiva 95/46/CE ed aggiornare, dunque, i modelli esistenti ai principi ed ai requisiti fissati dal Regolamento (UE) 2016/679 (di seguito, il “GDPR”), al fine di adattarli anche ai nuovi sviluppi in ambito tecnologico.
Allo stesso tempo, le nuove SCC nascono dall’esigenza di riflettere meglio l’uso diffuso di nuove e più complesse operazioni di trattamento che spesso coinvolgono più importatori ed esportatori di dati così come di disciplinare le ipotesi in cui le leggi del Paese di destinazione incidano sul rispetto delle clausole, in particolare in caso di richieste vincolanti di divulgazione di dati personali da parte delle autorità pubbliche.
Non è un caso, peraltro, che la Commissione Europea abbia avviato i lavori per l’adozione delle nuove SCC soltanto qualche mese dopo la nota sentenza “Schrems II” con cui la Corte di Giustizia dell’Unione Europea ha dichiarato invalida la decisione relativa allo scudo per la privacy (cd. “Privacy Shield”)[3][4], ponendo l’accento, in particolare, sulla necessità di effettuare una valutazione della conformità dell’ordinamento del paese terzo, verso cui i dati sono trasferiti, alle regole e principi imposti dall GDPR.
Ebbene, la nuova bozza di SCC si caratterizza per un numero di elementi normativi maggiore rispetto alle precedenti SCC ed è costituita da un complesso di clausole generali, da integrare con uno dei quattro moduli ad essa allegati, al fine di consentire, di volta in volta, al data importer ed al data exporter di adeguare le SCC a ciascun specifico trasferimento dei dati personali.
In particolare, i moduli riguardano:
(i) il trasferimento dei dati personali da un titolare del trattamento verso un altro titolare;
(ii) il trasferimento dei dati personali da un titolare verso un responsabile del trattamento;
(iii) il trasferimento dei dati personali da un responsabile del trattamento verso un altro responsabile;
(iv) il trasferimento dei dati personali da un responsabile verso un titolare del trattamento.
La bozza di SCC è stata oggetto di un parere congiunto dello European Data Protection Board (di seguito, l’“EDPB”) e dello European Data Protection Supervisor (di seguito, l’“EDPS”)[5].
Ebbene, nella Joint Opinion 2/2021 (di seguito, la “Joint Opinion”)[6], i due organismi europei hanno evidenziato come le clausole contrattuali standard proposte dalla Commissione siano, per certi versi, ancora poco chiare, invitando, pertanto, la stessa Commissione Europea a modificarle ulteriormente affinché esse possano diventare uno strumento concretamente utile per gli operatori del mercato nello svolgimento quotidiano della propria attività.
Scopo del presente documento è, pertanto, illustrare le principali novità introdotte dalla Commissione Europea con la pubblicazione della bozza delle nuove SSC, alla luce delle osservazioni condivise dall’EDPB e dall’EDPS nella Joint Opinion.
2.1. I diversi moduli di SSC
Come anticipato, le nuove SCC constano di una parte generale, cui fa seguito una parte speciale contenente quattro diversi moduli da adattare a ciascun trasferimento di dati personali a seconda dei soggetti coinvolti.
Ebbene, uno dei primi aspetti considerati nella Joint Opinion è relativo alla possibilità di combinare tra loro i diversi moduli di SCC, con riferimento a specifiche situazioni e dinamiche di mercato che in astratto lo richiederebbero. Nel dettaglio, i due organismi evidenziano come, dall’impianto delle SCC dovrebbe essere chiaro che la combinazione di diversi moduli in un unico set di SCC, qualora possibile, non porti alla confusione di ruoli e responsabilità tra le parti. In altri termini, e più in generale, i suggerimenti dell’EDPB e dell’EDPS sono indirizzati essenzialmente a fornire una maggiore chiarezza nell’interazione tra i quattro tipi di set di SCC. Ciò eviterebbe, a parere dei due organismi di “creare qualsivoglia tipo di ambiguità per gli operatori del mercato che saranno chiamati ad applicare gli strumenti normativi qui in esame”.
Con particolare riferimento al primo modulo di SCC, vale a dire quello relativo al trasferimento dei dati personali da un titolare del trattamento verso un altro titolare, l’EDPB e l’EDPS invitano la Commissione a chiarire se tali clausole siano applicabili anche nel caso di contitolarità, per quanto riguarda il trattamento dei dati personali effettuato da contitolari del trattamento quando uno dei contitolari del trattamento è stabilito al di fuori dell’UE e non è soggetto al GDPR ovvero se, al contrario, la loro portata sia limitata soltanto ad al trattamento effettuato tra due titolari separati.
