gdpr extra ue

Un argomento molto dibattuto nellโ€™ultimo periodo nel mondo della privacy รจ di certo legato al trasferimento e trattamento dati personali al di fuori dello spazio economico europeo.

Proprio su questo tema ci sono delle importanti novitร . La Commissione Europea, il 4 giugno 2021 ha modificato le Standard Contractual Clauses (Clausole Contrattuali Standard) o SCC da implementare nei contratti che prevedono il trasferimento di dati personali dei cittadini europei al di fuori dellโ€™UE, al fine di sostenere un completo rispetto della privacy del cittadino e del GDPR.

Ma vediamo nel dettaglio cosa ha portato alle nuove SCC, quali sono le implicazioni della sentenza Schrems II e come adeguarsi alle nuove clausole contrattuali della Commissione Europea.

Trattamento dati personali al di fuori dell’Unione Europea: le nuove SCC

Lโ€™introduzione della nuove SCC da parte della Commissione Europea, a giugno 2021, รจ avvenuta successivamente alla sentenza Schrems II che รจ stata emanata da parte della Corte di Giustizia Europea a luglio del 2020.

La sentenza Schrems II ha portato la Corte di Giustizia Europea ha definire come: alcuni dei servizi โ€œmade in USAโ€ molto diffusi in tutta lโ€™Europa e utilizzati praticamente da tutti (quindi sia da parte delle multinazionali sia delle piccole e medie imprese, fino alle attivitร  familiari) fossero poco sicuri e non in linea con il trattamento dei dati personali richiesto dal GDPR (ossia il Regolamento dellโ€™Unione Europea numero 679/2016 promulgato in materia di protezione dati personali e tutela della privacy).

Dunque, le nuove CCS o SCC (Clausole Contrattuali Standard) dellโ€™Unione Europea, sono state introdotte per riuscire ad assicurare uno standard di protezione elevato dei dati personali dei cittadini europei.

Con il fine ultimo di rendere agevoli gli adempimenti a carico delle aziende (medio, grandi o piccole) che dialogano con le aziende statunitensi (specialmente le big tech) e in generale con le societร  site al di fuori dello Spazio Economico Europeo.

Prima di spiegare nel dettaglio in cosa consistono queste clausole e come adeguare i contratti alle nuove SCC, dobbiamo fare un attimo un passo indietro e capire come la sentenza Schrems II abbia influito fortemente su questa decisione.

La sentenza Schrems II: cosa รจ cambiato con la decisione della Corte di Giustizia Europea

La sentenza del 16 luglio del 2020 della Corte di Giustizia Europea che prende il nome di โ€œSchrems IIโ€ ha invalidato lo scudo per la privacy USA-EU, il Privacy Shield, e ha riconosciuto invece la legalitร  delle SCC ossia delle Standard Contractual Clauses sulla quale basare i contratti che prevedono il trasferimento internazionale dei dati al di fuori dello spazio economico europeo.

Nella sua sentenza la Corte di Giustizia Europea ha voluto ribadire lโ€™applicabilitร  del GDPR (Regolamento UE 2016/279) e i principi in esso contenuti anche per i dati personali che al momento del trasferimento (o anche successivamente) potevano essere trattati dalle autoritร  di un paese extra UE (in particolar modo da parte di paesi quali gli Stati Uniti).

Il Privacy Shield, dunque, secondo la Corte di Giustizia Europea, non supportava unโ€™adeguata protezione dei dati personali e non era in linea con la normativa del GDPR.

Per questo motivo, il Privacy Shield ha cessato con effetto immediato di essere un sistema legittimo o meglio un presupposto legale, per il trasferimento dei dati personali dallโ€™Unione Europea agli Stati Uniti.

Conseguentemente a questa decisione, il 17 luglio del 2020, lโ€™EDPB (Comitato Europeo per la protezione dei dati) ha pubblicato il suo Statement accogliendo favorevolmente il giudizio della Corte di Giustizia Europea, evidenziando come fondamentale il diritto alla privacy nel contesto di trasferimento dei dati verso paesi terzi extra UE.

In definitiva รจ stato dichiarato: inadeguato lo scudo per la privacy (Privacy Shield) che in precedenza regolamentava il trasferimento dei dati da unโ€™azienda con sede nellโ€™Unione Europea verso una multinazionale, azienda o societร  degli Stati Uniti, sottolineando invece la validitร  delle SCC.

A fronte di questa decisione, la Commissione Europea ha deciso dopo 11 mesi dalla sentenza Schrems II, di aggiornare queste clausole al fine di assicurare gli adempimenti contrattuali necessari per la protezione dei dati personali dei cittadini europei.

Cta Gdpr

Nuove SCC: la loro importanza per il trasferimento di dati nelle nazioni extra UE

Le Standard Contractual Clauses: costituiscono garanzie adeguate, senza che siano necessarie da parte dellโ€™autoritร  di controllo, delle autorizzazioni specifiche.