Con riguardo al terzo modulo di SCC, vale a dire quello applicabile al trasferimento dei dati personali da un responsabile del trattamento verso un altro responsabile (c.d. sub-responsabile), i due organismi sono del parere che la Commissione debba chiarire se anche il titolare del trattamento debba firmare tali clausole ovvero sia sufficiente che il responsabile del trattamento ed il sub-responsabile menzionino l'identità del titolare del trattamento nell’allegato. Nel primo caso, peraltro, si dovrebbe chiarire con quale effetto e quali obblighi del terzo modulo si applicherebbero al titolare del trattamento.
2.2. La c.d. docking clause
Tra le novità principali della nuova bozza di SCC vi è la clausola 6 della parte generale delle nuove SCC, la quale introduce la c.d. docking clause[7], ai sensi della quale una qualsiasi entità terza rispetto all’accordo, coinvolta nel trattamento dei dati personali, può aderire alle SCC e quindi diventare una nuova parte del contratto in qualità di titolare o di responsabile del trattamento. In altri termini, tale clausola permette ad un soggetto terzo di divenire una nuova parte in un contratto già stipulato tra le parti, senza la necessità di concludere ulteriori SCC. Si evidenzia che la docking clause opera soltanto dopo che tale entità terza abbia completato gli allegati I.A, I.B e II alle SCC, concernenti, rispettivamente, l’elenco delle parti che sottoscrivono le SCC, la descrizione del trasferimento dei dati personali e le misure tecniche ed organizzative.
A tale riguardo, nella Joint Opinion viene ribadita la necessità che la qualifica e il ruolo di tale nuova parte del contratto appaia chiaramente negli allegati rimettendo, a tal fine, l’onere alle parti di dettagliare e delimitare ulteriormente la ripartizione delle responsabilità e di indicare chiaramente quale trattamento viene effettuato da quale o quali responsabili del trattamento per conto di quale o quali titolari del trattamento e per quali finalità.
Inoltre, al fine di evitare qualsiasi difficoltà nell’applicazione pratica di tale clausola, nella Joint Opinion l’EDPB e l’EDPS invitano la Commissione Europea a chiarire le modalità con cui l’accordo con l’entità terza debba essere formalizzato (se debba essere per iscritto o meno, il termine per stipulare tale accordo, le informazioni necessarie prima dell'accordo).
2.3. La valutazione della legge del paese terzo ed il rapporto con le Recomendations 1/2020 dell’EDPB
Venendo ai quattro moduli che seguono alla parte generale, di rilievo appaiono le clausole 2 e 3 le quali obbligano il data exporter a compiere una valutazione riguardante la legislazione in materia di dati personali vigente nel paese di importazione dei dati. In particolare, la Commissione Europea richiede obbligatoriamente che le parti, al termine della loro valutazione, confermino di non aver alcuna ragione di ritenere che la legislazione locale del paese terzo possa impedire al data importer di rispettare le obbligazioni stabilite dalle SCC.
Per la Commissione, tale valutazione deve basarsi su (i) le circostanze specifiche del trasferimento, compresi il contenuto e la durata del contratto; la portata e la regolarità dei trasferimenti; la lunghezza della catena di trattamento, il numero di soggetti coinvolti e i canali di trasmissione utilizzati; il tipo di destinatario; la finalità del trattamento; la natura dei dati personali trasferiti; qualsiasi esperienza pratica delle parti in termini di esistenza o assenza di precedenti richieste di accesso a dati personali da parte delle autorità pubbliche del paese del data importer; (ii) le leggi del paese terzo di destinazione pertinenti alla luce delle circostanze del trasferimento, comprese quelle che impongono di divulgare i dati alle autorità pubbliche o che autorizzano l'accesso da parte di tali autorità, nonché le limitazioni e le garanzie applicabili; (iii) tutte le garanzie in aggiunta a quelle previste dalle presenti clausole, comprese le misure tecniche e organizzative applicate durante la trasmissione e il trattamento dei dati personali nel paese di destinazione.
Fermo restando quanto sopra, l’Allegato II alle SCC descrive l’insieme delle misure tecniche ed organizzative applicabili al trasferimento in oggetto, al fine di assicurare il rispetto degli standard di sicurezza richiesti della normativa europea in materia di protezione dei dati personali. In tal senso, a parere dell’EDPB e dell’EDPS, le SCC non contengono un’indicazione in merito alle misure più appropriate a soddisfare tale funzione.
Ebbene, tra le principali critiche mosse dall’EDPB e dall’EDPS alla nuova bozza di SCC, vi è quella secondo cui ci potrebbero essere ancora situazioni in cui, nonostante l’utilizzo delle nuove SSC, sia tuttavia necessario attuare misure supplementari ad hoc per assicurare agli interessati un livello di protezione essenzialmente equivalente a quello garantito nell’UE.
Pertanto, a parere dei due organismi, si renderà comunque necessario, nonostante le previsioni contenute nelle citate clausole 2 e 3 e le misure tecniche ed organizzative indicate nell’Allegato II, utilizzare le nuove SCC tenendo conto delle Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data, pubblicate dall’EDPB lo scorso 11 novembre, a seguito della citata sentenza Schrems II.
Come si ricorderà, infatti, nel nostro precedente articolo sul tema di cui si discute, si era evidenziato come le Recommendations 01/2020 intendano assistere i titolari e responsabili del trattamento che siano data exporter nell'individuazione e nell'attuazione di adeguate misure supplementari, ove queste siano necessarie per garantire ai dati trasferiti verso Paesi Terzi un livello di protezione sostanzialmente equivalente a quelli previsto all’interno dell’UE[8].
Alla luce delle considerazioni suesposte, sarebbe auspicabile che la versione definitiva delle SCC che dovrebbe essere ragionevolmente pubblicata nei prossimi mesi dalla Commissione Europea chiarisse tutte le zone d’ombra individuate dall’EDPB e dall’EDPS nella Joint Opinion e recepisse, prima di ogni altro, i commenti e le proposte di integrazione avanzate dai due organismi, affinché le nuove SCC diventino realmente e concretamente un manuale d’uso inequivocabile per gli operatori economici al passo con i tempi e con le dinamiche transfrontaliere del mercato.
Il contenuto di questo elaborato ha valore meramente informativo e non costituisce, né può essere interpretato, quale parere professionale sugli argomenti in oggetto. Per ulteriori informazioni si prega di contattare Ilaria Todaro.
[1] Le SCC consistono in set di clausole “tipo” che l’esportatore e l’importatore di dati personali sottoscrivono, allo scopo di assicurare, attraverso obblighi contrattuali conformi alle disposizioni del GDPR, un livello di protezione adeguato ai dati personali che lasciano lo Spazio economico europeo. La Commissione Europea aveva approvato, in applicazione della Direttiva 95/46/CE, fino a tre set di clausole contrattuali tipo: due per i trasferimenti di dati dai titolari del trattamento stabiliti nell’UE ai titolari del trattamento stabiliti al di fuori dell’UE o del SEE e una per i trasferimenti di dati dai titolari del trattamento stabiliti nell’UE ai responsabili del trattamento stabiliti al di fuori dell’UE o del SEE. Non erano state ancora emesse SCC relative al trasferimento da un responsabile del trattamento stabilito nell’UE a un titolare del trattamento stabilito al di fuori dell’UE né relative al trasferimento da responsabili del trattamento stabiliti nell’Unione Europea a responsabili del trattamento (o sub-responsabili) stabiliti al di fuori dell’UE.
[2] È possibile consultare il testo della bozza delle nuove SCC sottoposto a consultazione pubblica fino al 10 dicembre 2020 al seguente link: https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countries.
[3] Decisione 2016/1250 sull'adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy.
[4] È possibile trovare il testo integrale della sentenza al seguente link: http://curia.europa.eu/juris/documents.jsf?num=C-311/18.
[5] Si rammenta che l’EDPB e l’EDPS sono organismi europei indipendenti aventi, inter alia, il ruolo di fornire consulenza alla Commissione Europea sul formato e sulle procedure per lo scambio di dati personali tra gli operatori del mercato a tutela dei diritti degli interessati.
[6] Si tratta, in particolare, del parere congiunto denominato “EDPB - EDPS Joint Opinion 2/2021 on the European Commission’s Implementing Decision on standard contractual clauses for the transfer of personal data to third countries for the matters referred to in Article 46(2)(c) of Regulation (EU) 2016/679”, accessibile al seguente link https://edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opinion-22021-standard_it.
[7] La clausola 6 della parte generale della bozza delle nuove SCC, rubricata “Docking Clause”, recita così “(a) An entity that is not a Party to the Clauses may, with the agreement of the Parties, accede to these Clauses at any time, either as a data exporter or as a data importer by completing Annex I.A [List of Parties], Annex I.B [Description of the transfer(s)] and Annex II [Technical and organisational measures]. (b) Once Annex I.A. is completed and signed, the acceding entity shall be treated as a Party to these Clauses and shall have the rights and obligations of a data exporter or data importer in accordance with its designation in Annex I.A. (c) The acceding Party shall have no rights or obligations arising from the period prior to the date of signing Annex I.A.”
[8] A tal fine, le Recommendations 01/2020, l’EDPB indicano i seguenti step che i data exporter devono porre in essere nel rispetto del principio di accountability: (i) mappatura di tutti i trasferimenti dei dati personali a Paesi Terzi; (ii) verifica dello strumento di trasferimento su cui si basa il trasferimento tra quelli elencati al capo V del GDPR; (iii) verifica delle leggi e prassi del Paese Terzo che possano incidere sull’efficacia delle garanzie fornite dagli strumenti di trasferimento su cui si fa affidamento; (iv) individuazione e adozione di eventuali misure supplementari al fine di garantire un livello di protezione dei dati trasferiti sostanzialmente equivalente a quello dell’UE; (v) adozione di eventuali procedurali formali che consentano di dimostrare la conformità delle misure supplementari adottate; (vi) monitoraggio ad intervalli regolari del livello di protezione dei dati.