La mancanza di autorizzazioni specifiche, mediante lโ€™uso delle SCC, รจ dovuto al fatto che queste clausole sono standardizzate e quindi valutate attentamente da parte della Commissione Europea e pronte per essere inserite in modo agevole allโ€™interno dei contratti tra le parti, nel momento in cui sussiste un trasferimento di dati personali al di fuori dello spazio economico europeo.

Grazie alle nuove SCC se vuoi trasferire dati personali al di fuori dellโ€™Unione Europea, puoi farlo a patto che verifichi che lo Stato verso cui stai trasferendo questi dati sia considerato: sicuro.

Se lo stato viene considerato: inadeguato, allora non รจ possibile procedere al trasferimento dei dati personali dei cittadini europei in uno Stato al di fuori dell’UE.

Con le nuove clausole contrattuali standard create ad hoc da parte della commissione europea, si puรฒ procedere al trasferimento dei dati personali anche negli USA, a patto perรฒ che lโ€™azienda con la quale si lavora, sottoscriva le nuove SCC. In definitiva: senza garanzie non si puรฒ procedere al trasferimento dei dati.

Ma perchรฉ รจ stata necessaria una revisione delle โ€œvecchieโ€ SCC e lโ€™introduzione di nuove clausole contrattuali standard? Il motivo รจ molto semplice: le SCC precedenti avevano un limite ossia la poca flessibilitร .

La scarsa flessibilitร  delle precedenti SCC era un limite molto importante e ostacolava fortemente i piccoli imprenditori (ma in parte anche le aziende medie o grandi), portando cosรฌ a un disequilibrio dei contratti che alla fine favoriva le grandi multinazionali, come ad esempio Facebook e Google.

Ecco perchรฉ dato il disequilibrio che si andava a creare con le vecchie SCC, la Commissione Europea ha ben pensato di elaborare un nuovo standard che permettesse a tutti, anche a una piccola SRL, di verificare e trasferire in modo corretto i dati personali fuori dallโ€™UE, con maggiori certezze, sicurezza e anche con piรน semplicitร .

Perchรฉ bisogna considerare che volere o meno oggi molti servizi con sede negli USA sono strategici e a volte necessari per il business di molte aziende.

Quindi con le nuove SCC la Commissione Europea ha creato delle clausole contrattuali adeguate sia alla normativa prevista dal GDPR sia alla sentenza della Corte di Giustizia, sia agli accordi commerciali adottati normalmente tra aziende.

Le caratteristiche delle nuove Clausole Contrattuali Standard della Commissione Europea

Con la decisione della Commissione Europea del 4 giugno del 2021, abbiamo visto come siano state adottate delle nuove clausole che devono essere incluse nel contratto per il trasferimento dei dati personali al di fuori dello Spazio Economico Europeo.

Con queste clausole si punta a ottenere due risultati. Il primo รจ una gestione corretta del rapporto tra il titolare e il responsabile del trattamento dei dati personali. Il secondo invece mira a regolare in modo ottimale il trasferimento dei dati personali verso i paesi extra UE.

Grazie a queste nuove clausole รจ stato possibile ovviare al problema di flessibilitร  delle vecchie SCC.

Infatti, la Commissione Europea ha sottolineato come le modifiche siano state effettuate nellโ€™ottica di adeguarsi alle nuove realtร  digitali e alle lunghe e complesse catene di relazioni commerciali che sono sempre piรน in evoluzione tra gli stati membri e quelli extra UE.

Con il fine ultimo, dunque, di contemplare al meglio le varie situazioni di trattamento e trasferimento e consentire di conseguenza un approccio piรน flessibile.

In questo modo, anche le aziende piรน piccole, sono in grado di verificare il rispetto di tutti i requisiti necessari per il trasferimento dei dati al di fuori dellโ€™UE.

Il quadro messo insieme dalla Commissione Europea guarda a tutti e vuole mettere insieme e costruire un sistema che garantisca un livello di protezione dei dati personali elevato, specialmente nel momento in cui le informazioni private dei cittadini dellโ€™UE vengono trattate in stati extra europei.

SCC: cosa รจ previsto dalle nuove clausole contrattuali standard

Le Clausole Contrattuali Standard introdotte dalla Commissione Europea sono dei documenti pre-approvati, al loro interno รจ possibile identificare i requisiti da rispettare per il trasferimento dei dati personali al di fuori dellโ€™Unione Europea.

Nel dettaglio con le nuove SCC, rispetto alle precedenti, รจ stato possibile:

  1. Adeguare in modo corretto il loro contenuto alla normativa del GDPR
  2. Come richiesto dal GDPR รจ stato possibile con le nuove clausole prevedere un solo un โ€œentry pointโ€ (punto dโ€™ingresso). Al fine di assicurare il corretto trattamento dati anche in scenari differenti.
  3. Le clausole minime possono essere integrate con altre, a patto che queste non vadano contro in modo diretto o indiretto, alle clausole contrattuali standard della Commissione Europea e che non mettano in alcun modo a rischio le libertร  degli interessati.
  4. Il trasferimento dei dati al di fuori dellโ€™UE si sviluppa in modo meno complesso. Questo perchรฉ sono state introdotte clausole modulari che permettono anche ai soggetti terzi di rientrarvi.
  5. Infine, sono state introdotte delle misure da adottare al fine di essere in linea anche con la sentenza Schrems II.

Come adeguare i contratti alle nuove SCC

Un dubbio che sorge per chi ha giร  un contratto che prevede il trasferimento di dati al di fuori dellโ€™UE รจ: come adeguarlo alle nuove SCC?

La Commissione Europea, al fine di aiutare chi aveva giร  uno o piรน contratti in essere, ha sottolineato che le aziende europee hanno 18 mesi per effettuare lโ€™adeguamento alle nuove clausole contrattuali standard.

Inoltre, ha consigliato di effettuare in modo chiaro lโ€™adeguamento attraverso: la segnalazione della durata, oggetto e finalitร  del trattamento; la definizione della tipologia di dati personali trattati e dei relativi interessati; chiarendo gli obblighi del titolare del trattamento; comprensione delle procedure e norme sostanziali.

Quindi i contratti esistenti devono essere mappati ed entro il 27 dicembre del 2022 dovranno essere adeguati alle nuove clausole contrattuali standard al fine di essere in linea con il GDPR e la normativa della privacy.

Quando adeguare i nuovi contratti alle SCC e quali gli obblighi dellโ€™importatore ed esportatore? 

In caso di nuovi contratti, questi a partire dal 27 settembre del 2021, devono essere giร  iscritti seguendo le clausole contrattuali standard della Commissione Europea.

Questa implementazione, comporta dei doveri per lโ€™importatore e per lโ€™esportatore dei dati.

Nel dettaglio, gli importatori dei dati hanno la responsabilitร  di conservare tutta la documentazione relativa al trattamento dati personali dei cittadini europei. Inoltre, devono informare lโ€™esportatore nel caso in cui i dati non possano essere trattati nel rispetto delle nuove SCC.

Cosa succede se lโ€™importatore non puรฒ rispettare il nuovo contratto e le nuove SCC?

In questo caso, lโ€™esportatore (dopo aver ricevuto la notifica dall’importatore) deve procedere a prendere tutte le contromisure adeguate sia sotto il profilo tecnico sia organizzativo, al fine di garantire la riservatezza e la sicurezza dei dati personali, e nel caso di necessitร  puรฒ anche sentire lโ€™autoritร  di vigilanza in merito alla situazione.  

Lโ€™esportatore, invece, ha come obbligo esclusivamente in fase di contratto dellโ€™uso delle giuste clausole contrattuali standard per il trasferimento dei dati personali al di fuori dellโ€™UE, senza creare clausole aggiuntive che possano andare contro i principi delle SCC della Commissione Europea.

Puรฒ invece inserire piรน clausole, se queste rispettano e tutelano le SCC e di conseguenza anche il Regolamento sul Trattamento dei Dati Personali.

Infine, in caso di scioglimento del contratto, viene sottolineato, che i dati trasferiti prima della risoluzione e le eventuali copie, devono essere restituire allโ€™esportatore oppure distrutti. La decisione tra distruzione dei dati oppure restituzione รจ a discrezione dellโ€™esportatore.

Con l’introduzione delle nuove SCC si semplifica per le aziende europee l’eventuale trasferimento dei dati personali dei cittadini al di fuori dell’UE, e al contempo si offre uno strumento di maggior garanzia di rispetto della normativa non solo alle grandi aziende ma anche ai piccoli imprenditori.

La sentenza Schrems II ha permesso cosรฌ l’apertura di nuovi scenari nel campo della privacy. Scenari in cui l’Europa e il GDPR si ergono a massimi protettori dei dati personali dei cittadini dell’UE, specialmente verso enti e aziende di paesi esteri, come gli USA, dove altresรฌ il trattamento dei dati personali non prevede tutte le garanzie previste invece dalla normativa europea.

Cta Gdpr

Max Valle

Da oltre 30 anni, offro consulenza e servizi digitali ad aziende e professionisti che desiderano far crescere il proprio business. Attraverso l’acquisizione di nuovi clienti in modo etico ed efficace, e l’utilizzo delle piรน recenti tecnologie web, aiuto i miei clienti a raggiungere i loro obiettivi nel pieno rispetto delle normative vigenti.

  • Certified Professional Ethical Hacker nยฐ4053103 
  • International Web Association nยฐ0312827
  • Membro Federprivacy nยฐFP-9572
  • Associazione Informatici Professionisti nยฐ3241
  • Consulente Tecnico d’Ufficio (CTU)

Contattami
30 minuti gratuiti!
Contattami
30 minuti gratuiti!

Oppure chiamami gratuitamente:

Numero Verde Max Valle